Hallo,
ich bin in Panik. Auf dem PC meiner Frau werden alle Programme geblockt (Task-Manager, cmd.exe, ...). Es erscheint eine Meldung (Application cannot be executed. The file xyz is infected. Do you want to activated your antivirus software now?).
Der Internet-Explorer wird stets auf die Seite
//alphaantivir.microsoft.com/block.php
gelenkt.
Ich habe als erstes den CCleaner installiert (ging erstaunlicherweise). Ließ sich dann aber nicht starten (geblockt). So was ist in meinem PC-Leben noch nie passiert. Ich bin aber selbst schuld, da ich die Sicherheit vernachlässigt habe. Meine Frau reißt mir den Kopf ab. Was kann ich da machen?

Gruß und im Vorraus vielen Dank
Andreas

Hallo,
habe vergessen die Version anzugeben:
Windows XP Home SP 2

Gruß Andreas

USB Stick vorhanden bzw kannst Du dir eine CD brennen?

Hallo Daniel,
ich kann eine CD brennen, einen USB Stick habe ich auch.
Beim Brennen erfolgt in regeläßigen Abständen die Security Warnung.

Gruß
Andreas

Du bist kwasi mit dem verseuchten Rechner online ?

Versuchen wir einmal folgendes

schritt 1

Downloade Dir bitte exehelper von Raktor.
Speichere die Datei auf dem Desktop.
Doppelklick auf die exeHelper.com um das Tool zu starten.
Es sollte ein schwarzes Fenster aufpoppen. Drücke nach dem das Tool fertig ist eine beliebige Taste um es zu schließen.
Poste nun den Inhalt der exehelperlog.txt. ( Diese befindet sich dort, wo Du exehelper gespeichert hast )


schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
Exehelperlog.txt
OTL.txt
Extras.txt

(PS ich muss jz ins Bett, sehe ich mir morgen vormittag an)

Hallo Daniel,
bin NICHT mit dem Laptop Online (geht nicht da permanent Umlenkung auf Antivirus-Seite). Habe meinen PC neben dran. Mit dem bin ich Online.
Habe das Programm exeHelper und OTL heruntergeladen und per Stick auf den infizierten Laptop kopiert. Leider lassen sich die Programme nicht ausführen (wird geblockt).

PS: Bin erst am Sonntag nachmittag wieder Online.

Vielen Dank und einen guten Schlaf (im Gegensatz zu mir)

Andreas

Naja dann versuch ma mal das

Downloade Dir bitte Roguehelper.exe ( by Larusso ).

• Speichere die Datei auf deinem Desktop.
• Schließe bitte einen USB Stick an.
• Doppelklick auf die roguehelper.exe
• Wähle nun den Laufwerksbuchstaben des USB Sticks. ( D E F oder G )
  Solltest Du Dir nicht sicher sein welchen Buchstaben der Steckplatz hat, tippe bitte D ein.
• Das Tool wird nun ein paar Dateien auf den USB Stick kopieren.
• Nun solltest Du Files copied successfully on <Laufwerksbuchstabe> lesen.
  Sollten Fehlermeldungen auftauchen klicke bitte einfach auf weiter. Das kann an leeren Steckplätzen liegen.
• Stecke nun den USB Stick an den infizierten PC und folge den Anweisungen im DOS Fenster.

Wichtig: Sollte deine Anti- Viren- Software eine autorun.inf finden diese nicht löschen lassen. Die ist Teil des Tools.

Wenn der Scan beendet wurde, schließe den USB Stick mit gehaltener Shift- Taste an den sauberen PC an.
Navigiere nun auf Arbeitsplatz --> Rechtsklick auf den USB Stick --> Öffnen
und poste die OTL.txt hier in deinen Thread.

Hallo Daniel,
ich hab ein Vista-Rechner (uninfiziert) und der legt mir die USB-Stick auf "J". D.h. das Programm kann die Dateien nicht auf den Stick kopieren. Kann ich die Lauftragerbezeichnung ändern auf z.B "F"? Wenn nicht muß ich das morgen im Büro machen.

