BKA GVU Trojaner

EndiE · 02.07.2012, 23:29

Hallo zusammen

Ich habe auf meinem laptop (asus x51l) auch den besagten trojaner. Jetzt habe ich nach eurer anleitung mit kaspersky rescue disk gearbeitet, er findet jedoch keine registry disabletaskmgr. Was kann ich denn nur tun? Im abgesicherten modus kommt das popupfenster nicht, allerdings sind da jetzt buchstaben auf der tastatur vertauscht.

Gruesse und dank im vorruas
Endi

markusg · 03.07.2012, 18:27

im abges.modus folgendes versuchen.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die
Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

EndiE · 03.07.2012, 22:45

danke vielmals !!! Extra.txt hab ich nicht gefunden...

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 03.07.2012 23:27:32 - Run 2
OTL by OldTimer - Version 3.2.53.1     Folder = C:\Dokumente und Einstellungen\Endi\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,75 Gb Available Physical Memory | 87,86% Memory free
3,84 Gb Paging File | 3,78 Gb Available in Paging File | 98,30% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 61,33 Gb Free Space | 41,15% Space Free | Partition Type: NTFS
 
Computer Name: ENDI-600DF79AAE | User Name: Endi | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.07.03 00:22:44 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Endi\Desktop\OTL.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2012.06.23 15:13:39 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.06.17 20:25:21 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.06.03 21:25:46 | 000,069,640 | ---- | M] (Nalpeiron Ltd.) [Auto | Stopped] -- C:\WINDOWS\system32\NLSSRV32.EXE -- (nlsX86cc)
SRV - [2012.05.10 11:52:44 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.10 11:52:42 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe -- (AntiVirWebService)
SRV - [2012.05.10 11:52:42 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.04.05 11:37:38 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.02.27 01:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011.10.12 11:50:29 | 004,176,896 | ---- | M] (Native Instruments GmbH) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe -- (NIHardwareService)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Stopped] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2010.01.15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2007.10.23 20:35:40 | 000,364,629 | ---- | M] (Atheros) [Auto | Stopped] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2007.08.08 01:08:40 | 000,094,208 | ---- | M] () [Auto | Stopped] -- C:\Programme\ATKGFNEX\GFNEXSrv.exe -- (ATKGFNEXSrv)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.05.10 11:52:44 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.10 11:52:44 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.05 13:46:36 | 000,041,944 | ---- | M] (Novation DMS Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvnusbaudio.sys -- (NvnUsbAudio)
DRV - [2011.09.16 17:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | Auto | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.04.16 19:33:00 | 004,707,328 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.10.26 03:20:36 | 000,549,184 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2007.08.08 21:42:08 | 000,045,568 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2007.07.30 11:42:58 | 000,043,008 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2007.07.24 12:09:04 | 000,013,880 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Programme\ATKGFNEX\ASMMAP.sys -- (ASMMAP)
DRV - [2007.07.12 05:49:00 | 000,096,384 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2007.07.03 20:46:24 | 000,057,344 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2007.01.23 21:08:40 | 000,005,632 | R--- | M] ( ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\kbfiltr.sys -- (kbfiltr)
DRV - [2006.12.17 02:11:58 | 000,007,680 | R--- | M] (ATK0100) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2006.11.21 20:35:00 | 000,982,272 | R--- | M] (Motorola Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial)
DRV - [2004.08.03 23:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004.05.27 19:13:04 | 000,016,269 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\Programme\ATK Hotkey\ASNDIS5.SYS -- (ASNDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\SearchScopes,DefaultScope = {CAAB9A9A-65AF-4AD0-885A-EB4F32578EAA}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{CAAB9A9A-65AF-4AD0-885A-EB4F32578EAA}: "URL" = hxxp://www.google.com/search?q={searchTerms}&amp;sourceid=ie7&amp;rls=com.microsoft:{language}:{referrer:source}&amp;ie={inputEncoding?}&oe={outputEncoding?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..network.proxy.http: "zeus.epplehaus.de"
FF - prefs.js..network.proxy.http_port: 8080
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.17 20:25:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.04.14 09:45:47 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.20 21:00:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 13.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\firejump@firejump.net: C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\ef5yq2br.default\extensions\firejump@firejump.net [2012.06.29 16:33:35 | 000,000,000 | ---D | M]
 
