Trojaner-Board - Log von Malwarebytes, Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Log von Malwarebytes, Trojaner (https://www.trojaner-board.de/90431-log-malwarebytes-trojaner.html)

Log von Malwarebytes, Trojaner

Hallo zusammen,

anbei mein Log von Malwarebytes, bin neu hier und hoffe dies genügt nachdem ich alle Anleitungen gelesen habe ;-))
Habe im Forum nach Crypt.IR.50 gesucht und nach Anweisung Malwarebytes laufen gelassen, danach folgt noch OTL. Schon mal großes Danke.

raby

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4550

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.09.2010 19:10:47
mbam-log-2010-09-05 (19-10-47).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 143892
Laufzeit: 14 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5843090c-c736-3c10-0aac-c44a95d10e18} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{3f1cdad3-0a1b-e65e-aa10-2d2fdbede959} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully.

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Edit: sorry, stop, mache erst noch den Vollscan, habe Antwort eben erst gelesen.
raby

*****
...und hier auch die zwei Logs von OTL (leider hat mein Antivir gerade wieder einen Dldr.Agent.bq6 gemeldet, scheint also noch nicht sauber zu sein.) Weiters dickes Danke für die Hilfe. raby.

***deleted***

so, hier nun Log des Vollscans:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4550

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05.09.2010 22:55:10
mbam-log-2010-09-05 (22-55-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 230121
Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Installer\{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}\IconAD6B62AC3.chm (Trojan.Spambot) -> Quarantined and deleted successfully.

und nun noch die OTL Logs - Antivir meldet weiterhin TL/Dldr.Agent.bq.6..;-((

LOG1:OTL Logfile:

Code:

OTL logfile created on: 05.09.2010 23:12:38 - Run 1

OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp

Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free

1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS

Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: RABY

Current User Name: RK

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG)

PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.)

PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found

SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (Netzmanager Service) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG)

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)

SRV - (TSMService) -- C:\Programme\T-DSL SpeedManager\tsmsvc.exe (T-Systems Nova, Berkom)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)

DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation)

DRV - (TNPacket) -- C:\Programme\T-DSL SpeedManager\TNPACKET.SYS (T-Systems Nova GmbH)

DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation                           )

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH)

DRV - (VOBID) -- C:\WINDOWS\System32\DRIVERS\vobid.sys (Pinnacle Systems)

DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)

DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation)

DRV - (PCANDIS5) -- C:\Programme\T-DSL SpeedManager\PCANDIS5.SYS (Printing Communications Assoc., Inc. (PCAUSA))

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.selectedEngine: "Google"

FF - prefs.js..browser.search.update: false

FF - prefs.js..browser.startup.homepage: "www.google.de"

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

 

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.05 18:23:10 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 18:23:10 | 000,000,000 | ---D | M]

 

[2008.08.27 01:35:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Extensions

[2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions

[2010.09.04 19:28:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.05.30 12:52:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.08.31 12:07:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2010.09.05 18:23:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.09.05 18:23:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.09.05 18:23:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.09.05 18:23:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.09.05 18:23:02 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2009.05.22 13:52:14 | 000,305,721 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1        www.007guard.com

O1 - Hosts: 127.0.0.1        007guard.com

O1 - Hosts: 127.0.0.1        008i.com

O1 - Hosts: 127.0.0.1        www.008k.com

O1 - Hosts: 127.0.0.1        008k.com

O1 - Hosts: 127.0.0.1        www.00hq.com

O1 - Hosts: 127.0.0.1        00hq.com

O1 - Hosts: 127.0.0.1        010402.com

O1 - Hosts: 127.0.0.1        www.032439.com

O1 - Hosts: 127.0.0.1        032439.com

O1 - Hosts: 127.0.0.1        www.0scan.com

O1 - Hosts: 127.0.0.1        0scan.com

O1 - Hosts: 127.0.0.1        www.1000gratisproben.com

O1 - Hosts: 127.0.0.1        1000gratisproben.com

O1 - Hosts: 127.0.0.1        www.1001namen.com

O1 - Hosts: 127.0.0.1        1001namen.com

O1 - Hosts: 127.0.0.1        100888290cs.com

O1 - Hosts: 127.0.0.1        www.100888290cs.com

O1 - Hosts: 127.0.0.1        100sexlinks.com

O1 - Hosts: 127.0.0.1        www.100sexlinks.com

O1 - Hosts: 127.0.0.1        10sek.com

O1 - Hosts: 127.0.0.1        www.10sek.com

O1 - Hosts: 127.0.0.1        www.1-2005-search.com

O1 - Hosts: 127.0.0.1        1-2005-search.com

O1 - Hosts: 127.0.0.1        123haustiereundmehr.com

O1 - Hosts: 10549 more lines...

