Zurück   Trojaner-Board > Malware entfernen > Antiviren-, Firewall- und andere Schutzprogramme

Antiviren-, Firewall- und andere Schutzprogramme: Vilsel.aejm u.a./Antivir u. Spybot versagen

Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen.

Antwort
Alt 16.05.2010, 20:49   #1
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Hi,
ich habe Malware im System. Antivir findet nur noch TR/Vilsel.aejm, aber aufgrund vieler suspekter Prozesse, die im Task-Manager angezeigt werden, glaube ich, dass noch einige andere Nervensägen da sind. Antivir und Spybot habe ich bereits nach Booten im abgesicherten Modus durchlaufen lassen. Hat nichts gebracht. Hier mein Logfile, ich wäre sehr dankbar für jede Hilfe:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:48:45, on 16.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\System32\dllhost.exe
c:\programme\avira\antivir desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [hessyh] C:\WINDOWS\system32\gejec.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [filupool] C:\WINDOWS\system32\dypy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cnxio5] C:\WINDOWS\system32\luidlg00b.exe
O4 - HKCU\..\Run: [sgvjx] C:\WINDOWS\system32\1xisdny.exe
O4 - HKCU\..\Run: [ruwtvm] C:\WINDOWS\system32\1jgifhe.exe
O4 - HKCU\..\Run: [buwzvy] C:\WINDOWS\system32\vpymhpj00.exe
O4 - HKCU\..\Run: [axdyg] C:\WINDOWS\system32\sv56qtpsorn.exe
O4 - HKCU\..\Run: [vdisrzu] C:\WINDOWS\system32\56efnmk.exe
O4 - HKCU\..\Run: [eybduep] C:\WINDOWS\system32\ucptq0zjuf.exe
O4 - HKCU\..\Run: [zwypzu] C:\WINDOWS\system32\0rzwyvx.exe
O4 - HKCU\..\Run: [lecbzoc] C:\WINDOWS\system32\foifpy01x.exe
O4 - HKCU\..\Run: [syfzige] C:\WINDOWS\system32\vfoknjmi.exe
O4 - HKCU\..\Run: [nvqytpa] C:\WINDOWS\system32\mgpjmol56.exe
O4 - HKCU\..\Run: [qhfqt] C:\WINDOWS\system32\eajdwep5.exe
O4 - HKCU\..\Run: [dqknpg] C:\WINDOWS\system32\i55ucpzqtps.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250367273398
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7783F43-720A-4180-90A6-0C9B79C1C74B}: NameServer = 192.168.178.1
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O20 - Winlogon Notify: cbssreg - c:\Settings\cbss.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv (eeaye2iey) - Four-F - C:\WINDOWS\system32\wadi.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Network Connectivity Service (oieeouopi9a17d9) - Unknown owner - C:\WINDOWS\system32\vouquonnyz.exe (file missing)
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

--
End of file - 6929 bytes


Beste Grüße
Jens

Geändert von resistance01 (16.05.2010 um 21:05 Uhr)

Alt 17.05.2010, 10:29   #2
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

AVZ lässt sich nicht als Administrator starten



Hallo zusammen,
ich habe wegen multiplem Malware-Befall das AVZ-Kit nach Eurer Anleitung runtergeladen, um logs zu erstellen. Wenn ich es als Administrator ausführen will, kriege ich folgende Meldung:

"Anmeldung fehlgeschlagen: Benutzerkontenbeschränkung. Mögliche Ursachen hierfür: leere Kennwörter sind nicht zulässig [...]"

Ich habe tatsächlich kein Administrator-PW eingerichtet. Was soll ich tun? Reichen auch die logs von "hijackthis" und "Anti-Malware"?
Bin für jede Hilfe dankbar.

Beste Grüße
Jens
__________________


Alt 17.05.2010, 18:42   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
__________________

Alt 18.05.2010, 07:51   #4
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Hi Arne,
schön, dass Du Dich meldest. Ich habe gestern den halben Tag damit zugebracht, das System sauber zu kriegen und bin echt verzweifelt. Ich weiß leider nicht, wie man diese der Übersichtlichkeit dienenden Textboxen einfügt, also:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4111

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

18.05.2010 08:31:42
mbam-log-2010-05-18 (08-31-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 175873
Laufzeit: 32 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
OTL.Txt:


Code:
ATTFilter
OTL logfile created on: 18.05.2010 08:40:16 - Run 1
OTL by OldTimer - Version 3.2.4.1     Folder = C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 590,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1533 1533 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 30,19 Gb Free Space | 27,00% Space Free | Partition Type: NTFS
Unable to calculate disk information.
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: IBM-D2032AD2A27
Current User Name: Customer
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe ()
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
PRC - C:\WINDOWS\system32\S24EvMon.exe (Intel Corporation )
PRC - C:\WINDOWS\system32\RegSrvc.exe (Intel Corporation)
PRC - C:\WINDOWS\system32\ibmpmsvc.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.dll ()
MOD - C:\WINDOWS\system32\SynTPFcs.dll (Synaptics, Inc.)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (StarWindServiceAE) --  File not found
SRV - (oieeouopi9a17d9) --  File not found
SRV - (gusvc) --  File not found
SRV - (eeaye2iey) --  File not found
SRV - (QCONSVC) -- C:\WINDOWS\system32\QCONSVC.EXE ()
SRV - (S24EventMonitor) -- C:\WINDOWS\system32\S24EvMon.exe (Intel Corporation )
SRV - (RegSrvc) -- C:\WINDOWS\system32\RegSrvc.exe (Intel Corporation)
SRV - (IBMPMSVC) -- C:\WINDOWS\system32\ibmpmsvc.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (ACEDRV08) -- C:\WINDOWS\system32\drivers\ACEDRV08.sys (Protect Software GmbH)
DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com)
DRV - (mcdbus) -- C:\WINDOWS\system32\drivers\mcdbus.sys (MagicISO, Inc.)
DRV - (NSCIRDA) -- C:\WINDOWS\system32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (amdagp) -- C:\WINDOWS\System32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (sisagp) -- C:\WINDOWS\System32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (SSHDRV84) -- C:\WINDOWS\system32\drivers\SSHDRV84.sys ()
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (IBMTPCHK) -- C:\WINDOWS\system32\drivers\IBMBLDID.SYS ()
DRV - (w70n51) Intel(R) -- C:\WINDOWS\system32\drivers\w70n51.sys (Intel® Corporation)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (TSMAPIP) -- C:\WINDOWS\system32\drivers\TSMAPIP.SYS ()
DRV - (Smapint) -- C:\WINDOWS\system32\drivers\SMAPINT.SYS (Microsoft Corporation)
DRV - (TDSMAPI) -- C:\WINDOWS\system32\drivers\TDSMAPI.SYS ()
DRV - (TPHKDRV) -- C:\WINDOWS\system32\drivers\TPHKDRV.sys (IBM Corporation)
DRV - (IBMPMDRV) -- C:\WINDOWS\system32\drivers\ibmpmdrv.sys ()
DRV - (gv3) -- C:\WINDOWS\system32\drivers\gv3.sys (Microsoft Corporation)
DRV - (S3SSavage) -- C:\WINDOWS\system32\drivers\s3ssavm.sys (S3 Graphics, Inc.)
DRV - (CmdIde) -- C:\WINDOWS\System32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\System32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\System32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\System32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\System32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\System32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\System32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\System32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\System32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\System32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\System32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\System32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\System32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\System32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\System32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (TwoTrack) -- C:\WINDOWS\system32\drivers\TwoTrack.sys (IBM Corporation)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://web.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.6.20090220
FF - prefs.js..extensions.enabledItems: {e2c58150-9d72-11dd-ad8b-0800200c9a66}:1.3.1
FF - prefs.js..extensions.enabledItems: nasanightlaunch@example.com:0.6.20100207
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.18 10:31:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.17 16:58:10 | 000,000,000 | ---D | M]
 