[2012.04.23 19:32:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Extensions
[2012.06.18 01:58:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\90469skn.default\extensions
[2012.06.18 01:58:28 | 000,000,000 | ---D | M] (@@toolbarname@@) -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\90469skn.default\extensions\toolbar@ask.com
[2012.06.29 16:33:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\ef5yq2br.default\extensions
[2012.06.29 16:33:35 | 000,000,000 | ---D | M] (FireJump) -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\ef5yq2br.default\extensions\firejump@firejump.net
[2012.04.24 11:23:56 | 000,002,057 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\ef5yq2br.default\searchplugins\youtube-videosuche.xml
[2012.03.18 00:11:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.06.29 11:14:49 | 000,089,075 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ENDI\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EF5YQ2BR.DEFAULT\EXTENSIONS\{02450914-CDD9-410F-B1DA-DB004E18C671}.XPI
[2012.04.24 11:22:45 | 000,025,781 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ENDI\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EF5YQ2BR.DEFAULT\EXTENSIONS\ADD-TO-SEARCHBOX@MALTEKRAUS.DE.XPI
[2012.06.17 20:25:22 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.03.11 15:47:44 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.12.09 19:23:32 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2012.04.21 03:54:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.21 03:54:08 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.04.21 03:54:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.04.21 03:54:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.21 03:54:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.21 03:54:08 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ACU] C:\Programme\Atheros\ACU.exe (Atheros Communications, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe ()
O4 - HKLM..\Run: [ATKHOTKEY] C:\Programme\ATK Hotkey\Hcontrol.exe (ATK0100)
O4 - HKLM..\Run: [ATKOSD2] C:\Programme\ATKOSD2\ATKOSD2.exe ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [HControlUser] C:\Programme\ATK Hotkey\HcontrolUser.exe ()
O4 - HKLM..\Run: [MsgTranAgt] C:\Programme\ATK Hotkey\MsgTranAgt.exe ()
O4 - HKLM..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKLM..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe ()
O4 - HKCU..\Run: [Spotify Web Helper] C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Endi\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AD2AF049-49B3-44CB-981A-40B14F719F98}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.03.05 19:48:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\INF\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
CREATERESTOREPOINT
Unable to start System Restore Service. Error code 10
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.03 11:10:46 | 004,568,951 | ---- | C] (Swearware) -- C:\Dokumente und Einstellungen\Endi\Desktop\ComboFix.exe
[2012.07.03 01:56:26 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.07.03 01:00:07 | 090,957,194 | ---- | C] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Endi\Desktop\OTLPENet.exe
[2012.07.03 00:31:32 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Endi\Desktop\mbam-setup-1.61.0.1400.exe
[2012.07.03 00:22:42 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Endi\Desktop\OTL.exe
[2012.07.02 23:29:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Canneverbe Limited
[2012.07.02 23:29:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012.07.02 23:29:01 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP
[2012.07.02 23:10:25 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2012.06.27 15:03:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Desktop\BerlinFrittEndi
[2012.06.11 20:46:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Eigene Dateien\DVB-USB Terrestrial
[2012.06.11 20:46:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\DVB-USB Terrestrial
[2012.06.11 20:46:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C&E
[2012.06.05 17:33:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Nitro PDF
[2012.06.05 17:33:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\FileOpen
[2012.06.05 17:33:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen
[2012.06.05 17:32:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nitro PDF
[2012.06.05 17:31:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Downloaded Installations
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.03 23:23:37 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.07.03 23:15:56 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.03 23:13:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.03 16:36:01 | 001,625,652 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Desktop\EFFC-2012-Guide-Istanbul-ENGLISH-Web-print.pdf
[2012.07.03 11:11:15 | 004,568,951 | ---- | M] (Swearware) -- C:\Dokumente und Einstellungen\Endi\Desktop\ComboFix.exe