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ATIModeChange] C:\WINDOWS\System32\Ati2mdxx.exe (ATI Technologies, Inc.)

O4 - HKLM..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [FirstSteps]  File not found

O4 - HKLM..\Run: [KernelFaultCheck]  File not found

O4 - HKLM..\Run: [NWEReboot]  File not found

O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe ()

O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [Wizard]  File not found

O4 - HKCU..\Run: [Getdo]  File not found

O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousMachineGroupPolicy = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousUserGroupPolicy = 0

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: &Google-Suche - c:\programme\google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Verweisseiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage)

O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} https://img.web.de/v/fotoalbum/activex/upload_1115.cab (Upload Control)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} hxxp://software-dl.real.com/031a77bf21ea827c1805/netzip/RdxIE601_de.cab (Reg Error: Key error.)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135427590421 (WUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2004.04.01 14:27:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{57cfd388-a709-11db-90ae-000ea6919375}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe -- File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.09.05 18:28:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Malwarebytes

[2010.09.05 18:28:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.09.05 18:28:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.09.05 18:28:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.09.05 18:28:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.09.05 13:42:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.09.05 13:42:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.09.04 19:51:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\RK\Recent

[2010.09.04 19:44:22 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2010.08.31 12:07:53 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe

[2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe

[2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe

[2010.08.10 21:34:26 | 000,000,000 | ---D | C] -- C:\72536be8471601f1be1166

[2010.08.09 18:55:04 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 6.0

[2010.08.08 22:16:47 | 000,000,000 | ---D | C] -- C:\Programme\PixelNet Foto Client

[2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Programme\Netzmanager

[2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager

[2010.08.08 21:15:57 | 000,014,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg2.dll

[2010.08.08 21:12:11 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild

[2010.08.08 21:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer

[2010.08.08 21:03:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-us

[2010.08.08 21:01:05 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies

[2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll

[2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll

[2010.08.08 21:00:15 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll

[2010.08.08 21:00:15 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMPhoto.dll

[2010.08.08 21:00:14 | 000,716,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecs.dll

[2010.08.08 21:00:14 | 000,352,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecsExt.dll

[2010.08.08 20:59:57 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll

[2010.08.08 20:59:54 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll

[2010.08.08 20:59:49 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll

[2010.08.08 20:59:48 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe

[2010.08.08 20:49:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}

[2010.08.08 20:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\PackageAware

[1997.09.04 00:00:00 | 000,311,296 | ---- | C] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\msacc8.olb

[6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ]

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.09.05 23:13:06 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.09.05 22:59:01 | 000,001,076 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.09.05 22:58:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.09.05 22:58:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.09.05 22:58:51 | 536,440,832 | -HS- | M] () -- C:\hiberfil.sys

[2010.09.05 22:57:39 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\RK\NTUSER.DAT

[2010.09.05 22:57:39 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\RK\ntuser.ini

[2010.09.05 19:40:13 | 000,021,504 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\zgng.xls

[2010.09.05 18:28:26 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.09.04 20:12:08 | 000,402,060 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg

[2010.09.04 19:12:34 | 000,160,768 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.09.04 19:06:06 | 000,222,824 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

[2010.09.04 18:55:10 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.08.31 20:22:38 | 000,033,101 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Desktop\BACKUP_Eigene-Dateien.fsy

[2010.08.31 11:43:54 | 000,460,664 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.08.31 11:43:54 | 000,442,602 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.08.31 11:43:54 | 000,085,396 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.08.31 11:43:54 | 000,071,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.08.31 11:43:53 | 001,029,634 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.08.12 15:41:04 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.08.12 15:40:59 | 000,692,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010.08.08 21:24:50 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.09.05 18:28:26 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.09.04 20:11:29 | 000,402,060 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg

[2010.08.31 11:51:20 | 000,353,760 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat

[2010.08.08 21:24:50 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk

[2009.02.15 17:55:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI

[2008.05.31 14:41:29 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI

[2006.11.30 11:20:59 | 000,000,037 | ---- | C] () -- C:\WINDOWS\easyprint.INI

[2006.06.14 14:00:14 | 000,000,190 | ---- | C] () -- C:\WINDOWS\QTW.INI

[2006.02.10 23:18:13 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

[2006.02.10 23:05:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

[2005.11.17 16:47:13 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll

[2005.11.17 16:21:18 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI

[2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll

[2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll

[2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll

[2005.06.11 19:24:52 | 000,000,021 | ---- | C] () -- C:\Programme\AntivirAVWIN.INI

[2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll

[2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll

[2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll

[2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll

[2005.05.29 22:48:38 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini

[2005.05.25 04:50:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\d3az.dll

[2005.05.18 16:12:03 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2005.05.16 04:12:11 | 000,000,561 | ---- | C] () -- C:\WINDOWS\stammbaum.INI

[2004.10.29 19:19:12 | 000,278,528 | ---- | C] () -- C:\WINDOWS\System32\mwtsp.dll

[2004.10.03 15:50:02 | 000,003,424 | ---- | C] () -- C:\WINDOWS\cdplayer.ini

[2004.09.24 16:56:14 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\mwnsp.dll

[2004.05.06 20:11:28 | 000,000,490 | ---- | C] () -- C:\WINDOWS\STSBOERS.INI

[2004.04.28 22:00:35 | 000,160,768 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2004.04.27 22:06:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2004.04.01 14:56:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2004.04.01 14:40:35 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2004.04.01 14:33:49 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll

[2004.04.01 14:33:49 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll

[2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll

[2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll

[2004.04.01 14:33:49 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll

[2004.04.01 14:33:49 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll

[2004.04.01 14:31:44 | 000,000,746 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2004.04.01 14:24:49 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini

[2004.02.15 20:43:53 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_005877_.tmp.dll

[2004.02.15 20:43:36 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_005909_.tmp.dll

[2004.02.15 20:39:55 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll

[2002.02.27 17:28:16 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\MASE32.DLL

[2002.02.27 17:28:16 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\MASD32.DLL

[2002.02.27 17:28:14 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\MACD32.DLL

[2002.02.27 17:28:14 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\MAMC32.DLL

[2002.02.27 17:28:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\MA32.DLL

[2000.04.03 23:00:00 | 000,130,560 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL

 
 ========== LOP Check ==========

 

[2004.11.14 20:19:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems

[2008.08.31 12:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

[2010.08.31 11:56:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager

[2008.11.20 12:55:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager

[2004.04.27 20:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online

[2004.05.02 17:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware

[2007.05.05 14:39:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom

[2010.08.08 21:25:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}

[2010.04.16 22:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

[2004.11.14 20:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\ACD Systems

[2010.09.05 18:33:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Iccooc

[2004.04.28 22:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\InterVideo

[2010.09.04 19:43:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Micrografx

[2006.11.30 10:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Pixum

[2004.05.31 14:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Steinberg

[2004.11.01 19:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-DSL SpeedManager

[2004.04.27 20:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-Online

[2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis

[2010.07.25 11:54:56 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

 
 ========== Purity Check ==========

 

 

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq

@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs

@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr

< End of report >

--- --- ---

Log2:OTL Logfile:

Code:

OTL Extras logfile created on: 05.09.2010 23:12:39 - Run 1

OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp

Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free

1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS

Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: RABY

Current User Name: RK

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)

htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)

http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe" "%1" (ACD Systems Ltd.)

Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)

"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21

"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9

"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10

"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11

"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support

"{63357B67-2EC6-4390-B926-A11D0C962344}_is1" = GENprofi - Stammbaum

"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0

"{7148F0A8-6813-11D6-A77B-00B0D0142060}" = Java 2 Runtime Environment, SE v1.4.2_06

"{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour

"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0

"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage

"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD

"{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}" = Pinnacle InstantCD/DVD Suite

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch

"{AC76BA86-7AD7-5670-0000-900000000003}" = Korean Fonts Support For Adobe Reader 9

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support

"{B71E1204-64DA-4F27-987C-44B98067734A}" = ACDSee 6.0 Standard Trial

"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME

"{CFE78643-3CDB-46EF-9677-795415937ABB}" = CorelDRAW ESSENTIALS

"{DF403CD5-0374-4380-92C2-21A3EB72068B}_is1" = GX::Transcoder.net AWE

"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0

"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack

"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 

"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)