[2009.08.16 00:34:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Extensions
[2010.05.17 23:10:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\extensions
[2010.05.17 16:58:28 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.11.16 23:26:21 | 000,000,000 | ---D | M] (Black Steel) -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\extensions\{e2c58150-9d72-11dd-ad8b-0800200c9a66}
[2010.02.08 20:28:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\extensions\nasanightlaunch@example.com
[2009.08.16 02:23:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\extensions\one@h3j4.com
[2010.05.17 23:09:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.17 16:58:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.03.13 21:47:51 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.13 21:47:51 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.13 21:47:52 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.13 21:47:52 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.13 21:47:52 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.05.17 23:39:58 | 000,395,280 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 13648 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [AtiPTA] C:\WINDOWS\System32\atiptaxx.exe (ATI Technologies, Inc.)
O4 - HKLM..\Run: [S3TRAY2] C:\WINDOWS\System32\S3Tray2.exe (S3 Graphics, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe ()
O4 - HKCU..\Run: [ccleaner] C:\Programme\CCleaner\ccleaner.exe (Piriform Ltd)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - Startup: C:\Dokumente und Einstellungen\Customer\Startmenü\Programme\Autostart\RocketDock.lnk = C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250367273398 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - Reg Error: Key error. File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\oabws.exe) - C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\oabws.exe File not found
O20 - HKCU Winlogon: Shell - (Explorer.exen) -  File not found
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.06.21 09:08:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\Shell\AutoRun\command - "" = F:\AMERICKI\nato.exe -- File not found
O33 - MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\Shell\open\command - "" = F:\AMERICKI\nato.exe -- File not found
O33 - MountPoints2\{c79ae9d0-76bb-11dd-9d9a-f0d8aa3426b3}\Shell\AutoRun\command - "" = H:\setupSNK.exe -- File not found
O33 - MountPoints2\{c79ae9d1-76bb-11dd-9d9a-f0d8aa3426b3}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.18 07:52:56 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Customer\Recent
[2010.05.17 23:10:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Customer\Desktop\Kill.exe
[2010.05.17 16:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.05.17 16:58:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com
[2010.05.17 16:58:40 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.05.17 16:58:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.05.17 16:58:35 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.05.17 16:58:10 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.05.17 16:58:10 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.05.17 16:58:10 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.05.17 16:58:10 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.05.17 16:58:02 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2010.05.17 16:41:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Customer\Desktop\backups
[2010.05.17 15:44:33 | 000,000,000 | ---D | C] -- C:\Programme\Unlocker
[2010.05.17 15:18:45 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2010.05.17 09:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Windows Server
[2010.05.17 09:04:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel
[2010.05.17 09:01:18 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.05.17 08:41:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\Malwarebytes
[2010.05.17 08:41:09 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.17 08:41:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.17 08:41:03 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.17 08:41:03 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.05.17 08:10:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\Windows Server
[2010.05.15 01:59:56 | 000,000,000 | -HSD | C] -- C:\Settings
[2010.05.05 16:17:51 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Eigene Videos
[2010.05.05 16:08:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
[2010.05.02 22:01:05 | 000,000,000 | ---D | C] -- C:\Programme\IndieVolume
[2010.04.27 00:04:42 | 000,353,592 | ---- | C] (DivX, Inc.) -- C:\WINDOWS\System32\DivXControlPanelApplet.cpl
[2004.07.26 02:16:40 | 000,135,168 | ---- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.18 07:52:50 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.18 07:52:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.18 07:52:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.18 07:52:38 | 1072,676,864 | -HS- | M] () -- C:\hiberfil.sys
[2010.05.17 23:58:04 | 009,699,328 | -H-- | M] () -- C:\Dokumente und Einstellungen\Customer\NTUSER.DAT
[2010.05.17 23:58:04 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Customer\ntuser.ini
[2010.05.17 23:58:01 | 004,768,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.05.17 23:39:58 | 000,395,280 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.05.17 23:36:20 | 000,000,916 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Desktop\Spybot - Search & Destroy.lnk
[2010.05.17 23:07:59 | 000,000,537 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.17 23:07:59 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.17 23:07:59 | 000,000,210 | RHS- | M] () -- C:\BOOT.INI
[2010.05.17 16:58:46 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.05.17 15:54:35 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Desktop\Arbeitsplatz.lnk
[2010.05.17 10:03:21 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\eoipoopf.sys
[2010.05.17 09:14:00 | 000,020,392 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.05.17 09:13:33 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.05.17 09:01:19 | 000,001,523 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Desktop\CCleaner.lnk
[2010.05.17 08:41:13 | 000,000,687 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.17 08:10:33 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\55ygvpy.exe
[2010.05.16 20:47:01 | 000,952,826 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.05.16 20:47:01 | 000,411,840 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.05.16 20:47:01 | 000,397,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.05.16 20:47:01 | 000,072,886 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.05.16 20:47:01 | 000,060,114 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.05.15 22:38:02 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\i55ucpzqtps.exe
[2010.05.15 22:38:00 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\eajdwep5.exe
[2010.05.15 20:47:02 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\mgpjmol56.exe
[2010.05.15 20:44:45 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\foifpy01x.exe
[2010.05.15 19:51:45 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\0rzwyvx.exe
[2010.05.15 18:07:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\56efnmk.exe
[2010.05.15 11:23:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\sv56qtpsorn.exe
[2010.05.15 08:33:52 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Herold limbecker platz 4.doc
[2010.05.15 08:24:16 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\vpymhpj00.exe
[2010.05.15 02:24:52 | 000,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\svchost.exe
[2010.05.15 01:59:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\tq0rzeatbpk.exe
[2010.05.05 16:07:53 | 000,102,400 | ---- | M] () -- C:\Dokumente und Einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.05.01 12:44:16 | 000,000,748 | ---- | M] () -- C:\WINDOWS\Rollemup.ini
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.27 00:04:42 | 000,353,592 | ---- | M] (DivX, Inc.) -- C:\WINDOWS\System32\DivXControlPanelApplet.cpl
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.18 07:52:38 | 1072,676,864 | -HS- | C] () -- C:\hiberfil.sys
[2010.05.17 23:36:20 | 000,000,916 | ---- | C] () -- C:\Dokumente und Einstellungen\Customer\Desktop\Spybot - Search & Destroy.lnk
[2010.05.17 23:11:52 | 000,021,468 | ---- | C] () -- C:\WINDOWS\kill.exe
[2010.05.17 16:58:46 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.05.17 15:54:35 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Customer\Desktop\Arbeitsplatz.lnk
[2010.05.17 10:03:21 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\eoipoopf.sys
[2010.05.17 09:01:19 | 000,001,523 | ---- | C] () -- C:\Dokumente und Einstellungen\Customer\Desktop\CCleaner.lnk
[2010.05.17 08:41:13 | 000,000,687 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.17 08:10:37 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\55ygvpy.exe
[2010.05.15 22:38:08 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\i55ucpzqtps.exe
[2010.05.15 22:38:04 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\eajdwep5.exe
[2010.05.15 20:47:06 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\mgpjmol56.exe
[2010.05.15 20:44:51 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\foifpy01x.exe
[2010.05.15 19:52:04 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\0rzwyvx.exe
[2010.05.15 18:07:58 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\56efnmk.exe
[2010.05.15 11:23:59 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\sv56qtpsorn.exe
[2010.05.15 08:33:51 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Herold limbecker platz 4.doc
[2010.05.15 08:24:20 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\vpymhpj00.exe
[2010.05.15 01:59:59 | 000,041,984 | RHS- | C] () -- C:\WINDOWS\System32\tq0rzeatbpk.exe
[2010.04.14 15:50:03 | 000,000,748 | ---- | C] () -- C:\WINDOWS\Rollemup.ini
[2009.11.18 16:35:18 | 000,000,034 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008.04.13 10:30:16 | 000,076,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV84.sys
[2008.02.14 01:00:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2007.07.12 19:43:15 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.06.21 08:56:57 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.06.21 08:51:35 | 000,000,301 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2006.06.21 08:49:14 | 000,000,251 | ---- | C] () -- C:\WINDOWS\Welcome.ini
[2006.06.21 08:43:43 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSMAPIP.SYS
[2006.06.21 08:42:46 | 000,008,830 | ---- | C] () -- C:\WINDOWS\System32\drivers\TDSMAPI.SYS
[2006.06.21 08:41:46 | 000,002,295 | ---- | C] () -- C:\WINDOWS\System32\drivers\IBMBLDID.SYS
[2004.07.26 02:16:38 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2002.10.07 18:15:36 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2002.10.07 00:42:58 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2002.10.01 10:05:15 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[1980.01.01 00:00:00 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\e1000msg.dll
[1980.01.01 00:00:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[1980.01.01 00:00:00 | 000,010,287 | ---- | C] () -- C:\WINDOWS\System32\drivers\ibmpmdrv.sys
< End of report >
         
