Viren- und Trojanerbefall, falsche Google-Weiterleitungen

manni85 · 30.01.2011, 17:17

Hallo, mir haben Viren, Trojaner und anderes zu schaffen gemacht. Das hat sich so geäußert:
- Virenmeldungen von Avira, auch nach mehrmaligen Scans
- Weiterleitungen von Google-Suchergebnissen zu falschen Seiten
- Beim Rechnerstart Meldung: "ein anderes Programm greift auf ....\crss.exe zu"
Ich habe nun Eure ausführliche Anleitung abgearbeitet und wüsste gern, ob sie Erfolg hatte. Zumindest gibt es beim Neustart schon mal keine Meldungen mehr. Vielen Dank im Voraus. Anbei die Logs.

cosinus · 30.01.2011, 21:11

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

manni85 · 01.02.2011, 15:39

Hallo cosinus, vielen Dank für die erste Hilfe!
Ich habe heute einen Vollscan durchgeführt, allerdings Avira vorher nicht deaktiviert (war das falsch?). Der Scan hat keine Funde gemacht. Allerdings hat Avira während des Scans mehrfach angeschlagen ...
Vielleicht könntest Du noch mal draufsehen?

P.S. In den Logs steht dass IEx mein Standardbrowser ist. Erst seit kurzem, denn Firefox will mich nicht auf bestimmte Seiten lassen. Der Proxyserver sei soundso konfiguriert ... Sollte ich Firefox besser komplett deinstallieren und mir neu holen?

cosinus · 01.02.2011, 18:51

Dein OTL-Log kann ich nicht öffnen. Poste es bitte nochmal, das alte bitte falls vorhanden.

manni85 · 01.02.2011, 20:41

Das wäre das OTL-Log.
Ich habe noch mal mit Avira gescannt - kein Fund. Alles aus der Quarantäne gelöscht.
Momentan scannt Malwarebytes.

manni85 · 01.02.2011, 22:25

Zitat:

Zitat von manni85

Momentan scannt Malwarebytes.

Ebenfalls nichts mehr gefunden.

cosinus · 01.02.2011, 22:48

Machst du irgendwas mit deinen OTL-Logs??
Ich kanns einfach nicht öffnen, weil es eine ungültige Kodierung enthält! kannst du es normal öffnen über eienn Texteditor wie notepad?

manni85 · 02.02.2011, 09:36

Ich poste es mal einfach hier direkt. Öffnen kann ich die Datei, auch aus dem Forum heraus als Anhang. Ganz unten stehen aber tatsächlich komische Schriftzeichen.OTL Logfile:

Code:

OTL logfile created on: 30.01.2011 16:40:20 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Dokumente und Einstellungen\Besitzer\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
191,00 Mb Total Physical Memory | 106,00 Mb Available Physical Memory | 55,00% Memory free
514,00 Mb Paging File | 247,00 Mb Available in Paging File | 48,00% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 38,33 Gb Total Space | 21,20 Gb Free Space | 55,31% Space Free | Partition Type: NTFS
 