"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01

"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth

"{FB26A501-6BA6-459B-89AA-9736730752FB}" = VoiceOver Kit

"7-Zip" = 7-Zip 4.42

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Advanced WMA Workshop_is1" = Advanced WMA Workshop version 2.2

"Ahnenblatt" = Ahnenblatt

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"cam2pc" = cam2pc (remove only)

"Cam4you utilities" = Cam4you utilities

"CCleaner" = CCleaner

"dBpowerAMP Music Converter" = dBpowerAMP Music Converter

"ExtractNow_is1" = ExtractNow

"FileSync" = FileSync

"FileZilla" = FileZilla (remove only)

"GedLink Editor Installation" = GedLink Editor Installation

"HD Tune_is1" = HD Tune 2.55

"IrfanView" = IrfanView (remove only)

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"Nero - Burning Rom!UninstallKey" = Nero OEM

"Nero BurnRights!UninstallKey" = Ahead Nero BurnRights

"NeroBackItUp!UninstallKey" = Nero BackItUp

"NeroVision!UninstallKey" = NeroVision Express 2 SE

"Netzmanager" = Netzmanager

"PixelNet Foto Client" = PixelNet Foto Client 4.8

"Pixum EasyPrint" = Pixum EasyPrint 1.2

"RealPlayer 6.0" = RealPlayer

"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4

"ST5UNST #1" = FreeFTP

"Stammbaum-Drucker 3" = Stammbaum-Drucker 3

"StS-Börse" = StS-Börse

"TDSLSM" = T-DSL SpeedManager

"The Panorama Factory" = Panorama Factory

"T-Online Copas" = T-Online Copas

"WIC" = Windows Imaging Component

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"WinGimp-2.0_is1" = The GIMP 2.2.9

"WinGTK-2_is1" = GTK+ 2.6.9 runtime environment

"WinZip" = WinZip

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledEvent 69281812

 

Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledSPRetry 69281812

 

Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: Continuously busy for more than a second

 

Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledEvent 69284031

 

Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledSPRetry 69284031

 

Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: Continuously busy for more than a second

 

Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledEvent 69286218

 

Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100

Description = Task Scheduling Error: m->NextScheduledSPRetry 69286218

 

Error - 31.08.2010 09:46:57 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118

Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  F:\DCIM\101MSDCF\DSC02665.JPG.
 

 [ACCESS_VIOLATION Exception!! EIP = 0x1a71188]   Bitte Avira informieren und die 

obige Datei übersenden!

 

Error - 31.08.2010 09:49:42 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118

Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei  F:\DCIM\101MSDCF\DSC02718.JPG.
 

 [ACCESS_VIOLATION Exception!! EIP = 0x1a71188]   Bitte Avira informieren und die 

obige Datei übersenden!

 

[ System Events ]

Error - 31.08.2010 06:25:06 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 31.08.2010 12:55:47 | Computer Name = RABY | Source = Service Control Manager | ID = 7011

Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung

 von Dienst AntiVirSchedulerService.

 

Error - 31.08.2010 13:53:18 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 04.09.2010 12:54:47 | Computer Name = RABY | Source = Dhcp | ID = 1000

Description = Die Lease dieses Computers zu der IP-Adresse 192.168.1.3 über die 

  Netzwerkkarte mit der Netzwerkadresse 000EA6919375 ist verloren gegangen.

 

Error - 04.09.2010 13:00:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 05.09.2010 07:42:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 05.09.2010 13:13:56 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 05.09.2010 13:14:23 | Computer Name = RABY | Source = Service Control Manager | ID = 7026

Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:

   IntelIde

 

Error - 05.09.2010 16:59:14 | Computer Name = RABY | Source = Service Control Manager | ID = 7000

Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht

 gestartet:   %%1079

 

Error - 05.09.2010 16:59:41 | Computer Name = RABY | Source = Service Control Manager | ID = 7026

Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:

   IntelIde

 

 

< End of report >

--- --- ---

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

:OTL

O4 - HKLM..\Run: [FirstSteps]  File not found

O4 - HKLM..\Run: [NWEReboot]  File not found

O4 - HKLM..\Run: [Wizard]  File not found

O4 - HKCU..\Run: [Getdo]  File not found

O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe ()

[2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll

[2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll

[2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll

[2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll

[2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll

[2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll

[2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll

[2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje

@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq

@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs

@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty

@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp

@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

tnx cosinus !