[2012.07.03 01:34:55 | 000,131,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.03 01:17:39 | 090,957,194 | ---- | M] (Igor Pavlov) -- C:\Dokumente und Einstellungen\Endi\Desktop\OTLPENet.exe
[2012.07.03 00:31:44 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Endi\Desktop\mbam-setup-1.61.0.1400.exe
[2012.07.03 00:22:44 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Endi\Desktop\OTL.exe
[2012.07.03 00:22:30 | 000,517,156 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.07.03 00:22:30 | 000,493,950 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.07.03 00:22:30 | 000,101,186 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.07.03 00:22:30 | 000,084,494 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.07.02 23:29:04 | 000,001,576 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[2012.07.02 23:05:22 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2012.07.02 22:49:30 | 000,001,604 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Startmenü\Programme\Autostart\ctfmon.lnk
[2012.07.02 21:43:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012.07.02 20:13:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.07.02 19:24:29 | 000,126,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Desktop\Facebook_1341249867173.png
[2012.06.27 09:37:40 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012.06.23 21:59:38 | 000,058,867 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Desktop\P230612_21.590001.JPG
[2012.06.23 15:33:08 | 000,010,951 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Desktop\419503_10150636039484727_363016472_n.jpg
[2012.06.13 15:42:38 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.13 14:32:56 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.13 11:34:39 | 005,979,868 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Desktop\nicht dazu gehoeren.mp3
[2012.06.11 21:00:55 | 000,003,584 | ---- | M] () -- C:\dvb.GRF
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[14 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.03 16:36:01 | 001,625,652 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Desktop\EFFC-2012-Guide-Istanbul-ENGLISH-Web-print.pdf
[2012.07.02 23:29:04 | 000,001,576 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[2012.07.02 23:29:04 | 000,001,520 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP.lnk
[2012.07.02 23:29:02 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2012.07.02 22:49:46 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.07.02 22:49:30 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\l_u0_0.pad
[2012.07.02 22:49:30 | 000,001,604 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Startmenü\Programme\Autostart\ctfmon.lnk
[2012.07.02 19:24:29 | 000,126,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Desktop\Facebook_1341249867173.png
[2012.06.23 22:04:54 | 000,058,867 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Desktop\P230612_21.590001.JPG
[2012.06.23 15:33:06 | 000,010,951 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Desktop\419503_10150636039484727_363016472_n.jpg
[2012.06.13 11:34:38 | 005,979,868 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Desktop\nicht dazu gehoeren.mp3
[2012.06.11 20:48:29 | 000,003,584 | ---- | C] () -- C:\dvb.GRF
[2012.05.15 13:29:44 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ArtFfct.dll
[2012.05.15 13:15:51 | 000,065,536 | ---- | C] () -- C:\WINDOWS\IFinst27.exe
[2012.03.16 23:26:15 | 000,260,204 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-789336058-823518204-725345543-1003-0.dat
[2012.03.16 23:26:14 | 000,132,066 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.03.16 20:35:10 | 000,000,087 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft.SqlServer.Compact.400.32.bc
[2012.03.06 16:44:49 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.03.06 12:01:40 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\sqlite36_engine.dll
[2012.03.06 01:13:43 | 000,131,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Endi\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.05 23:39:31 | 000,005,632 | R--- | C] ( ) -- C:\WINDOWS\System32\drivers\kbfiltr.sys
[2012.03.05 22:56:45 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4935.dll
[2012.03.05 22:56:42 | 002,215,364 | R--- | C] () -- C:\WINDOWS\System32\igklg400.bin
[2012.03.05 22:56:42 | 001,971,732 | R--- | C] () -- C:\WINDOWS\System32\igklg450.bin
[2012.03.05 22:56:42 | 000,029,932 | R--- | C] () -- C:\WINDOWS\System32\igmedcompkrn.bin
[2012.03.05 22:44:46 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2012.03.05 22:40:12 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4759.dll
[2012.03.05 22:40:06 | 000,910,464 | R--- | C] () -- C:\WINDOWS\System32\igmedkrn.dll
[2012.03.05 19:51:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.03.05 19:45:19 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.03.05 19:33:21 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.03.05 19:31:53 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== LOP Check ==========
 