Computer Name: PC | User Name: Besitzer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.01.30 14:29:42 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\MFTools\OTL.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.10.24 07:48:36 | 000,068,865 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
PRC - [2008.10.24 07:48:34 | 000,151,297 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
PRC - [2008.07.17 16:33:31 | 000,266,497 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.10.30 13:09:36 | 000,249,856 | ---- | M] (Silicon Integrated Systems Corporation) -- C:\WINDOWS\system32\Keyhook.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.01.30 14:29:42 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer\Desktop\MFTools\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
SRV - [2008.10.24 07:48:36 | 000,068,865 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler)
SRV - [2008.10.24 07:48:34 | 000,151,297 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService)
SRV - [2005.11.17 15:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2005.11.08 17:25:00 | 000,647,242 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe -- (UPnPService)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2009.05.28 07:56:38 | 000,075,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.05.28 07:56:28 | 000,052,056 | ---- | M] (Avira GmbH) [File_System | On_Demand | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt)
DRV - [2009.05.28 07:56:27 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys -- (avgio)
DRV - [2008.04.16 07:35:01 | 000,021,248 | ---- | M] (AVIRA GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.13 19:56:49 | 000,012,800 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usb8023.sys -- (USB_RNDIS)
DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2003.10.30 02:36:36 | 000,011,264 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\srvkp.sys -- (SiSkp)
DRV - [2003.10.30 01:54:58 | 000,427,776 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisgrp.sys -- (SiS315)
DRV - [2003.07.31 09:21:30 | 000,774,045 | ---- | M] (ISDN Company) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys -- (WDMCAPI)
DRV - [2003.07.18 08:58:20 | 000,036,992 | R--- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\SISAGPX.sys -- (SISAGP)
DRV - [2003.03.25 16:31:54 | 000,028,800 | ---- | M] (ISDN Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wdmwanmp.sys -- (WDMWANMP)
DRV - [2002.07.10 22:39:34 | 000,032,256 | R--- | M] (SiS Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2001.08.17 13:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
DRV - [2001.08.17 13:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [1998.03.24 10:22:28 | 000,133,972 | ---- | M] (Plustek Corporation.) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\Scandev.SYS -- (SCANDEV)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de-DE:official"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 53980
FF - prefs.js..network.proxy.type: 1
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.11\extensions\\Components: C:\Programme\Mozilla Firefox 2.0\components [2010.11.25 09:01:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.11\extensions\\Plugins: C:\Programme\Mozilla Firefox 2.0\plugins [2010.11.09 16:50:47 | 000,000,000 | ---D | M]
 
[2008.12.23 08:41:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Extensions
[2011.01.08 10:57:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions
[2009.09.01 17:18:47 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.03 11:48:30 | 000,000,000 | ---D | M] ("ToolbarBrowser") -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions\{2e710e6b-5e9d-44ba-8f4e-09a040978b49}
[2006.01.26 20:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2011.01.03 11:39:43 | 000,000,000 | ---D | M] (Live PageRank) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions\{8061ddcf-3632-4287-8d8a-133e219ae838}
[2010.10.30 15:23:04 | 000,000,000 | ---D | M] (Firebug) -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\extensions\firebug@software.joehewitt.com
[2007.09.03 20:09:14 | 000,001,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\hol7k2zu.default\searchplugins\mister-wong.xml
[2005.07.11 21:37:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.09 16:48:54 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.11.09 16:51:14 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAMME\MOZILLA FIREFOX 2.0\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011.01.08 10:52:51 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAMME\MOZILLA FIREFOX 2.0\EXTENSIONS\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
[2007.03.30 14:33:52 | 000,000,305 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\BookButler.png
[2007.03.30 14:33:52 | 000,000,999 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\BookButler.src
[2008.09.28 06:41:16 | 000,000,888 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\buchundcd.gif
[2008.09.28 06:41:16 | 000,000,312 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\buchundcd.src
 