hier nach dem OTL-Fix das Log:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FirstSteps deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Wizard deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Msmfc deleted successfully.
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe moved successfully.
C:\WINDOWS\ujbnb.dll moved successfully.
C:\WINDOWS\netuo.dll moved successfully.
C:\WINDOWS\ztwms.dll moved successfully.
C:\WINDOWS\system32\qruwi.dll moved successfully.
C:\WINDOWS\system32\ntwf.dll moved successfully.
C:\WINDOWS\system32\netti.dll moved successfully.
C:\WINDOWS\system32\iejg32.dll moved successfully.
C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis folder moved successfully.
ADS C:\WINDOWS\wmprfDEU.prx:jeyrvz deleted successfully.
ADS C:\WINDOWS\vb.ini:giocbv deleted successfully.
ADS C:\WINDOWS\rxrgs.dat:yhbmxb deleted successfully.
ADS C:\WINDOWS\_default.pif:mvazje deleted successfully.
ADS C:\WINDOWS\_default.pif:kfmynq deleted successfully.
ADS C:\WINDOWS\bootstat.dat:uapwfs deleted successfully.
ADS C:\WINDOWS\Angler.bmp:yujdvz deleted successfully.
ADS C:\WINDOWS\Zapotek.bmp:tchuht deleted successfully.
ADS C:\WINDOWS\WindowsUpdate.log:refmbw deleted successfully.
ADS C:\WINDOWS\stammbaum.INI:fdkntk deleted successfully.
ADS C:\WINDOWS\REGLOCS.OLD:ghigdy deleted successfully.
ADS C:\WINDOWS\hzbum.txt:clbayo deleted successfully.
ADS C:\WINDOWS\explorer.scf:uogcnj deleted successfully.
ADS C:\WINDOWS\euemp.dat:wwviir deleted successfully.
ADS C:\WINDOWS\_default.pif:lfuvxw deleted successfully.
ADS C:\WINDOWS\_default.pif:hkuhty deleted successfully.
ADS C:\WINDOWS\_default.pif:bkdajo deleted successfully.
ADS C:\WINDOWS\Feder.bmp:pxfokb deleted successfully.
ADS C:\WINDOWS\corelpf.lrs:fmaenp deleted successfully.
ADS C:\WINDOWS\_default.pif:pxizrr deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: remoteservice

User: RK
->Temp folder emptied: 167702 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 76321106 bytes
->Flash cache emptied: 1498970 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1075897 bytes
%systemroot%\System32 .tmp files removed: 69501768 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 329714 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 142,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 09062010_182355

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

hallo cosinus,
mit etwas Verzögerung wg. Abwesenheit hier nach CCleaner nun der Log von cofi - konnte bei Antivir nur den Guard deaktivieren, irgendwelcher Rest blieb aktiv, auch Dienstekillen war nicht möglich. Hoffe das hat nicht gestört.

danke !!! raby

Combofix Logfile:

Code:

ComboFix 10-09-11.02 - RK 11.09.2010  21:51:51.1.1 - x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.512.231 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\RK\Desktop\cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\Downloaded Program Files\RdxIE.dll

c:\windows\regedit.com

c:\windows\system32\_005866_.tmp.dll

c:\windows\system32\_005867_.tmp.dll

c:\windows\system32\_005868_.tmp.dll

c:\windows\system32\_005869_.tmp.dll

c:\windows\system32\_005876_.tmp.dll

c:\windows\system32\_005877_.tmp.dll

c:\windows\system32\_005878_.tmp.dll

c:\windows\system32\_005879_.tmp.dll

c:\windows\system32\_005881_.tmp.dll

c:\windows\system32\_005882_.tmp.dll

c:\windows\system32\_005885_.tmp.dll

c:\windows\system32\_005886_.tmp.dll

c:\windows\system32\_005888_.tmp.dll

c:\windows\system32\_005889_.tmp.dll

c:\windows\system32\_005890_.tmp.dll

c:\windows\system32\_005892_.tmp.dll

c:\windows\system32\_005894_.tmp.dll

c:\windows\system32\_005895_.tmp.dll

c:\windows\system32\_005896_.tmp.dll

c:\windows\system32\_005900_.tmp.dll

c:\windows\system32\_005901_.tmp.dll

c:\windows\system32\_005903_.tmp.dll

c:\windows\system32\_005904_.tmp.dll

c:\windows\system32\_005906_.tmp.dll

c:\windows\system32\_005907_.tmp.dll

c:\windows\system32\_005908_.tmp.dll

c:\windows\system32\_005909_.tmp.dll

c:\windows\system32\_005910_.tmp.dll

c:\windows\system32\_005911_.tmp.dll

c:\windows\system32\_005912_.tmp.dll

c:\windows\system32\_005915_.tmp.dll

c:\windows\system32\_005916_.tmp.dll

c:\windows\system32\_005917_.tmp.dll

c:\windows\system32\_005918_.tmp.dll

c:\windows\system32\_005919_.tmp.dll

c:\windows\system32\_005924_.tmp.dll

c:\windows\system32\_005926_.tmp.dll

c:\windows\system32\taskmgr.com
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-11 bis 2010-09-11  ))))))))))))))))))))))))))))))