[2012.04.27 10:41:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ableton
[2012.06.11 20:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C&E
[2012.07.02 23:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012.06.05 17:33:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FileOpen
[2012.04.25 17:23:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Native Instruments
[2012.06.27 19:16:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nitro PDF
[2012.03.12 13:24:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{013BB0BF-30DA-4354-AD33-636A6EB72DA6}
[2012.03.08 15:16:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012.04.25 17:29:48 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5EFCB72A-E649-4DA4-9361-333ADF7A2A74}
[2012.03.12 13:18:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A6DB2A6F-FF9D-453F-99D6-C1AA54BC0C14}
[2012.04.25 17:22:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E6A5D1F3-568D-4BA2-B7B6-7B6E93D9DA97}
[2012.04.27 10:41:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Ableton
[2012.06.08 14:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Amazon
[2012.04.23 17:49:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\AskToolbar
[2012.05.24 09:16:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Audacity
[2012.07.02 23:29:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Canneverbe Limited
[2012.06.29 16:33:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\DesktopIconForAmazon
[2012.06.05 17:47:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Downloaded Installations
[2012.06.05 17:33:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\FileOpen
[2012.06.05 17:50:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Nitro PDF
[2012.03.08 18:14:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\OpenOffice.org
[2012.06.29 11:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Spotify
[2012.03.06 11:13:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Endi\Anwendungsdaten\Thunderbird
[2012.07.02 21:43:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2012.03.09 04:04:23 | 000,000,000 | ---D | M] -- C:\171749e33b0a26f4d3b24648c8c7ff08
[2012.03.25 17:30:00 | 000,000,000 | ---D | M] -- C:\2b588b4511237dcf32ef5ee2cb04e57deb556ec6
[2012.05.31 23:07:03 | 000,000,000 | ---D | M] -- C:\966c0420c02127b025617cadac20b81fbbb219b1
[2012.03.05 19:54:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012.03.05 22:39:50 | 000,000,000 | ---D | M] -- C:\Intel
[2012.07.03 02:01:11 | 000,000,000 | ---D | M] -- C:\Kaspersky Rescue Disk 10.0
[2012.07.02 23:29:01 | 000,000,000 | R--D | M] -- C:\Programme
[2012.03.05 22:46:02 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012.03.05 19:53:53 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.03.05 23:45:34 | 000,000,000 | ---D | M] -- C:\temp
[2012.07.02 23:10:25 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< MD5 for: AGP440.SYS  >
[2006.02.28 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2012.03.06 01:44:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2012.03.06 01:44:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2006.02.28 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2012.03.06 01:44:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2012.03.06 01:44:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2006.02.28 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0009\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2006.02.28 14:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2006.02.28 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2006.02.28 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll
[2009.02.06 20:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2006.02.28 14:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2006.02.28 14:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.02.28 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2006.02.28 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2012.03.05 20:30:31 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2012.03.05 20:30:31 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2012.03.05 20:30:31 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[14 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %USERPROFILE%\*.* >
[2012.07.03 17:40:14 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Endi\NTUSER.DAT
[2012.07.03 23:30:18 | 000,233,472 | -H-- | M] () -- C:\Dokumente und Einstellungen\Endi\ntuser.dat.LOG
[2012.07.03 17:40:14 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Endi\ntuser.ini
 