O1 HOSTS File: ([2006.11.20 12:00:34 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\Keyhook.exe (Silicon Integrated Systems Corporation)
O4 - HKLM..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe (Silicon Integrated Systems Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.07.04 13:04:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{27b82806-12a0-11e0-91f6-487444737531}\Shell\AutoRun\command - "" = G:\PMBP_Win.exe
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell - "" = AutoRun
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: VIDC.MP42 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: VIDC.MPG4 - C:\WINDOWS\System32\mpg4c32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.30 15:35:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.01.30 15:34:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.01.30 15:34:27 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.01.30 15:23:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
[2011.01.30 15:22:37 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.01.30 15:22:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.01.30 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.01.30 15:22:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.01.30 15:22:27 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.30 14:29:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer\Desktop\MFTools
[2011.01.29 14:50:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2011.01.28 09:31:05 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Besitzer\PrivacIE
[2011.01.28 09:30:26 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Besitzer\IECompatCache
[2011.01.28 09:16:40 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Besitzer\IETldCache
[2011.01.28 09:08:37 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2005.07.04 13:34:21 | 000,009,216 | R--- | C] ( ) -- C:\WINDOWS\System32\capi2032.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.30 16:17:46 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2011.01.30 16:16:48 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.01.30 16:16:35 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.01.30 16:14:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.30 16:12:13 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\defogger_reenable
[2011.01.30 16:10:32 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.01.30 16:00:47 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for
[2011.01.30 15:34:42 | 000,000,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
[2011.01.30 15:34:29 | 000,000,596 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\NTREGOPT.lnk
[2011.01.30 15:34:29 | 000,000,577 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\ERUNT.lnk
[2011.01.30 15:22:45 | 000,015,260 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\05B2.E22
[2011.01.30 15:22:39 | 000,000,761 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.30 14:29:58 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\g2m3e4r.exe
[2011.01.30 14:29:57 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\defogger.exe
[2011.01.30 14:15:36 | 000,472,098 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Load.exe
[2011.01.29 14:52:04 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.01.26 21:50:52 | 000,371,712 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\blogliste.xls
[2011.01.05 15:43:45 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Neu Microsoft Excel-Arbeitsblatt (3).xls
[2011.01.03 10:50:42 | 000,039,424 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\statistik.xls
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.30 16:12:13 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\defogger_reenable
[2011.01.30 15:34:42 | 000,000,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk
[2011.01.30 15:34:29 | 000,000,596 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\NTREGOPT.lnk
[2011.01.30 15:34:29 | 000,000,577 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\ERUNT.lnk
[2011.01.30 15:22:39 | 000,000,761 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.30 14:29:57 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\g2m3e4r.exe
[2011.01.30 14:29:57 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\defogger.exe
[2011.01.30 14:29:31 | 000,472,098 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Load.exe
[2011.01.22 09:30:38 | 000,015,260 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\05B2.E22
[2011.01.05 15:43:45 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Desktop\Neu Microsoft Excel-Arbeitsblatt (3).xls
[2008.10.22 10:48:33 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2008.10.20 20:06:22 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.03.31 20:59:05 | 000,000,032 | ---- | C] () -- C:\WINDOWS\azeugnis.INI
[2007.12.28 18:43:49 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.12.23 12:25:24 | 000,006,537 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2007.11.07 15:30:03 | 000,000,050 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007.06.20 09:16:35 | 000,000,502 | ---- | C] () -- C:\WINDOWS\wiseftp.ini
[2007.02.28 17:47:48 | 000,000,406 | ---- | C] () -- C:\WINDOWS\SCANFX.INI
[2006.12.27 15:31:07 | 001,339,473 | ---- | C] () -- C:\WINDOWS\UnInstallSiemensAdsl.dll
[2006.06.29 21:55:37 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2006.06.23 12:38:22 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\OrdMen.dll
[2006.06.23 12:37:50 | 000,070,144 | ---- | C] () -- C:\WINDOWS\System32\ENCODE32.DLL
[2006.06.23 12:37:50 | 000,047,104 | ---- | C] () -- C:\WINDOWS\System32\TAL12832.DLL
[2006.06.23 12:37:50 | 000,018,944 | ---- | C] () -- C:\WINDOWS\System32\TALDM32A.dll
[2006.06.23 12:37:50 | 000,017,408 | ---- | C] () -- C:\WINDOWS\System32\TALDM32.DLL
[2006.06.23 12:37:08 | 000,249,856 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN3.DLL
[2006.06.23 12:37:08 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\SBSPAIN2.DLL
[2006.06.23 12:37:08 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\SBSPAINT.DLL
[2006.03.22 09:39:39 | 000,000,438 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2006.03.03 08:06:05 | 000,000,037 | ---- | C] () -- C:\WINDOWS\WebSuccess.INI
[2005.12.07 18:05:49 | 000,000,037 | ---- | C] () -- C:\WINDOWS\ShopSuxess.INI
[2005.10.20 09:49:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2005.09.26 13:17:15 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005.08.28 13:25:27 | 000,000,340 | ---- | C] () -- C:\WINDOWS\QTW.INI
[2005.08.28 13:25:26 | 000,000,144 | ---- | C] () -- C:\WINDOWS\INDEO.INI
[2005.08.26 08:35:54 | 001,513,984 | ---- | C] () -- C:\WINDOWS\System32\Mgxrdr80.dll
[2005.08.26 08:35:50 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2005.08.26 08:35:50 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2005.08.26 08:35:38 | 000,064,000 | ---- | C] () -- C:\WINDOWS\System32\Ppiv30.dll
[2005.08.26 08:35:38 | 000,000,986 | ---- | C] () -- C:\WINDOWS\Mgxclean.sys
[2005.07.27 20:20:07 | 000,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.07.15 15:26:47 | 000,000,051 | ---- | C] () -- C:\WINDOWS\vlbwin32.INI
[2005.07.06 11:24:06 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.07.04 13:54:40 | 000,005,251 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.07.04 13:34:21 | 000,042,267 | R--- | C] () -- C:\WINDOWS\System32\isdncoin.dll
[2005.07.04 13:34:21 | 000,008,976 | R--- | C] () -- C:\WINDOWS\System32\capi20.dll
[2005.07.04 13:31:48 | 000,127,681 | R--- | C] () -- C:\WINDOWS\VGAsetup.ini
[2005.07.04 13:31:38 | 000,102,386 | ---- | C] () -- C:\WINDOWS\System32\VGAunistlog.ini
[2005.07.04 13:29:51 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2005.07.04 13:29:51 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2005.07.04 13:29:49 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2005.07.04 13:29:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2005.07.04 13:29:48 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2005.07.04 13:29:02 | 000,032,768 | ---- | C] () -- C:\WINDOWS\SIS_LIB.DLL
[2003.03.20 13:39:32 | 000,022,016 | ---- | C] () -- C:\Programme\Readme.doc
[2003.02.06 09:56:40 | 000,090,624 | ---- | C] () -- C:\Programme\SvkOrder.xla
 