Und Extras.Txt

Code:
ATTFilter
OTL Extras logfile created on: 18.05.2010 08:40:16 - Run 1
OTL by OldTimer - Version 3.2.4.1     Folder = C:\Dokumente und Einstellungen\Customer\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 590,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1533 1533 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 30,19 Gb Free Space | 27,00% Space Free | Partition Type: NTFS
Unable to calculate disk information.
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: IBM-D2032AD2A27
Current User Name: Customer
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2111B23F-7FDA-4A41-8309-E5A1663CA296}" = Dienstprogramm 'IBM ThinkPad-Tastaturanpassung'
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4FB53913-6F6C-41DF-AAC4-AF63AEE0F710}_is1" = OpenRep FREE 2.9
"{5EAF9A83-3B91-45BF-8F2D-990BBEBDC9AB}" = Intel(R) Sebring API 
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9D56D5FF-9B49-4435-B23C-E6FE1D4C708C}" = Wild Earth - Africa
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware Free Edition
"{CF44C7A5-5705-41E4-BE84-A9A42977AB05}" = alm
"{F868C16D-75F8-4EE8-BCBF-422D0833415D}_is1" = Open PLS in Windows Media Player 2.3.0
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver (Omega 2.5.67)
"Audiograbber" = Audiograbber 1.83 SE 
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"eMule" = eMule
"Frag doch mal" = Frag doch mal die Maus!
"HijackThis" = HijackThis 2.0.2
"MagicDisc 2.7.106" = MagicDisc 2.7.106
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Pack Vista Inspirat 2" = Pack Vista Inspirat 2 1.0
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"Radeon Omega Drivers for Windows 2k-XPv2.5.67" = Radeon Omega Drivers v2.5.67 Setup Files
"SynTPDeinstKey" = IBM ThinkPad UltraNav Driver
"Unlocker" = Unlocker 1.8.9
"VLC media player" = VLC media player 1.0.2
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:42:00 | Computer Name = IBM-D2032AD2A27 | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während 
der internen Verarbeitung erkannt. HRESULT war 800706BA von Zeile 44 von f:\xpsp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
 Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 17.05.2010 17:42:00 | Computer Name = IBM-D2032AD2A27 | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
[ Application Events ]
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:31:11 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 17.05.2010 17:42:00 | Computer Name = IBM-D2032AD2A27 | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während 
der internen Verarbeitung erkannt. HRESULT war 800706BA von Zeile 44 von f:\xpsp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
 Wenden Sie sich an den Microsoft-Produktsuppor
 
Error - 17.05.2010 17:42:00 | Computer Name = IBM-D2032AD2A27 | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 18.05.2010 01:52:45 | Computer Name = IBM-D2032AD2A27 | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
[ System Events ]
Error - 17.05.2010 17:32:39 | Computer Name = IBM-D2032AD2A27 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 17.05.2010 17:50:08 | Computer Name = IBM-D2032AD2A27 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 17.05.2010 17:50:28 | Computer Name = IBM-D2032AD2A27 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 17.05.2010 17:51:10 | Computer Name = IBM-D2032AD2A27 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 18.05.2010 01:54:13 | Computer Name = IBM-D2032AD2A27 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "PMEM" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 18.05.2010 01:54:13 | Computer Name = IBM-D2032AD2A27 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "StarWind AE Service" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%2
 
Error - 18.05.2010 01:54:13 | Computer Name = IBM-D2032AD2A27 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 18.05.2010 01:54:34 | Computer Name = IBM-D2032AD2A27 | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC80.CRT" konnte nicht gefunden
 werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
 installiert.  
 
Error - 18.05.2010 01:54:34 | Computer Name = IBM-D2032AD2A27 | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC80.CRT fehlgeschlagen.
Referenzfehlermeldung:
 Die referenzierte Assemblierung ist nicht auf dem Computer installiert.  .
 
Error - 18.05.2010 01:54:34 | Computer Name = IBM-D2032AD2A27 | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\WINDOWS\system32\DivXControlPanelApplet.cpl
 fehlgeschlagen.  Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.  .
 
 
< End of report >
         
Ich hoffe, Du kannst was für mich tun. Besten Dank schon mal.