< %USERPROFILE%\Local Settings\Temp\*.exe >
 
< %USERPROFILE%\Local Settings\Temp\*.dll >
 
< %USERPROFILE%\Application Data\*.exe >
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.05.15 15:56:00 | 001,863,296 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 192 bytes -> C:\WINDOWS:nlsPreferences

< End of report >

--- --- ---

markusg · 04.07.2012, 16:25

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
[2012.07.02 22:49:30 | 000,001,604 | ---- | M] () -- C:\Dokumente und Einstellungen\Endi\Startmenü\Programme\Autostart\ctfmon.lnk
 :Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

EndiE · 05.07.2012, 00:30

v5e3en dan2!

Jetzt laeuft r rechner wieder auch im normalen modus. Allerdings ist meinentastatur immer noch verdreht, siehe oben, als ich versuchte vielen ank zu schreiben. Hat das amit
was zu tun oder ist das was ganz andees?

Dank und gruss
Endi

Zitat:

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\Endi\Startmenü\Programme\Autostart\ctfmon.lnk moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: Endi
->Flash cache emptied: 8775622 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 8,00 mb

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Endi
->Temp folder emptied: 230168735 bytes
->Temporary Internet Files folder emptied: 28101791 bytes
->Java cache emptied: 1258935 bytes
->FireFox cache emptied: 351616238 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

markusg · 05.07.2012, 17:28

immer mit der ruhe, das kommt alles noch :-)
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
Trojaner-Board Upload Channel

EndiE · 05.07.2012, 20:12

Hi marcusg,
So einen pfad finde ich leider nicht. Auch nicht ueber die suche. Er zeigt noch nicht mal einen c:/users an....
Dank und gruss endi

markusg · 06.07.2012, 21:28

ok weiter hiermit

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

EndiE · 07.07.2012, 13:16

Gruesse und dank im vorraus

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-07-07.02 - Endi 07.07.2012  14:05:33.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2039.1516 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Endi\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\dllcache\dlimport.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-06-07 bis 2012-07-07  ))))))))))))))))))))))))))))))
.
.
2012-07-04 23:22 . 2012-07-04 23:22	--------	d-----w-	C:\_OTL
2012-07-02 23:56 . 2012-07-03 00:01	--------	d---a-w-	C:\Kaspersky Rescue Disk 10.0
2012-07-02 21:29 . 2012-07-02 21:29	--------	d-----w-	c:\dokumente und einstellungen\Endi\Anwendungsdaten\Canneverbe Limited
2012-07-02 21:29 . 2012-07-02 21:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2012-07-02 21:29 . 2009-11-12 12:48	5504	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2012-07-02 21:29 . 2012-07-02 21:29	--------	d-----w-	c:\programme\CDBurnerXP
2012-06-20 18:42 . 2012-06-20 18:42	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-06-13 12:13 . 2012-05-11 14:40	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2012-06-11 18:50 . 2008-04-14 00:58	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2012-06-11 18:50 . 2008-04-14 00:58	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2012-06-11 18:46 . 2012-06-11 18:46	--------	d-----w-	c:\windows\DVB-USB Terrestrial
2012-06-11 18:46 . 2012-06-11 18:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\C&E
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-23 13:13 . 2012-04-11 09:54	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-23 13:13 . 2012-03-06 00:57	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-03 19:25 . 2012-06-03 19:25	69640	----a-w-	c:\windows\system32\NLSSRV32.EXE
2012-06-02 13:19 . 2012-03-05 17:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2012-03-05 17:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2012-03-05 17:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 18:24	18456	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24	15896	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2012-03-05 17:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2012-03-05 17:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 18:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 18:24	15896	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2006-02-28 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24	23576	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2012-03-05 17:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2012-03-05 17:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2006-02-28 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2006-02-28 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:56 . 2006-02-28 12:00	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-15 11:15 . 2012-05-15 11:15	65536	----a-w-	c:\windows\IFinst27.exe
2012-05-11 14:40 . 2006-02-28 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-02-28 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-02-28 12:00	385024	------w-	c:\windows\system32\html.iec
2012-05-10 09:52 . 2012-03-06 00:03	83392	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-10 09:52 . 2012-03-06 00:03	137928	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-05 03:14 . 2006-02-28 12:00	2194944	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-04 00:50	2071424	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2012-03-05 17:43	139656	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-06-17 18:25 . 2012-04-23 17:32	85472	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-05-29 15:25	1519312	----a-w-	c:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-05-29 1519312]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-05-29 1519312]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify Web Helper"="c:\dokumente und einstellungen\Endi\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe" [2012-06-29 1192664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2011-03-07 89456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-21 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-21 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-21 137752]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"HControlUser"="c:\programme\ATK Hotkey\HcontrolUser.exe" [2008-01-11 98304]
"ATKHOTKEY"="c:\programme\ATK Hotkey\Hcontrol.exe" [2008-02-01 233472]
"MsgTranAgt"="c:\programme\ATK Hotkey\MsgTranAgt.exe" [2007-11-04 106496]
"ATKOSD2"="c:\programme\ATKOSD2\ATKOSD2.exe" [2008-01-23 7766016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-11-15 1024000]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-09 16861184]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-21 630784]
"ACU"="c:\programme\Atheros\ACU.exe" [2007-10-23 376921]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2012-05-29 1564880]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-10 348624]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-12-09 74752]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-06 421736]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Endi\Startmenü\Programme\Autostart\
OpenOffice.org 3.3.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Dokumente und Einstellungen\\Endi\\Anwendungsdaten\\Spotify\\spotify.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [06.03.2012 02:03 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.03.2012 02:03 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [06.03.2012 02:03 465360]
R2 NIHardwareService;NIHardwareService;c:\programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe [12.10.2011 11:50 4176896]
R2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\system32\NLSSRV32.EXE [03.06.2012 21:25 69640]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [05.04.2012 11:37 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [11.04.2012 11:54 250056]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [23.04.2012 19:32 113120]
S3 NvnUsbAudio;Novation USB Audio Driver;c:\windows\system32\drivers\nvnusbaudio.sys [16.03.2012 22:04 41944]
.
Inhalt des "geplante Tasks" Ordners
.
2012-07-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-11 13:13]
.
2012-07-07 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-05-29 15:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Endi\Anwendungsdaten\Mozilla\Firefox\Profiles\ef5yq2br.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-07 14:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1008)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-07-07  14:11:50
ComboFix-quarantined-files.txt  2012-07-07 12:11
.
Vor Suchlauf: 11 Verzeichnis(se), 68.960.649.216 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69.077.016.576 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 9CAF2784572DAC0FC60D80501BFCD845