========== LOP Check ==========
 
[2007.12.23 12:31:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FREEDB
[2008.10.09 20:51:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogMeIn
[2007.12.23 12:29:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2008.12.02 19:23:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SF
[2011.01.21 19:14:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FileZilla
[2005.09.03 15:03:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\LEGO Company
[2007.12.23 12:30:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\MAGIX
[2005.07.11 21:28:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Opera
[2010.05.20 13:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TeamViewer
[2005.07.06 13:57:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2008.10.09 20:50:21 | 000,001,024 | ---- | M] () -- C:\.rnd
[2005.07.04 13:04:25 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2006.07.05 07:14:51 | 000,000,212 | RHS- | M] () -- C:\boot.ini
[2002.08.29 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2005.07.04 13:04:25 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2005.07.04 13:04:25 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2005.07.04 13:04:25 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2004.08.03 21:38:34 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.10.20 20:45:04 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.01.30 16:14:23 | 352,321,536 | -HS- | M] () -- C:\pagefile.sys
[2007.01.31 10:25:15 | 000,013,030 | ---- | M] () -- C:\PDOXUSRS.NET
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2005.07.04 13:03:50 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2007.04.09 12:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
[2011.01.28 08:30:29 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_260750.bat
[2011.01.28 09:16:50 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_77359.bat
[2011.01.23 12:07:36 | 000,000,139 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_80140.bat
[2011.01.25 07:40:28 | 000,000,205 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_88984.bat
 
< %PROGRAMFILES%\*.* >
[2003.03.20 13:39:32 | 000,022,016 | ---- | M] () -- C:\Programme\Readme.doc
[2003.02.06 09:56:40 | 000,090,624 | ---- | M] () -- C:\Programme\SvkOrder.xla
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2005.07.04 14:52:48 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2005.07.04 14:52:48 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2005.07.04 14:52:48 | 000,409,600 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.03 23:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.03 23:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-01-29 13:52:24
 