Gruß
Andreas

Ne musst Du nicht. J ist nicht soooo oft vergeben, daher habe ich den nit eingebaut
Werde ich wenn Zeit ist machen aber ich hab auch daran gedacht. Danke

Auf dem Rechner wo die roguehelper.exe ist, befindet sich unter C:\User\< Dein username> ein Ordner Roguehelper
Öffne diesen und kopiere alle darin enthaltenen Dateien auf den USB Stick

Schließe diesen bitte an den bereits gestarteten, verseuchten PC an.

Wenn sich kein DOS Fenster danach öffnet, müssen wir uns eine CD brennen oder andere Wege finden.

Hallo Daniel,
habe eine CD mit dem Inhalt (6 Dateien) unter Verzeichnis roguehelper gebrannt. Leider funktioniert trotz Datei "autorun.inf" das automatische Starten nicht. Es wird nur der Explorer geoffnet mit dem Inhalt der CD. Auf dem infizierten PC habe irgendwann mal die Autoplay Funktion auf für CD auf "Ornder öffnen" gesetzt!
Die Kommandoaufforderung "cmd.exe" läßt sich übrigens auch nicht ausführen!!!

Gruß
Andreas

Okay dann ist eventuell die autoplay funktion abgestellt. Ob das mit CD funzt kann ich jz so gar nicht sagen. Mit USB Stick funktionierts nicht ?

Hallo Daniel,
Problem. Ganz kurz erscheint die Eingabeaufforderung, wird dann beendet und die "Security Warnung" erscheint. Habe es mit dem USB-Stick probiert, nachdem ich alle alten Daten darauf entfernt habe und den Inhalt von roguehelper darauf kopiert habe.

Gruß
Andreas

Okay, also OTH startet nicht. Dann will das nicht so wie ich will.

Ok diese Anleitung ist groß. Drucke sie dir aus damit du weißt was du tun must.

Zwei Programme sind zu downloaden.

Schritt 1

ISOBurner
Dies wird dir erlauben die OTLPE ISO auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch. Wie brenne ich eine ISO Datei auf CD/DVD


Schritt 2

• Download OTLPE.iso und brenne es mit ISOBurner auf eine CD. NOTE: Die Datei ist 292MB groß und wird deshalb ein wenig dauern bis du sie gedownloadet hast.
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
• Starte dein System neu und boote von der CD die du gerade erstellt hast.
  Note : Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten, dann folge diesen Schritten hier
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Entsichere die Box "Automatically Load All Remaining Users" wenn sie gewählt ist und drücke OK.
• OTL sollte nun starten. Ändere die folgenden Einstellungen
  • Change Drivers to Non-Microsoft
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\OTL.txt gesichert
• Kopiere diese Datei auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt der OTL.txt Datei in diesen Thread.