--- --- ---

markusg · 10.07.2012, 22:54

malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

EndiE · 11.07.2012, 02:10

Zitat:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.10.14

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Endi :: ENDI-600DF79AAE [Administrator]

Schutz: Aktiviert

11.07.2012 00:58:15
mbam-log-2012-07-11 (00-58-15).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 278092
Laufzeit: 1 Stunde(n), 59 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

sieht ganz gut aus, oder?
vielen dank bis hierhin!!!
endi

markusg · 11.07.2012, 22:27

lade den CCleaner standard:
CCleaner Download - CCleaner 3.20.1750
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

EndiE · 25.07.2012, 14:10

vielen, vielen dank!

Zitat:

Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 19.07.2012 11.2.202.235 notwendig
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 19.07.2012 11.3.300.265 notwendig
Adobe Reader X (10.1.3) - Deutsch Adobe Systems Incorporated 14.04.2012 122,00MB 10.1.3 notwendig
Apple Application Support Apple Inc. 08.03.2012 62,75MB 2.1.7
Apple Mobile Device Support Apple Inc. 08.03.2012 24,39MB 5.1.1.4
Apple Software Update Apple Inc. 08.03.2012 2,38MB 2.1.3.127
ASIO4ALL Michael Tippach 16.03.2012 2.10 notwendig
ASUS Live Update ASUS 05.03.2012 2.5.6 notwendig
Atheros Client Installation Program Atheros 05.03.2012
ATK Generic Function Service ATK 05.03.2012 1.00.0008 unbekannt
ATK Hotkey ATK 05.03.2012 1.00.0034 unbekannt
ATKOSD2 ATK 05.03.2012 6.64.1.8 unbekannt
Audacity 2.0 Audacity Team 24.05.2012 notwendig
Avira Free Antivirus Avira 20.07.2012 12.0.0.1125 notwendig
Avira SearchFree Toolbar plus Web Protection Ask.com 18.06.2012 5,58MB 1.15.2.0 unnötig
Avira SearchFree Toolbar plus Web Protection Updater Ask.com 18.06.2012 1.3.0.23268 unnötig
CCleaner Piriform 22.06.2012 3.20 notwendig
CDBurnerXP CDBurnerXP 02.07.2012 4.4.1.3099
Desktop Icon für Amazon 29.06.2012 1.0.1 (de) unnötig
FireJump FireJump.net 29.06.2012 1.0.2.5 unbekannt
High Definition Audio - KB888111 Microsoft Corporation 20040219.000000 notwendig
HP Deskjet 3050 J610 series - Grundlegende Software für das Gerät Hewlett-Packard Co. 12.03.2012 97,77MB 22.0.334.0
HP Deskjet 3050 J610 series Hilfe Hewlett Packard 12.03.2012 12,89MB 140.0.63.63 notwendig
Intel(R) Graphics Media Accelerator Driver 21.03.2008
iTunes Apple Inc. 08.03.2012 156,00MB 10.6.0.40 notwendig
Java(TM) 6 Update 31 Oracle 11.03.2012 91,30MB 6.0.310 notwendig
Live 7.0.18 27.04.2012 notwendig
Malwarebytes Anti-Malware Version 1.61.0.1400 Malwarebytes Corporation 11.07.2012 1.61.0.1400 notwendig
McAfee Security Scan Plus McAfee, Inc. 14.03.2012 2.0.181.2 notwendig
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 13.06.2012 185,00MB 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 13.05.2012 239,00MB 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 12.05.2012
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 13.06.2012 4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 13.03.2012 4.0.30319
Microsoft .NET Framework 4 Extended Microsoft Corporation 13.03.2012 4.0.30319
Microsoft .NET Framework 4 Extended DEU Language Pack Microsoft Corporation 12.03.2012 4.0.30319