========== Files - Unicode (All) ==========
[2010.12.08 14:25:11 | 000,000,070 | ---- | M] ()(C:\WINDOWS\??45213) -- C:\WINDOWS\蠄ᐔ45213
[2010.12.08 14:25:11 | 000,000,070 | ---- | C] ()(C:\WINDOWS\??45213) -- C:\WINDOWS\蠄ᐔ45213
[2009.03.31 08:00:34 | 000,000,049 | ---- | M] ()(C:\WINDOWS\?) -- C:\WINDOWS\ᶨ
[2009.03.31 08:00:34 | 000,000,049 | ---- | C] ()(C:\WINDOWS\?) -- C:\WINDOWS\ᶨ
[2007.06.29 10:54:28 | 000,000,050 | ---- | M] ()(C:\WINDOWS\??????) -- C:\WINDOWS\�睋�睋�睋
[2007.06.29 09:52:10 | 000,000,050 | ---- | C] ()(C:\WINDOWS\??????) -- C:\WINDOWS\�睋�睋�睋
[2007.02.02 09:31:55 | 000,000,052 | ---- | M] ()(C:\WINDOWS\?) -- C:\WINDOWS\᝾
[2007.02.02 09:31:55 | 000,000,052 | ---- | C] ()(C:\WINDOWS\?) -- C:\WINDOWS\᝾
[2006.07.15 08:31:42 | 000,000,050 | ---- | M] ()(C:\WINDOWS\?) -- C:\WINDOWS\✐
[2006.07.15 08:31:42 | 000,000,050 | ---- | C] ()(C:\WINDOWS\?) -- C:\WINDOWS\✐
[2006.04.21 15:15:12 | 000,000,050 | ---- | M] ()(C:\WINDOWS\?????) -- C:\WINDOWS\瞲�⿯庯ઌ
[2006.04.21 15:15:12 | 000,000,050 | ---- | C] ()(C:\WINDOWS\?????) -- C:\WINDOWS\瞲�⿯庯ઌ
[2006.04.08 15:06:19 | 000,000,050 | ---- | M] ()(C:\WINDOWS\??) -- C:\WINDOWS\
[2006.04.08 15:06:19 | 000,000,050 | ---- | C] ()(C:\WINDOWS\??) -- C:\WINDOWS\

< End of report >

--- --- ---

cosinus · 02.02.2011, 15:29

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
[2011.01.28 08:30:29 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_260750.bat
[2011.01.28 09:16:50 | 000,000,177 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_77359.bat
[2011.01.23 12:07:36 | 000,000,139 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_80140.bat
[2011.01.25 07:40:28 | 000,000,205 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_88984.bat
[2008.10.09 20:50:21 | 000,001,024 | ---- | M] () -- C:\.rnd
O33 - MountPoints2\{27b82806-12a0-11e0-91f6-487444737531}\Shell\AutoRun\command - "" = G:\PMBP_Win.exe
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell - "" = AutoRun
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

manni85 · 02.02.2011, 18:04

Hier das Ergebnis:

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_260750.bat moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_77359.bat moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_80140.bat moved successfully.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\gb_88984.bat moved successfully.
C:\.rnd moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{27b82806-12a0-11e0-91f6-487444737531}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27b82806-12a0-11e0-91f6-487444737531}\ not found.
File G:\PMBP_Win.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ce29778-1032-11dd-8cb4-0016e35c29ac}\ not found.
File E:\LaunchU3.exe -a not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 1939064498 bytes
->Temporary Internet Files folder emptied: 220514693 bytes
->Java cache emptied: 67620698 bytes
->FireFox cache emptied: 86875844 bytes
->Flash cache emptied: 82384 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 2384543 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33975865 bytes
RecycleBin emptied: 23800 bytes

Total Files Cleaned = 2.244,00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 02022011_174616

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

01.02.2011, 18:51	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	AW: Viren- und Trojanerbefall, falsche Google-Weiterleitungen Dein OTL-Log kann ich nicht öffnen. Poste es bitte nochmal, das alte bitte falls vorhanden. __________________ Keine Hilfe per PN! Nutze das Forum! Daten retten nach Verschlüsselungstrojaner \| Bitte keine HijackThis Logs posten Das Trojaner-Board unterstützen

Viren- und Trojanerbefall, falsche Google-Weiterleitungen

Log-Analyse und Auswertung: Viren- und Trojanerbefall, falsche Google-Weiterleitungen

AW: Viren- und Trojanerbefall, falsche Google-Weiterleitungen

Ähnliche Themen: Viren- und Trojanerbefall, falsche Google-Weiterleitungen