.
 

2010-09-06 16:23 . 2010-09-06 16:23        --------        d-----w-        C:\_OTL

2010-09-05 16:28 . 2010-09-05 16:28        --------        d-----w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Malwarebytes

2010-09-05 16:28 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-05 16:28 . 2010-09-05 16:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-09-05 16:28 . 2010-09-05 16:28        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-09-05 16:28 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-09-05 11:42 . 2010-09-05 11:42        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

2010-09-05 11:42 . 2010-09-05 11:42        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

2010-09-04 17:44 . 2010-09-11 19:31        --------        d-----w-        c:\programme\CCleaner

2010-08-31 09:51 . 2010-09-04 18:17        353760        ----a-w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-11 19:21 . 2010-05-01 02:07        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2010-09-05 16:33 . 2008-06-25 05:01        --------        d-----w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Iccooc

2010-09-04 17:52 . 2005-06-13 19:26        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-09-04 17:43 . 2004-09-16 18:54        --------        d-----w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Micrografx

2010-09-04 17:06 . 2005-11-20 16:26        222824        ----a-w-        c:\dokumente und einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-08-31 15:46 . 2006-02-22 17:44        --------        d-----w-        c:\programme\cam2pc

2010-08-31 10:09 . 2004-12-12 17:26        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-08-31 10:07 . 2004-12-12 17:27        --------        d-----w-        c:\programme\Java

2010-08-31 09:56 . 2010-08-08 19:24        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager

2010-08-31 09:43 . 2004-02-15 18:44        85396        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-31 09:43 . 2004-02-15 18:44        460664        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-09 16:55 . 2010-08-09 16:55        --------        d-----w-        c:\programme\MSXML 6.0

2010-08-08 20:19 . 2010-08-08 20:16        --------        d-----w-        c:\programme\PixelNet Foto Client

2010-08-08 19:25 . 2010-08-08 18:49        --------        dc----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}

2010-08-08 19:24 . 2010-08-08 19:24        --------        d-----w-        c:\programme\Netzmanager

2010-08-08 19:12 . 2010-08-08 19:12        --------        d-----w-        c:\programme\MSBuild

2010-08-08 19:01 . 2010-08-08 19:01        --------        d-----w-        c:\programme\Reference Assemblies

2010-08-07 10:27 . 2004-04-27 18:35        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-08-07 10:17 . 2010-08-07 10:17        503808        ----a-w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcp71.dll

2010-08-07 10:17 . 2010-08-07 10:17        499712        ----a-w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\jmc.dll

2010-08-07 10:17 . 2010-08-07 10:17        12800        ----a-w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-d3d.dll

2010-08-07 10:17 . 2010-08-07 10:17        61440        ----a-w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-sse.dll

2010-08-07 10:17 . 2010-08-07 10:17        348160        ----a-w-        c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcr71.dll

2010-08-02 18:38 . 2005-09-29 19:43        --------        d-----w-        c:\programme\Lavasoft

2010-07-25 10:36 . 2005-06-13 19:26        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-07-25 10:30 . 2009-05-21 11:03        --------        d-----w-        c:\programme\TeaTimer (Spybot - Search & Destroy)

2010-07-25 10:30 . 2009-05-21 11:03        --------        d-----w-        c:\programme\SDHelper (Spybot - Search & Destroy)

2010-07-25 09:50 . 2009-05-21 10:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2010-07-17 03:00 . 2010-05-30 10:52        423656        ----a-w-        c:\windows\system32\deployJava1.dll

2010-06-14 14:30 . 2004-04-01 12:26        743936        ----a-w-        c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe

2005-11-17 14:21 . 2005-11-17 14:21        21        ----a-w-        c:\programme\AVPersonalAVWIN.INI