Hallo Daniel,

erst einmal vielen Dank für deine Mühe.
Anbei der Inhalt von OTL.txt

OTL logfile created on: 4/19/2010 12:22:44 AM - Run
OTLPE by OldTimer - Version 3.1.37.2 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 86.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 138.27 Gb Total Space | 102.19 Gb Free Space | 73.91% Space Free | Partition Type: NTFS
Drive D: | 10.78 Gb Total Space | 0.43 Gb Free Space | 4.00% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 276.80 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - [2009/02/03 08:53:00 | 001,155,072 | ---- | M] (MAGIX AG) [Auto] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2008/08/07 04:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2008/02/27 16:27:55 | 001,251,720 | ---- | M] () [On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe -- (Symantec Core LC)
SRV - [2008/01/29 12:38:32 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service)
SRV - [2007/09/26 05:53:56 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate)
SRV - [2007/09/26 05:53:56 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Automatisches LiveUpdate - Scheduler)
SRV - [2007/05/08 02:38:46 | 000,540,448 | ---- | M] (PDF Complete Inc) [Auto] -- C:\Programme\PDF Complete\pdfsvc.exe -- (pdfcDispatcher)
SRV - [2007/04/19 07:35:46 | 000,075,304 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2007/03/29 11:50:50 | 000,221,184 | ---- | M] (SafeBoot International) [Auto] -- c:\Programme\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe -- (HpFkCryptService)
SRV - [2007/02/06 21:30:00 | 000,074,240 | R--- | M] (Cognizance Corporation) [Auto] -- C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll -- (ASBroker)
SRV - [2007/01/13 11:11:06 | 000,080,504 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Norton Internet Security\isPwdSvc.exe -- (ISPwdSvc)
SRV - [2007/01/12 07:40:58 | 000,049,248 | ---- | M] (Symantec Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe -- (comHost)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (LiveUpdate Notice Ex)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (ccSetMgr)
SRV - [2007/01/09 09:59:32 | 000,108,648 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe -- (ccEvtMgr)
SRV - [2007/01/04 14:48:52 | 000,112,152 | R--- | M] (InterVideo) [Auto] -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe -- (IviRegMgr)
SRV - [2007/01/04 12:19:28 | 000,047,712 | ---- | M] (Symantec Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe -- (SymAppCore)
SRV - [2006/11/06 07:31:14 | 000,887,544 | ---- | M] (Sonic Solutions) [On_Demand] -- c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9)
SRV - [2006/11/01 05:17:32 | 000,073,728 | R--- | M] (MicroVision Development, Inc.) [On_Demand] -- c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - [2006/10/26 14:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/06/22 01:14:00 | 000,131,584 | R--- | M] (Cognizance Corporation) [Auto] -- C:\Programme\Hewlett-Packard\IAM\Bin\ASChnl.dll -- (ASChannel)
SRV - [2004/10/21 21:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2001/02/23 05:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Google Search
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Search
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Admin_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555

IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Daniela_2_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\Daniela_2_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Daniela_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKU\Daniela_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555



IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\Putzi_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Google Search
IE - HKU\Putzi_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0