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 06.03.2012 10,19MB 9.0.30729.4148
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 06.03.2012 11,13MB 10.0.40219
Mixed In Key 5.0 Mixed In Key LLC 12.03.2012 10,01MB 5.0.872.0 notwendig
Moog Modular V 2.2 Arturia 24.05.2012 notwendig
Motorola SM56 Data Fax Modem unnötig
Mozilla Firefox 14.0.1 (x86 de) Mozilla 19.07.2012 14.0.1 notwendig
Mozilla Maintenance Service Mozilla 17.06.2012 14.0.1
Mozilla Thunderbird 14.0 (x86 de) Mozilla 19.07.2012 14.0
Native Instruments Controller Editor Native Instruments 25.04.2012 notwendig
Native Instruments Service Center Native Instruments 12.03.2012 notwendig
Native Instruments Traktor Native Instruments 12.03.2012 notwendig
Native Instruments Traktor 2 Native Instruments 25.04.2012 notwendig
Novation USB Audio Driver 2.3 Novation DMS Ltd. 16.03.2012 2.3 notwendig
OpenOffice.org 3.3 OpenOffice.org 06.03.2012 412,00MB 3.3.9567 notwendig
Realtek AC'97 Audio Realtek Semiconductor Corp. 05.03.2012 5.36 notwendig
REALTEK GbE & FE Ethernet PCI NIC Driver Realtek 05.03.2012 1.13.0000 notwendig
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 05.03.2012 5.10.0.5605 notwendig
Reason 4.0 Propellerhead Software AB 15.05.2012 4.0 notwendig
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.52.02 unbekannt 3.52.02
Skype™ 5.9 Skype Technologies S.A. 30.04.2012 19,35MB 5.9.114 notwendig
Spotify Spotify AB 19.07.2012 0.8.4.107.g4fa0003f notwendig
Synapse Hydra VSTi V1.0 05.07.2012 notwendig
Synaptics Pointing Device Driver Synaptics 05.03.2012 10.1.6.0 notwendig
VirtualCloneDrive Elaborate Bytes 05.03.2012 notwendig
VLC media player 1.1.11 VideoLAN 05.03.2012 1.1.11 notwendig
Winamp Nullsoft, Inc 06.03.2012 5.623 notwendig
Winamp Erkennungs-Plug-in Nullsoft, Inc 06.03.2012 1.0.0.1
Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation 05.03.2012
Windows Internet Explorer 8 Microsoft Corporation 06.03.2012 20090308.140743 notwendig
Windows XP Service Pack 3 Microsoft Corporation 05.03.2012 20080414.031514 notwendig
WinRAR 4.10 (32-Bit) win.rar GmbH 06.03.2012 4.10.0 notwendig
Wireless Console 2 ATK 05.03.2012 2.0.10

markusg · 25.07.2012, 14:20

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Avira SearchFree : beide
Desktop Icon
McAfee Security Scan

öffne ccleaner, analysieren, starten
öffne otl, cleanup.
pc startetneu, testn wie er läuft

EndiE · 25.07.2012, 17:57

alles gemacht, läuft fein!

sonst noch etwas?
grüße
endi

05.07.2012, 17:28	#6
markusg /// Malware-holic	BKA GVU Trojaner immer mit der ruhe, das kommt alles noch :-) für eine weitere analyse benötige ich mal folgendes. c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte Trojaner-Board Upload Channel __________________ --> BKA GVU Trojaner

05.07.2012, 20:12	#7
EndiE	BKA GVU Trojaner Hi marcusg, So einen pfad finde ich leider nicht. Auch nicht ueber die suche. Er zeigt noch nicht mal einen c:/users an.... Dank und gruss endi

25.07.2012, 17:57	#15
EndiE	BKA GVU Trojaner alles gemacht, läuft fein! sonst noch etwas? grüße endi

BKA GVU Trojaner

Plagegeister aller Art und deren Bekämpfung: BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner

BKA GVU Trojaner