2005-06-11 17:24 . 2005-06-11 17:24        21        ----a-w-        c:\programme\AntivirAVWIN.INI

1997-09-03 22:00 . 1997-09-03 22:00        311296        ----a-w-        c:\programme\Gemeinsame Dateien\msacc8.olb

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]

"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-12-12 335872]

"SoundMan"="SOUNDMAN.EXE" [2003-06-10 55296]

"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-11-10 406016]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute        REG_MULTI_SZ           \0
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-03-25 23:10        142120        ----a-w-        c:\programme\iTunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-17 19:53        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
 

R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01.08.2003 14:47 29239]

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.09.2009 22:07 135336]

R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 16:40 9728]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.05.2010 13:08 136176]

S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696]

.

Inhalt des "geplante Tasks" Ordners
 

2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]
 

2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

mStart Page = 

uInternet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw5_webtour.htm

uInternet Settings,ProxyOverride = *.local

IE: &Google-Suche - c:\programme\google\GoogleToolbar1.dll/cmsearch.html

IE: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html

IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll/cmcache.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

IE: Verweisseiten - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html

IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - hxxps://img.web.de/v/fotoalbum/activex/upload_1115.cab

FF - ProfilePath - c:\dokumente und einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - www.google.de

FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: network.cookie.cookieBehavior - 0

FF - user.js: privacy.clearOnShutdown.cookies - false

FF - user.js: security.warn_viewing_mixed - false

FF - user.js: security.warn_viewing_mixed.show_once - false

FF - user.js: security.warn_submit_insecure - false

FF - user.js: security.warn_submit_insecure.show_once - false

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-dimsntfy - (no file)

MSConfigStartUp-avserve - c:\windows\avserve.exe

MSConfigStartUp-avserve2 - c:\windows\avserve2.exe

MSConfigStartUp-mfcgc - c:\windows\system32\mfcgc.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-09-11 22:05

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 
 

c:\windows\_default.pif:udvpin 63488 bytes executable
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 1
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(2608)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

c:\programme\Bonjour\mDNSResponder.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\windows\System32\locator.exe

c:\windows\SOUNDMAN.EXE

c:\windows\System32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-09-11  22:11:35 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-09-11 20:11
 

Vor Suchlauf: 24 Verzeichnis(se), 28.222.484.480 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 28.152.479.744 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
 

- - End Of File - - 57F34F10DBAAD69B41DB0FF1F88F61BD

--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.

Hallo Arne,

nochmal danke bis hierhin, hier die drei logs (Gmer, Osam, Bootkit-remover):

raby

GMER Logfile:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-09-13 20:12:15

Windows 5.1.2600 Service Pack 2

Running: 0irm7ig7.exe; Driver: C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT  F8C847AE                                                                                               ZwCreateKey

SSDT  F8C847A4                                                                                               ZwCreateThread

SSDT  F8C847B3                                                                                               ZwDeleteKey

SSDT  F8C847BD                                                                                               ZwDeleteValueKey

SSDT  F8C847C2                                                                                               ZwLoadKey

SSDT  F8C84790                                                                                               ZwOpenProcess

SSDT  F8C84795                                                                                               ZwOpenThread

SSDT  F8C847CC                                                                                               ZwReplaceKey

SSDT  F8C847C7                                                                                               ZwRestoreKey

SSDT  F8C847B8                                                                                               ZwSetValueKey
 

---- Kernel code sections - GMER 1.0.15 ----
 

?     Combo-Fix.sys                                                                                          Das System kann die angegebene Datei nicht finden. !

?     C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys                                                                   Das System kann die angegebene Datei nicht finden. !

?     C:\cofi\catchme.sys                                                                                    Das System kann den angegebenen Pfad nicht finden. !

?     C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                             Das System kann die angegebene Datei nicht finden. !

?     System32\Drivers\hiber_WMILIB.SYS                                                                      Das System kann den angegebenen Pfad nicht finden. !
 