O1 HOSTS File: ([2004/08/04 04:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBHO.dll (Symantec Corporation)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O2 - BHO: (Credential Manager for HP ProtectTools) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll (Bioscrypt Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Show Norton Toolbar) - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll (Symantec Corporation)
O3 - HKU\Admin_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Daniela_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\Putzi_ON_C\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\accelerometerST.exe (Hewlett-Packard Corporation)
O4 - HKLM..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [CognizanceTS] C:\Programme\Hewlett-Packard\IAM\Bin\ASTSVCC.dll (Cognizance Corporation)
O4 - HKLM..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKLM..\Run: [MsmqIntCert] C:\WINDOWS\System32\mqrt.dll (Microsoft Corporation)
O4 - HKLM..\Run: [osCheck] C:\Programme\Norton Internet Security\osCheck.exe (Symantec Corporation)
O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe ()
O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe ()
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - HKU\Admin_ON_C..\Run: [] File not found
O4 - HKU\Admin_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Admin_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Admin_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Administrator_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_2_ON_C..\Run: [] File not found
O4 - HKU\Daniela_2_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Daniela_2_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Daniela_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Daniela_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Daniela_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKU\Putzi_ON_C..\Run: [] File not found
O4 - HKU\Putzi_ON_C..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company)
O4 - HKU\Putzi_ON_C..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKU\Putzi_ON_C..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Photosmart Premier – Schnellstart.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\LUMIX Simple Viewer.lnk = C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe (Matsushita Electric Industrial Co., Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Daniela_2_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Daniela_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Putzi_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\OneCard: DllName - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll (Cognizance Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\HP Cityscape Wide.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\HP Cityscape Wide.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001/07/27 19:07:00 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004/04/30 11:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{4a972252-e22f-11dc-8c73-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{4a972252-e22f-11dc-8c73-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5b02a562-ef3b-11dc-8c91-001a73c0a93b}\Shell - "" = AutoRun
O33 - MountPoints2\{5b02a562-ef3b-11dc-8c91-001a73c0a93b}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010/04/16 17:42:55 | 000,561,664 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010/04/16 16:18:54 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010/04/16 12:07:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso
[2006/02/18 22:28:56 | 000,012,288 | ---- | C] (Hewlett-Packard Development Company, L.P.) -- C:\WINDOWS\Fonts\RandFont.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010/04/18 16:41:28 | 000,262,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2010/04/18 16:41:28 | 000,229,376 | -H-- | M] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2010/04/18 16:24:51 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010/04/18 16:24:30 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010/04/18 16:24:30 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010/04/18 16:21:09 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/18 16:20:57 | 2012,532,736 | -HS- | M] () -- C:\hiberfil.sys
[2010/04/18 15:35:16 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2010/04/18 15:23:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010/04/16 17:42:46 | 000,561,664 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010/04/16 17:34:26 | 000,294,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\exeHelper.com
[2010/04/16 17:21:08 | 000,429,046 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010/04/16 17:21:08 | 000,412,118 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010/04/16 17:21:08 | 000,078,964 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010/04/16 17:21:08 | 000,065,636 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010/04/16 17:21:07 | 000,996,928 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010/04/16 16:18:55 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010/04/16 15:38:42 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Netzwerkumgebung.lnk
[2010/04/16 14:51:33 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\Daniela\NTUSER.DAT
[2010/04/16 14:51:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2010/04/16 14:12:31 | 000,000,293 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit Lokaler Datenträger (C).lnk
[2010/04/16 11:40:42 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010/04/10 16:41:44 | 000,092,672 | RHS- | M] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2010/04/04 15:55:52 | 002,883,584 | -H-- | M] () -- C:\Dokumente und Einstellungen\Putzi\NTUSER.DAT
[2010/03/27 19:05:58 | 000,000,372 | ---- | M] () -- C:\Dokumente und Einstellungen\Putzi\Eigene Dateien\spider.sav
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010/04/16 17:35:39 | 000,294,400 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\exeHelper.com
[2010/04/16 16:18:54 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010/04/16 15:38:42 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Netzwerkumgebung.lnk
[2010/04/16 14:12:31 | 000,000,293 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit Lokaler Datenträger (C).lnk
[2010/04/10 16:41:45 | 000,000,310 | -HS- | C] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/10 16:41:44 | 000,092,672 | RHS- | C] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2009/06/21 16:56:46 | 000,034,265 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\mdbu.bin
[2009/06/21 13:52:09 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009/06/21 13:50:21 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009/03/26 16:21:52 | 000,000,044 | ---- | C] () -- C:\WINDOWS\SMWizard.INI
[2009/02/21 11:16:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\FnF4.txt
[2008/06/28 10:08:19 | 000,408,576 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2008/06/28 10:08:19 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2008/06/28 09:57:54 | 000,027,648 | -HS- | C] () -- C:\WINDOWS\System32\Smab0.dll
[2008/03/06 14:03:41 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\hpzids01.dll
[2008/03/04 16:13:07 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/04 16:13:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/04 16:13:05 | 004,194,304 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela\NTUSER.DAT
[2008/03/04 16:13:05 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela\ntuser.dat.LOG
[2008/03/04 16:13:05 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Daniela\ntuser.ini
[2008/03/04 16:09:47 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/03 15:51:11 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/03 15:51:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/03 15:51:09 | 003,407,872 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2008/03/03 15:51:09 | 000,278,528 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG
[2008/03/03 15:51:09 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2008/03/03 15:23:55 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/03/03 15:23:55 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/03/03 15:23:53 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\NTUSER.DAT
[2008/03/03 15:23:53 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\ntuser.dat.LOG
[2008/03/03 15:23:53 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Daniela_2\ntuser.ini
[2008/03/01 12:59:09 | 000,000,069 | ---- | C] () -- C:\Programme\pp2.ram
[2008/03/01 12:58:38 | 000,000,071 | ---- | C] () -- C:\Programme\pp1.ram
[2008/02/24 08:55:45 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2008/02/24 08:55:45 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Putzi\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2008/02/24 08:55:44 | 002,883,584 | -H-- | C] () -- C:\Dokumente und Einstellungen\Putzi\NTUSER.DAT
[2008/02/24 08:55:44 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Putzi\ntuser.dat.LOG
[2008/02/24 08:55:44 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Putzi\ntuser.ini
[2008/02/24 08:24:09 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008/02/23 12:51:59 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2008/02/23 12:51:59 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2008/02/23 12:51:59 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2008/02/23 12:51:59 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2008/02/23 12:51:59 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2008/02/23 12:51:59 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\QSwitch.txt
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DSwitch.txt
[2007/07/26 20:26:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\AtStart.txt
[2007/07/26 19:53:50 | 000,029,752 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2007/07/26 19:53:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI
[2007/07/26 19:31:56 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/07/26 19:22:52 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.ini
[2007/07/26 19:22:51 | 000,262,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2007/07/26 19:22:51 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[2007/07/26 19:22:50 | 000,229,376 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2007/07/26 19:22:50 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[2007/07/26 19:22:50 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.ini
[2007/02/06 10:20:00 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2007/02/06 09:55:52 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\btprn2k.dll
[2007/01/19 10:30:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2006/09/18 17:02:40 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylist2Roxio.dll
[2006/09/18 17:02:40 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\CddbFileTaggerRoxio.dll
[2005/02/17 06:41:32 | 000,000,603 | ---- | C] () -- C:\WINDOWS\System32\BTNeighborhood.dll.manifest
[2005/02/17 06:41:30 | 000,000,593 | ---- | C] () -- C:\WINDOWS\System32\btcss.dll.manifest
[2004/08/07 02:08:52 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2004/08/07 02:08:52 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
[2004/08/07 02:08:52 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2004/08/07 02:08:46 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004/08/07 02:02:10 | 000,000,939 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004/08/04 04:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/08/04 04:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001/11/14 07:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
[1998/05/06 22:10:00 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\ODMA32.dll