Schönen Gruß
Jens

Alt 18.05.2010, 11:21   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Hast Du mit anderen Scannern schon vorher gewerkelt? Wenn ja, ich will die Logs sehen, weil ich wissen möchte, welche Objekte erkannt und entfernt wurden.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 11:33   #6
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Zitat:
Zitat von cosinus Beitrag anzeigen
Hast Du mit anderen Scannern schon vorher gewerkelt? Wenn ja, ich will die Logs sehen, weil ich wissen möchte, welche Objekte erkannt und entfernt wurden.
Ja, mit ziemlich vielen sogar. Ich schau mal, ob die Logs noch da sind...
Na dann:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/17/2010 at 07:06 PM

Application Version : 4.37.1000

Core Rules Database Version : 4943
Trace Rules Database Version: 2755

Scan type : Complete Scan
Total Scan Time : 01:47:32

Memory items scanned : 422
Memory threats detected : 0
Registry items scanned : 5424
Registry threats detected : 0
File items scanned : 15474
File threats detected : 11

Trojan.Agent/Gen-Virut
C:\DOKUMENTE UND EINSTELLUNGEN\CUSTOMER\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\WINDOWS SERVER\JBZKWU.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\NETWORKSERVICE\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\WINDOWS SERVER\JBZKWU.DLL

Trojan.Agent/Gen-Mispl[Falver-CA]
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\ANWENDUNGSDATEN\MICROSOFT\GAMUCOO.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\ANWENDUNGSDATEN\MICROSOFT\GEJEC.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\ANWENDUNGSDATEN\MICROSOFT\VOUQUONNYZ.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\ANWENDUNGSDATEN\MICROSOFT\ZESSEC.EXE
C:\WINDOWS\Prefetch\ZESSEC.EXE-151BFE74.pf

Adware.Tracking Cookie
C:\WINDOWS\system32\config\systemprofile\Cookies\system@2o7[1].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt
C:\WINDOWS\system32\config\systemprofile\Cookies\system@content.yieldmanager[1].txt

Trojan.Agent/Gen
C:\WINDOWS\SYSTEM32\DRIVERS\UTQWMJG1.SYS


Und noch einer desselben Programms zum späteren Zeitpunkt:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/17/2010 at 07:47 PM

Application Version : 4.37.1000

Core Rules Database Version : 4943
Trace Rules Database Version: 2755

Scan type : Custom Scan
Total Scan Time : 00:00:35

Memory items scanned : 393
Memory threats detected : 1
Registry items scanned : 65
Registry threats detected : 0
File items scanned : 2
File threats detected : 1

Trojan.Dropper/SVCHost-Fake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SVCHOST.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SVCHOST.EXE


Findet jetzt nichts mehr.
Weiter:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:35, on 06.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\VideoLAN\vlc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\WINDOWS\System32\dllhost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.mini20.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\Programme\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1250367273398
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7783F43-720A-4180-90A6-0C9B79C1C74B}: NameServer = 192.168.178.1
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

--
End of file - 5355 bytes


Spybot, Avira, AVZ -Logs sind leider nicht mehr da.


Ein Plagegeist sitzt definitiv im System Volume Information -Ordner, und zwar als svchost.exe und smss.exe. Hoffentlich kannst Du noch was für mich tun.

Geändert von resistance01 (18.05.2010 um 12:00 Uhr)

Alt 18.05.2010, 12:05   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
SRV - (eeaye2iey) --  File not found
O20 - HKCU Winlogon: Shell - (C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\oabws.exe) - C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\oabws.exe File not found
O33 - MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\Shell\AutoRun\command - "" = F:\AMERICKI\nato.exe -- File not found
O33 - MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\Shell\open\command - "" = F:\AMERICKI\nato.exe -- File not found
O33 - MountPoints2\{c79ae9d0-76bb-11dd-9d9a-f0d8aa3426b3}\Shell\AutoRun\command - "" = H:\setupSNK.exe -- File not found
O33 - MountPoints2\{c79ae9d1-76bb-11dd-9d9a-f0d8aa3426b3}\Shell\AutoRun\command - "" = F:\StartPortableApps.exe -- File not found
[2010.05.17 10:03:21 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\eoipoopf.sys
[2010.05.17 08:10:33 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\55ygvpy.exe
[2010.05.15 22:38:02 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\i55ucpzqtps.exe
[2010.05.15 22:38:00 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\eajdwep5.exe
[2010.05.15 20:47:02 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\mgpjmol56.exe
[2010.05.15 20:44:45 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\foifpy01x.exe
[2010.05.15 19:51:45 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\0rzwyvx.exe
[2010.05.15 18:07:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\56efnmk.exe
[2010.05.15 11:23:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\sv56qtpsorn.exe
[2010.05.15 08:24:16 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\vpymhpj00.exe
[2010.05.15 01:59:54 | 000,041,984 | RHS- | M] () -- C:\WINDOWS\System32\tq0rzeatbpk.exe
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 12:58   #8
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Icon26

Vilsel.aejm u.a./Antivir u. Spybot versagen



Jo:

All processes killed
========== OTL ==========
Service eeaye2iey stopped successfully!
Service eeaye2iey deleted successfully!
File File not found not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Customer\Anwendungsdaten\oabws.exe deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\ not found.
File F:\AMERICKI\nato.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9478a050-53c6-11dc-9c6f-d9bf523488b4}\ not found.
File F:\AMERICKI\nato.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c79ae9d0-76bb-11dd-9d9a-f0d8aa3426b3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c79ae9d0-76bb-11dd-9d9a-f0d8aa3426b3}\ not found.
File H:\setupSNK.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c79ae9d1-76bb-11dd-9d9a-f0d8aa3426b3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c79ae9d1-76bb-11dd-9d9a-f0d8aa3426b3}\ not found.
File F:\StartPortableApps.exe not found.
C:\WINDOWS\system32\drivers\eoipoopf.sys moved successfully.
C:\WINDOWS\system32\55ygvpy.exe moved successfully.
C:\WINDOWS\system32\i55ucpzqtps.exe moved successfully.
C:\WINDOWS\system32\eajdwep5.exe moved successfully.
C:\WINDOWS\system32\mgpjmol56.exe moved successfully.
C:\WINDOWS\system32\foifpy01x.exe moved successfully.
C:\WINDOWS\system32\0rzwyvx.exe moved successfully.
C:\WINDOWS\system32\56efnmk.exe moved successfully.
C:\WINDOWS\system32\sv56qtpsorn.exe moved successfully.
C:\WINDOWS\system32\vpymhpj00.exe moved successfully.
C:\WINDOWS\system32\tq0rzeatbpk.exe moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Customer
->Temp folder emptied: 256752 bytes
->Temporary Internet Files folder emptied: 54830 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 67410526 bytes
->Flash cache emptied: 2282 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 65,00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05182010_135456

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ich lass das Forum jetzt auch an, wenn Du schon direkt davor sitzt.
Thx.