---- Files - GMER 1.0.15 ----
 

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP596\A0080067.ini:njljwe  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080183.ini:esqzwh  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080184.ini:njljwe  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:btvvfr  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:kgijnp  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080186.ini:iodtch  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080187.ini:xqxmuw  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:aqzcda  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:bprjws  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:ophnyw  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:pbyobc  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:rbohdu  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:udvpin  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083413.INI:kgijnp  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:bprjws  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:ophnyw  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:pbyobc  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:rbohdu  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:udvpin  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:ophnyw  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:pbyobc  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:rbohdu  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:udvpin  63488 bytes executable

ADS   C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083434.pif:udvpin  63488 bytes executable

ADS   C:\WINDOWS\_default.pif:udvpin                                                                         63488 bytes executable
 

---- EOF - GMER 1.0.15 ----

--- --- ---

OSAM Logfile:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 20:48:38 on 13.09.2010
 

OS: Windows XP Home Edition Service Pack 2 (Build 2600)

Default Browser: Mozilla Corporation Firefox 3.5.11
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Common]

-----( %SystemRoot%\Tasks )-----

"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

"NeroBurnRights.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\NeroBurnRights.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)

"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ASAPIW2K" (ASAPIW2K) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\Drivers\ASAPIW2K.sys

"ASPI32" (ASPI32) - ? - C:\WINDOWS\system32\drivers\ASPI32.sys  (File not found)

"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys

"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys

"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys

"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)

"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"mbr" (mbr) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys

"PCANDIS5 Protocol Driver" (PCANDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS

"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys

"T-Systems Nova Packet Capture Driver" (TNPacket) - "T-Systems Nova GmbH" - C:\Programme\T-DSL SpeedManager\TNPACKET.SYS

"ugldrpob" (ugldrpob) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys  (Hidden registry entry, rootkit activity | File not found)

"VOBID" (VOBID) - "Pinnacle Systems" - C:\WINDOWS\System32\DRIVERS\vobid.sys

"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll

-----( HKLM\Software\Classes\Protocols\Handler )-----

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll

{F5D92341-0A64-11D0-9956-0000E8096023} "CD Copy Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll

{F5D92342-0A64-11D0-9956-0000E8096023} "CD Wizard Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll

 "CorelDRAW ESSENTIALS Shell Extension Component" - ? -   (File not found | COM-object registry key not found)

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dBShell.dll

{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll

{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll

{F5D92344-0A64-11D0-9956-0000E8096023} "InstantWrite Shellextension" - ? -   (File not found | COM-object registry key not found)

{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll

{D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? -   (File not found | COM-object registry key not found)

{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
 

[Internet Explorer]

-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----

{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

<binary data> "Yahoo! Toolbar" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

{51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} "Upload Control" - "WEB.DE AG" - C:\WINDOWS\DOWNLO~1\upload.ocx / https://img.web.de/v/fotoalbum/activex/upload_1115.cab

{17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage" - "Microsoft® Corporation" - C:\WINDOWS\System32\LegitCheckControl.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204

{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? -   (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

{9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? -   (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037

{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab

{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? -   (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

{D27CDB6E-AE6D-11CF-96B8-444500000000} "{D27CDB6E-AE6D-11CF-96B8-444500000000}" - ? -   (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----

<binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - c:\programme\google\googletoolbar1.dll

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - C:\Dokumente und Einstellungen\RK\Startmenü\Programme\Autostart\desktop.ini

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----

"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"ATIPTA" - "ATI Technologies, Inc." - C:\ATI-CPanel\atiptaxx.exe

"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

"PinnacleDriverCheck" - ? - C:\WINDOWS\System32\PSDrvCheck.exe

"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)

"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe

"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe

"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe

"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe

"Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe

"TSMService" (TSMService) - "T-Systems Nova, Berkom" - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----

{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
 

[Winsock Providers]

-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----

"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`02738a00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL)

Code:

:Files

C:\WINDOWS\_default.pif:udvpin

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

danke, hier das log:

All processes killed
========== FILES ==========
File\Folder C:\WINDOWS\_default.pif:udvpin not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService

raby

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hi Arne,

hier die zwei logs , SASW hat noch was entdeckt und gekillt (aber kritisch ?)):

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4621

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15.09.2010 22:49:40
mbam-log-2010-09-15 (22-49-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 228154
Laufzeit: 3 Stunde(n), 16 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/16/2010 at 09:59 AM

Application Version : 4.43.1000

Core Rules Database Version : 5516
Trace Rules Database Version: 3328

Scan type : Complete Scan
Total Scan Time : 02:48:46

Memory items scanned : 427
Memory threats detected : 0
Registry items scanned : 7315
Registry threats detected : 0
File items scanned : 91090
File threats detected : 3

Trojan.Security Toolbar
C:\Dokumente und Einstellungen\RK\Favoriten\Antivirus Test Online.url

Rootkit.Agent/Gen-Local
C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFF.EXE
C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFR.EXE