========== LOP Check ==========

[2008/06/28 12:32:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\InterVideo
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SampleView
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela_2\Anwendungsdaten\SampleView
[2008/06/28 16:34:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\InterVideo
[2009/06/21 13:54:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\MAGIX
[2009/02/27 15:32:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\Panasonic
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Daniela\Anwendungsdaten\SampleView
[2008/04/15 13:54:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Putzi\Anwendungsdaten\InterVideo
[2008/02/23 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Putzi\Anwendungsdaten\SampleView
[2010/04/18 16:21:09 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\Tasks\Huubolpayz.job

========== Purity Check ==========


< End of report >

Ich hoffe du kannst was damit anfangen.

Gruß
Andreas

Ne ich kenn mich damit nit aus

schritt 1

Wenn du mit OTLPE keine Internetverbindung herstellen kannst, dann speichere dir bitte folgendes als fix.txt auf einen USB Stick.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKLM..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Admin_ON_C..\Run: [] File not found
O4 - HKU\Administrator_ON_C..\Run: [] File not found
O4 - HKU\Daniela_2_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [] File not found
O4 - HKU\Daniela_ON_C..\Run: [hyqehnue] C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso\asryxaatssd.exe ()
O4 - HKU\Putzi_ON_C..\Run: [] File not found
[2010/04/10 16:41:45 | 000,000,310 | -HS- | C] () -- C:\WINDOWS\tasks\Huubolpayz.job
[2010/04/10 16:41:44 | 000,092,672 | RHS- | C] () -- C:\WINDOWS\System32\wpdmtpdrs.dll
[2010/04/16 12:07:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Daniela\Lokale Einstellungen\Anwendungsdaten\sbrxoprso
:commands
[emptytemp]
         

Starte nun wieder mit OTLPE. Klicke nun auf den roten Run Fix Button. Wenn du nach einem Script gefragt wirst, navigiere bitte im Explorer von OTLPE zu der fix.txt auf den USB Stick und klicke öffnen.
Nun erneut auf Run Fix klicken.


Nach dem Neustart solltest Du wieder auf dem Infizierten PC arbeiten können. Wenn nicht lass bitte Schritt 2 aus und sage mir bescheid

schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt
Berichte ob die Rogue Software noch Probleme macht