Alt 18.05.2010, 13:19   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Dann bitte jetzt CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 14:11   #10
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Ist gemacht, allerdings musste ich zwischedurch selbst neustarten und die letzte als funktionierend bekannte Konfiguration booten, weil der Systemneustart, den Combo-Fix ausgeführt bewirkte, dass ich mich mit einem Passwort anmelden musste, dass ich natürlich nicht kannte, denn ich habe nie eins eingerichtet. Nach dem Neustart lief Combo-Fix aber weiter.

ComboFix 10-05-16.05 - Customer 18.05.2010 14:42:40.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.715 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Customer\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\Windows Server
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Windows Server
c:\windows\system32\ReadMe.txt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF


((((((((((((((((((((((( Dateien erstellt von 2010-04-18 bis 2010-05-18 ))))))))))))))))))))))))))))))
.

2010-05-18 11:54 . 2010-05-18 11:54 -------- d-----w- C:\_OTL
2010-05-18 10:08 . 2008-04-14 02:22 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-05-18 09:36 . 2010-05-18 09:36 -------- d-----w- c:\programme\MSXML 4.0
2010-05-18 09:14 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-05-18 09:12 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 09:11 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-05-18 09:10 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
2010-05-18 09:08 . 2009-10-15 16:28 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2010-05-18 09:08 . 2009-10-15 16:28 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2010-05-18 09:08 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-05-18 09:01 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2010-05-18 08:51 . 2009-07-31 04:32 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2010-05-18 08:51 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
2010-05-18 08:51 . 2008-05-01 14:34 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2010-05-18 08:49 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\dllcache\bthport.sys
2010-05-18 08:49 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
2010-05-18 07:34 . 2010-05-18 07:34 -------- d-----w- c:\programme\Intel
2010-05-18 07:32 . 2005-03-28 07:19 220992 ----a-w- c:\windows\system32\drivers\smwdm.sys
2010-05-18 07:32 . 2005-03-04 17:53 127872 ----a-w- c:\windows\system32\drivers\aeaudio.sys
2010-05-18 07:32 . 2001-09-11 12:20 30208 ----a-w- c:\windows\system32\wdmioctl.dll
2010-05-18 07:32 . 2001-09-11 12:20 1285632 ----a-w- c:\windows\system32\SMMedia.dll
2010-05-18 07:32 . 2010-05-18 07:32 -------- d-----w- c:\programme\Analog Devices
2010-05-18 07:32 . 2004-12-08 14:16 49152 ----a-w- c:\windows\system32\DSndUp.exe
2010-05-18 07:32 . 2002-04-17 12:05 45056 ----a-w- c:\windows\system32\CleanUp.exe
2010-05-18 07:32 . 2009-11-18 12:04 35176 ----a-w- c:\windows\system32\tpinspm.dll
2010-05-18 07:15 . 2010-05-18 07:15 -------- d-----w- c:\windows\system32\(null)
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Lenovo
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Lenovo
2010-05-18 07:14 . 2007-02-19 05:56 21376 ----a-w- c:\windows\system32\drivers\psadd.sys
2010-05-17 21:11 . 1999-05-28 08:33 21468 ----a-w- c:\windows\kill.exe
2010-05-17 15:00 . 2010-05-17 15:00 63488 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-17 15:00 . 2010-05-17 15:00 52224 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-17 15:00 . 2010-05-17 15:00 117760 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-17 14:59 . 2010-05-17 14:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 13:44 . 2010-05-17 21:13 -------- d-----w- c:\programme\Unlocker
2010-05-17 13:18 . 2010-05-17 13:18 -------- d--h--w- c:\windows\PIF
2010-05-17 07:25 . 2010-05-17 07:25 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2010-05-17 07:04 . 2010-05-17 07:13 -------- d-----w- c:\windows\SxsCaPendDel
2010-05-17 07:01 . 2010-05-17 07:01 -------- d-----w- c:\programme\CCleaner
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-17 06:41 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-15 20:58 . 2010-05-15 20:58 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-05-14 23:59 . 2010-05-17 06:57 -------- d---a-w- C:\Settings
2010-05-05 14:21 . 2010-05-05 14:21 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-05-02 20:01 . 2010-05-15 00:19 -------- d-----w- c:\programme\IndieVolume

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 11:57 . 2009-08-23 09:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-18 11:54 . 1979-12-31 22:00 72886 ----a-w- c:\windows\system32\perfc007.dat
2010-05-18 11:54 . 1979-12-31 22:00 411840 ----a-w- c:\windows\system32\perfh007.dat
2010-05-18 07:33 . 2006-06-21 06:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-18 07:32 . 2006-06-21 06:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-05-18 06:59 . 2006-08-02 13:39 20392 ----a-w- c:\dokumente und einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-17 21:37 . 2009-08-23 09:51 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-17 14:58 . 2010-05-17 14:58 503808 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcp71.dll
2010-05-17 14:58 . 2010-05-17 14:58 499712 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\jmc.dll
2010-05-17 14:58 . 2010-05-17 14:58 348160 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcr71.dll
2010-05-17 14:58 . 2010-05-17 14:58 61440 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-sse.dll
2010-05-17 14:58 . 2010-05-17 14:58 12800 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-d3d.dll
2010-05-17 14:58 . 2009-10-10 17:08 -------- d-----w- c:\programme\Java
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-17 07:13 . 2009-08-26 19:13 -------- d-----w- c:\programme\DivX
2010-05-17 07:04 . 2009-08-26 19:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-05-15 00:24 . 1979-12-31 22:00 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-09 22:23 . 2009-10-31 14:02 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\vlc
2010-05-02 17:20 . 2010-03-25 11:22 -------- d-----w- c:\programme\Spiele
2010-04-16 18:54 . 2010-04-16 18:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2010-04-12 15:29 . 2010-05-17 14:58 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-10 21:21 . 2009-10-31 14:06 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\dvdcss
2010-04-10 17:18 . 2010-04-10 17:18 -------- d--h--r- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SecuROM
2010-04-06 12:17 . 2010-04-06 12:17 108768 ----a-w- c:\windows\system32\drivers\ACEDRV08.sys
2010-03-31 01:58 . 2009-08-26 19:13 125424 ------w- c:\windows\system32\pxinsi64.exe
2010-03-31 01:58 . 2009-08-26 19:13 123888 ------w- c:\windows\system32\pxcpyi64.exe
2010-03-31 01:58 . 2009-08-15 23:25 133616 ------w- c:\windows\system32\pxafs.dll
2010-03-27 11:22 . 2010-03-25 12:42 737280 ----a-w- c:\windows\iun6002.exe
2010-03-27 11:00 . 2009-10-01 21:21 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-26 13:58 . 2009-11-19 19:12 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-03-26 13:38 . 2010-03-26 13:38 451072 ----a-w- c:\windows\Radeon Omega Drivers v3.8.252 Uninstall.exe
2010-03-26 13:21 . 2010-03-26 13:21 -------- d-----w- c:\programme\ATI Technologies
2010-03-26 13:08 . 2010-03-26 13:08 4396 ----a-w- c:\programme\DRIVEINSTALL.INI
2010-03-25 11:24 . 2010-03-25 11:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Super X Studios
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Microsoft Games
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Games
2010-03-09 11:09 . 1979-12-31 22:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-02-26 05:41 . 1979-12-31 22:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:41 . 2009-08-15 22:02 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 1979-12-31 22:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2008-04-14 02:22 . 2004-08-03 22:58 1695232 --sha-w- c:\windows\ServicePackFiles\i386\msmsgs.exe
.

------- Sigcheck -------

[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-04-23 1668920]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-01-29 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-01-29 573440]
"S3TRAY2"="S3Tray2.exe" [2002-07-15 69632]
"AtiPTA"="atiptaxx.exe" [2004-08-04 339968]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

c:\dokumente und einstellungen\Customer\Startmen\Programme\Autostart\
RocketDock.lnk - c:\programme\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [06.05.2010 17:10 68168]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [13.04.2008 10:30 76800]
R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [06.04.2010 14:17 108768]
S2 oieeouopi9a17d9;Network Connectivity Service; [x]
S3 PCDRDRV;Pcdr Helper Driver;\??\c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys --> c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.mini20.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {F7783F43-720A-4180-90A6-0C9B79C1C74B} = 192.168.178.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://web.de
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-18 15:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1857643510-3639526926-2790870431-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3590B004-053F-E1A2-E97A-3BD7C26E7B53}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"laolfdankapbhoipakjjlfmh"=hex:64,62,69,6e,70,6f,61,67,67,62,65,64,62,6a,6e,63,
6a,6b,67,69,6a,68,6d,62,70,6c,61,6d,66,6e,68,70,6a,6a,61,66,67,64,69,65,00,\
"maadkemjengfjnhpnkmlnfcdci"=hex:64,61,69,6e,6a,6f,67,6a,00,6b
"laadkemjengfjnhphlgmpgfm"=hex:64,62,6e,6f,6b,6f,64,69,65,6b,6a,6b,69,62,66,6e,
66,6d,6c,68,6f,64,64,62,6e,6c,62,67,61,62,61,65,62,6e,68,66,61,6b,69,68,00,\

[HKEY_USERS\S-1-5-21-1857643510-3639526926-2790870431-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:57,5d,3a,7c,85,8a,1d,a7,50,bf,d9,27,b3,9a,35,ad,d7,33,c9,ab,c2,19,14,
82,f8,4e,00,9d,ca,6e,7f,1b,ba,cd,52,5a,cd,0e,af,35,56,bd,c3,49,69,15,d1,87,\
"??"=hex:94,d4,39,4d,3a,2a,a0,1c,ff,80,f2,70,67,59,72,0d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(752)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(2060)
c:\programme\Vista Inspirat 2\RocketDock\RocketDock.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-18 15:09:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-18 13:09

Vor Suchlauf: 5 Verzeichnis(se), 33.567.227.904 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 33.410.600.960 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 4DD18AD9907E1E22CCD3703A7928B926


Bin erstmal 2 Std. weg, mach aber danach sofort weiter, falls Du noch was postest.
Danke noch mal bis hierher.


Geändert von resistance01 (18.05.2010 um 14:19 Uhr)

Alt 18.05.2010, 14:43   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Folder::
c:\windows\system32\(null)

Driver::
oieeouopi9a17d9
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 18:23   #12
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Icon17

Vilsel.aejm u.a./Antivir u. Spybot versagen



Seit ich Combofix das erste mal benutzt habe, kann ich Xp nicht mehr normal starten. Wenn ich auf meinen Benutzernamen klicke, verlangt er ein PW, dass ich nicht habe und meldet: "Anmeldung fehlgeschlagen wegen Benutzerbeschränkung" Wie beim ersten mal. Wenn ich "letzte als funktionierend bekannte Konfiguration" im Boot-Menü anwähle, geht's. Combofix wurde auch diesmal fortgesetzt:

ComboFix 10-05-16.06 - Customer 18.05.2010 18:27:41.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.647 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Customer\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Customer\Desktop\CFScript.txt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\(null)
c:\windows\system32\(null)\tvtsched.log

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF
-------\Legacy_OIEEOUOPI9A17D9
-------\Service_oieeouopi9a17d9


((((((((((((((((((((((( Dateien erstellt von 2010-04-18 bis 2010-05-18 ))))))))))))))))))))))))))))))
.

2010-05-18 16:33 . 2010-05-18 16:37 -------- d-----w- c:\windows\system32\(null)
2010-05-18 11:54 . 2010-05-18 11:54 -------- d-----w- C:\_OTL
2010-05-18 10:08 . 2008-04-14 02:22 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-05-18 09:36 . 2010-05-18 09:36 -------- d-----w- c:\programme\MSXML 4.0
2010-05-18 09:14 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-05-18 09:12 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys
2010-05-18 09:11 . 2009-10-23 15:28 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe
2010-05-18 09:10 . 2009-12-31 16:50 353792 ------w- c:\windows\system32\dllcache\srv.sys
2010-05-18 09:08 . 2009-10-15 16:28 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2010-05-18 09:08 . 2009-10-15 16:28 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2010-05-18 09:08 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll
2010-05-18 09:01 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll
2010-05-18 08:51 . 2009-07-31 04:32 1172480 ------w- c:\windows\system32\dllcache\msxml3.dll
2010-05-18 08:51 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll
2010-05-18 08:51 . 2008-05-01 14:34 331776 ------w- c:\windows\system32\dllcache\msadce.dll
2010-05-18 08:49 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\dllcache\bthport.sys
2010-05-18 08:49 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys
2010-05-18 07:34 . 2010-05-18 07:34 -------- d-----w- c:\programme\Intel
2010-05-18 07:32 . 2005-03-28 07:19 220992 ----a-w- c:\windows\system32\drivers\smwdm.sys
2010-05-18 07:32 . 2005-03-04 17:53 127872 ----a-w- c:\windows\system32\drivers\aeaudio.sys
2010-05-18 07:32 . 2001-09-11 12:20 30208 ----a-w- c:\windows\system32\wdmioctl.dll
2010-05-18 07:32 . 2001-09-11 12:20 1285632 ----a-w- c:\windows\system32\SMMedia.dll
2010-05-18 07:32 . 2010-05-18 07:32 -------- d-----w- c:\programme\Analog Devices
2010-05-18 07:32 . 2004-12-08 14:16 49152 ----a-w- c:\windows\system32\DSndUp.exe
2010-05-18 07:32 . 2002-04-17 12:05 45056 ----a-w- c:\windows\system32\CleanUp.exe
2010-05-18 07:32 . 2009-11-18 12:04 35176 ----a-w- c:\windows\system32\tpinspm.dll
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Lenovo
2010-05-18 07:14 . 2010-05-18 07:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Lenovo
2010-05-18 07:14 . 2007-02-19 05:56 21376 ----a-w- c:\windows\system32\drivers\psadd.sys
2010-05-17 21:11 . 1999-05-28 08:33 21468 ----a-w- c:\windows\kill.exe
2010-05-17 15:00 . 2010-05-17 15:00 63488 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll
2010-05-17 15:00 . 2010-05-17 15:00 52224 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-17 15:00 . 2010-05-17 15:00 117760 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-17 14:59 . 2010-05-17 14:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 13:44 . 2010-05-17 21:13 -------- d-----w- c:\programme\Unlocker
2010-05-17 13:18 . 2010-05-17 13:18 -------- d--h--w- c:\windows\PIF
2010-05-17 07:25 . 2010-05-17 07:25 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2010-05-17 07:04 . 2010-05-17 07:13 -------- d-----w- c:\windows\SxsCaPendDel
2010-05-17 07:01 . 2010-05-17 07:01 -------- d-----w- c:\programme\CCleaner
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-17 06:41 . 2010-05-17 06:41 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-05-17 06:41 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-15 20:58 . 2010-05-15 20:58 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Vorlagen
2010-05-14 23:59 . 2010-05-17 06:57 -------- d---a-w- C:\Settings
2010-05-05 14:21 . 2010-05-05 14:21 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-05-02 20:01 . 2010-05-15 00:19 -------- d-----w- c:\programme\IndieVolume

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 11:57 . 2009-08-23 09:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-18 11:54 . 1979-12-31 22:00 72886 ----a-w- c:\windows\system32\perfc007.dat
2010-05-18 11:54 . 1979-12-31 22:00 411840 ----a-w- c:\windows\system32\perfh007.dat
2010-05-18 07:33 . 2006-06-21 06:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-18 07:32 . 2006-06-21 06:41 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-05-18 06:59 . 2006-08-02 13:39 20392 ----a-w- c:\dokumente und einstellungen\Customer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-17 21:37 . 2009-08-23 09:51 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-05-17 14:58 . 2010-05-17 14:58 503808 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcp71.dll
2010-05-17 14:58 . 2010-05-17 14:58 499712 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\jmc.dll
2010-05-17 14:58 . 2010-05-17 14:58 348160 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-693df6cd-n\msvcr71.dll
2010-05-17 14:58 . 2010-05-17 14:58 61440 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-sse.dll
2010-05-17 14:58 . 2010-05-17 14:58 12800 ----a-w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-69d473ab-n\decora-d3d.dll
2010-05-17 14:58 . 2009-10-10 17:08 -------- d-----w- c:\programme\Java
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-05-17 07:13 . 2009-08-26 19:13 -------- d-----w- c:\programme\DivX
2010-05-17 07:04 . 2009-08-26 19:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2010-05-15 00:24 . 1979-12-31 22:00 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-09 22:23 . 2009-10-31 14:02 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\vlc
2010-05-02 17:20 . 2010-03-25 11:22 -------- d-----w- c:\programme\Spiele
2010-04-16 18:54 . 2010-04-16 18:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2010-04-12 15:29 . 2010-05-17 14:58 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-10 21:21 . 2009-10-31 14:06 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\dvdcss
2010-04-10 17:18 . 2010-04-10 17:18 -------- d--h--r- c:\dokumente und einstellungen\Customer\Anwendungsdaten\SecuROM
2010-04-06 12:17 . 2010-04-06 12:17 108768 ----a-w- c:\windows\system32\drivers\ACEDRV08.sys
2010-03-31 01:58 . 2009-08-26 19:13 125424 ------w- c:\windows\system32\pxinsi64.exe
2010-03-31 01:58 . 2009-08-26 19:13 123888 ------w- c:\windows\system32\pxcpyi64.exe
2010-03-31 01:58 . 2009-08-15 23:25 133616 ------w- c:\windows\system32\pxafs.dll
2010-03-27 11:22 . 2010-03-25 12:42 737280 ----a-w- c:\windows\iun6002.exe
2010-03-27 11:00 . 2009-10-01 21:21 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-26 13:58 . 2009-11-19 19:12 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-03-26 13:38 . 2010-03-26 13:38 451072 ----a-w- c:\windows\Radeon Omega Drivers v3.8.252 Uninstall.exe
2010-03-26 13:21 . 2010-03-26 13:21 -------- d-----w- c:\programme\ATI Technologies
2010-03-26 13:08 . 2010-03-26 13:08 4396 ----a-w- c:\programme\DRIVEINSTALL.INI
2010-03-25 11:24 . 2010-03-25 11:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Super X Studios
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\Customer\Anwendungsdaten\Microsoft Games
2010-03-25 10:18 . 2010-03-25 10:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Games
2010-03-09 11:09 . 1979-12-31 22:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll
2010-02-26 05:41 . 1979-12-31 22:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:41 . 2009-08-15 22:02 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 1979-12-31 22:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-19 19:27 . 2010-02-19 19:27 720384 ----a-w- c:\windows\system32\DivX.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2010-02-19 19:27 . 2010-02-19 19:27 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2010-02-19 19:27 . 2010-02-19 19:27 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2010-02-19 19:27 . 2010-02-19 19:27 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2010-02-19 19:27 . 2010-02-19 19:27 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2008-04-14 02:22 . 2004-08-03 22:58 1695232 --sha-w- c:\windows\ServicePackFiles\i386\msmsgs.exe
.

------- Sigcheck -------

[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 420BE00D1F13A30335AA92DE3F647E98 . 979456 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2004-08-03 . 22FE1BE02EADDE1632E478E4125639E0 . 1035264 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-05-18_13.05.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-18 16:37 . 2010-05-18 16:37 16384 c:\windows\Temp\Perflib_Perfdata_1dc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-04-23 1668920]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-01-29 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-01-29 573440]
"S3TRAY2"="S3Tray2.exe" [2002-07-15 69632]
"AtiPTA"="atiptaxx.exe" [2004-08-04 339968]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

c:\dokumente und einstellungen\Customer\Startmen\Programme\Autostart\
RocketDock.lnk - c:\programme\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [06.05.2010 17:10 68168]
R1 SSHDRV84;SSHDRV84;c:\windows\system32\drivers\SSHDRV84.sys [13.04.2008 10:30 76800]
R2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [06.04.2010 14:17 108768]
S3 PCDRDRV;Pcdr Helper Driver;\??\c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys --> c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.mini20.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {F7783F43-720A-4180-90A6-0C9B79C1C74B} = 192.168.178.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Customer\Anwendungsdaten\Mozilla\Firefox\Profiles\mzgalc9y.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://web.de
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-18 18:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1857643510-3639526926-2790870431-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3590B004-053F-E1A2-E97A-3BD7C26E7B53}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"laolfdankapbhoipakjjlfmh"=hex:64,62,69,6e,70,6f,61,67,67,62,65,64,62,6a,6e,63,
6a,6b,67,69,6a,68,6d,62,70,6c,61,6d,66,6e,68,70,6a,6a,61,66,67,64,69,65,00,\
"maadkemjengfjnhpnkmlnfcdci"=hex:64,61,69,6e,6a,6f,67,6a,00,6b
"laadkemjengfjnhphlgmpgfm"=hex:64,62,6e,6f,6b,6f,64,69,65,6b,6a,6b,69,62,66,6e,
66,6d,6c,68,6f,64,64,62,6e,6c,62,67,61,62,61,65,62,6e,68,66,61,6b,69,68,00,\

[HKEY_USERS\S-1-5-21-1857643510-3639526926-2790870431-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:57,5d,3a,7c,85,8a,1d,a7,50,bf,d9,27,b3,9a,35,ad,d7,33,c9,ab,c2,19,14,
82,f8,4e,00,9d,ca,6e,7f,1b,ba,cd,52,5a,cd,0e,af,35,56,bd,c3,49,69,15,d1,87,\
"??"=hex:94,d4,39,4d,3a,2a,a0,1c,ff,80,f2,70,67,59,72,0d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(744)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(1048)
c:\programme\Vista Inspirat 2\RocketDock\RocketDock.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-18 18:41:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-18 16:41
ComboFix2.txt 2010-05-18 13:09

Vor Suchlauf: 7 Verzeichnis(se), 33.423.294.464 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 33.404.469.248 Bytes frei

Current=6 Default=6 Failed=5 LastKnownGood=7 Sets=1,2,3,4,5,6,7
- - End Of File - - CC2C922BDD23EF6A06515D0CCB35D67C

Irgendwie muss wohl erstmal diese Benutzerbeschränkung raus. Ansonsten kann ich wie gesagt nicht normal starten, bzw. Combofix durchlaufen lassen.


Alt 18.05.2010, 19:11   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Zitat:
Irgendwie muss wohl erstmal diese Benutzerbeschränkung raus. Ansonsten kann ich wie gesagt nicht normal starten, bzw. Combofix durchlaufen lassen.
ist normalweise nicht der Fall bei lokalen Anmeldungen, aber sowas kenn ich nur, wenn man für sein Konto kein Passwort bzw. ein leeres Passwort verwendet! Vergib (wenn Du gestartet hast über letzte funktionierende Konfiguration) deinem Benutzerkonto ein Passwort, man sollte idR die Konten immer mit einem Passwort absichern.

Da Du XP Pro hast, kannst Du das aber auch in einer Richtlinie ändern => start, ausführen => secpol.msc eintippen und ok - frag mich jetzt aber nicht nach dem betroffenen Eintrag, da muss ich erstmal selber nachschauen (hab im Moment kein Windows gebootet)

Mach auch bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.05.2010, 19:14   #14
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



Ok. Kennwort habe ich erstellt, Logs dauern...

Alt 18.05.2010, 20:54   #15
resistance01
 
Vilsel.aejm u.a./Antivir u. Spybot versagen - Standard

Vilsel.aejm u.a./Antivir u. Spybot versagen



So:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4111

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

18.05.2010 21:15:13
mbam-log-2010-05-18 (21-15-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 177073
Laufzeit: 57 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Und der zweite:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/18/2010 at 09:53 PM

Application Version : 4.37.1000

Core Rules Database Version : 4943
Trace Rules Database Version: 2755

Scan type : Complete Scan
Total Scan Time : 01:35:11

Memory items scanned : 434
Memory threats detected : 0
Registry items scanned : 4782
Registry threats detected : 0
File items scanned : 60653
File threats detected : 1

Trojan.Dropper/SVCHost-Fake
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SVCHOST.EXE


Immer noch derselbe...

Antwort

Themen zu Vilsel.aejm u.a./Antivir u. Spybot versagen
administrator, adobe, anleitung, anmeldung, anti-malware, antivir, antivir guard, arten, ausführen, avira, bho, browseui preloader, desktop, einstellungen, erstelle, excel, explorer, fehlgeschlagen, firefox, folge, folgende, hallo zusammen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kennwörter, kriege, leere, leitung, logfile, malware, meldung, monitor, mozilla, mögliche, prozesse, reichen, software, starte, starten, task-manager, vista, windows, windows xp, zulässig, zusammen



Ähnliche Themen: Vilsel.aejm u.a./Antivir u. Spybot versagen


  1. Avira findet TR Vilsel.aejm, kann ihn aber nicht beseitigen
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (36)
  2. TR/Vilsel.rou
    Log-Analyse und Auswertung - 10.08.2010 (33)
  3. Avira Antivir meldet trojanisches Pferd TR Vilsel.aejm
    Plagegeister aller Art und deren Bekämpfung - 15.07.2010 (22)
  4. SpyBot - Search & Destroy und Avira AntiVir
    Antiviren-, Firewall- und andere Schutzprogramme - 27.01.2010 (3)
  5. Diverse Updates unmöglich (Antivir, Spybot, Malwarebytes) etc.
    Log-Analyse und Auswertung - 11.01.2010 (2)
  6. Antivir findet Trojaner // Antivir und Spybot werden anschließend geblockt
    Log-Analyse und Auswertung - 23.12.2009 (1)
  7. Virenbefall - AntiVir, Malwarebytes, Spybot und HJT außer funktion
    Plagegeister aller Art und deren Bekämpfung - 21.12.2009 (2)
  8. TR/Vilsel.ijq Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 07.11.2009 (9)
  9. Nach Spybot suche findet nur Antivir Trojaner
    Log-Analyse und Auswertung - 28.06.2009 (3)
  10. Internet und PC sehr langsam,Antivir und Spybot finden nichts
    Log-Analyse und Auswertung - 03.01.2009 (4)
  11. Hab malware auf dem pc(verfolgender Cookie) und Spybot bzw. Adaware versagen
    Mülltonne - 12.11.2008 (0)
  12. Virtumonde -- HJT, Spybot und Ad-Aware versagen.
    Log-Analyse und Auswertung - 11.08.2008 (19)
  13. Sophos und Antivir versagen den Dienst! Hilfe!
    Antiviren-, Firewall- und andere Schutzprogramme - 29.04.2008 (14)
  14. Spybot Search & Destroy + Antivir
    Antiviren-, Firewall- und andere Schutzprogramme - 10.10.2007 (5)
  15. antivir,zonealarm,spybot sd und trojaner-board
    Lob, Kritik und Wünsche - 13.07.2007 (4)
  16. CWS trotz Spybot, Ad-Aware, BHODeamon, Zonealarm und Antivir
    Plagegeister aller Art und deren Bekämpfung - 22.06.2005 (10)
  17. Generell zu Norten AV, AntiVir & Spybot(Benötige Hilfe)
    Antiviren-, Firewall- und andere Schutzprogramme - 23.03.2005 (2)

Zum Thema Vilsel.aejm u.a./Antivir u. Spybot versagen - Hi, ich habe Malware im System. Antivir findet nur noch TR/Vilsel.aejm, aber aufgrund vieler suspekter Prozesse, die im Task-Manager angezeigt werden, glaube ich, dass noch einige andere Nervensägen da sind. - Vilsel.aejm u.a./Antivir u. Spybot versagen...
Archiv
Du betrachtest: Vilsel.aejm u.a./Antivir u. Spybot versagen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.