Heute nacht gingen Warnfenster auf mit der Meldung, dass XP Security Center Viren gefunden hätte. Da ich XP Security Center nicht installiert habe, war das offensichtlich eine Fakemeldung, die es zu beenden und zu bekämpfen galt.
Alle Browser zeigten auch stets nur falsche Ausgaben an, so dass Webrecherge unmöglich war. Also Internetverbindung gekappt und Malwarebytes' Anti-Malware vollständig scannen lassen.

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6479

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.05.2011 02:55:06
mbam-log-2011-05-21 (02-55-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 294692
Laufzeit: 1 Stunde(n), 8 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\lhc.exe" -a "C:\Pluto\Firefox\firefox.exe") Good: (firefox.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\lhc.exe" -a "C:\Pluto\Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\lhc.exe" -a "C:\Programme\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\lhc.exe" -a "%1" %*) Good: ("%1" %*) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bereinigt und den notwendigen Neustart durchgeführt. Danach nur ein Quickscan durchgeführt (ebenfalls im Normalmodus).

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6630

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.05.2011 03:03:56
mbam-log-2011-05-21 (03-03-54).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142316
Laufzeit: 3 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Weber\lokale einstellungen\Temp\7lehbvtx_wait.exe (Trojan.Agent) -> No action taken.

Nach Neustart (und Schlaf) Anti-Malware durchgeführt. Im Quickscan nichts gefunden. Funde aus Quarantäne gelöscht. Dann rkill.com ausgeführt. Im vollständigen Anti-Malware-Scan war wieder eine Infektion.

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6633

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.05.2011 13:29:12
mbam-log-2011-05-21 (13-29-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 296866
Laufzeit: 1 Stunde(n), 12 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Weber\lokale einstellungen\anwendungsdaten\lhc.exe (Trojan.FakeAlert) -> No action taken.

Avira Antivir Update durchgeführt, vollständige Systemprüfung hat auch was gefunden

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 21. Mai 2011 15:38

Es wird nach 2750501 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DOPPELKERN

Versionsinformationen:
BUILD.DAT : 10.0.0.648 31823 Bytes 01.04.2011 18:23:00
AVSCAN.EXE : 10.0.4.2 442024 Bytes 21.05.2011 10:06:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 28.02.2011 15:46:20
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:43:04
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 16:20:27
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 15:29:07
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 15:29:07
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 15:29:07
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 15:29:07
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 15:29:08
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 15:29:08
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 15:29:08
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 15:29:08
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 15:29:08
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 15:29:08
VBASE013.VDF : 7.11.6.28 158208 Bytes 11.04.2011 15:29:08
VBASE014.VDF : 7.11.6.74 116224 Bytes 13.04.2011 15:12:18
VBASE015.VDF : 7.11.6.113 137728 Bytes 14.04.2011 15:12:19
VBASE016.VDF : 7.11.6.150 146944 Bytes 18.04.2011 15:12:19
VBASE017.VDF : 7.11.6.192 138240 Bytes 20.04.2011 15:04:00
VBASE018.VDF : 7.11.6.237 156160 Bytes 22.04.2011 15:04:00
VBASE019.VDF : 7.11.7.45 427520 Bytes 27.04.2011 14:42:15
VBASE020.VDF : 7.11.7.64 192000 Bytes 28.04.2011 14:42:15
VBASE021.VDF : 7.11.7.97 182272 Bytes 02.05.2011 14:54:09
VBASE022.VDF : 7.11.7.127 467968 Bytes 04.05.2011 09:27:08
VBASE023.VDF : 7.11.7.183 185856 Bytes 09.05.2011 09:27:09
VBASE024.VDF : 7.11.7.218 133120 Bytes 11.05.2011 15:25:31
VBASE025.VDF : 7.11.7.234 139776 Bytes 11.05.2011 15:25:35
VBASE026.VDF : 7.11.8.16 147456 Bytes 13.05.2011 15:25:40
VBASE027.VDF : 7.11.8.46 169472 Bytes 17.05.2011 10:06:35
VBASE028.VDF : 7.11.8.47 2048 Bytes 17.05.2011 10:06:35
VBASE029.VDF : 7.11.8.48 2048 Bytes 17.05.2011 10:06:35
VBASE030.VDF : 7.11.8.49 2048 Bytes 17.05.2011 10:06:35
VBASE031.VDF : 7.11.8.85 110592 Bytes 20.05.2011 10:06:35
Engineversion : 8.2.4.242
AEVDF.DLL : 8.1.2.1 106868 Bytes 18.12.2010 19:43:25
AESCRIPT.DLL : 8.1.3.64 1606011 Bytes 21.05.2011 10:06:35
AESCN.DLL : 8.1.7.2 127349 Bytes 18.12.2010 19:43:23
AESBX.DLL : 8.1.3.2 254324 Bytes 18.12.2010 19:43:26
AERDL.DLL : 8.1.9.9 639347 Bytes 28.03.2011 14:53:50
AEPACK.DLL : 8.2.6.8 557430 Bytes 16.05.2011 15:26:49
AEOFFICE.DLL : 8.1.1.22 205178 Bytes 10.05.2011 09:27:12
AEHEUR.DLL : 8.1.2.119 3481976 Bytes 21.05.2011 10:06:35
AEHELP.DLL : 8.1.17.2 246135 Bytes 21.05.2011 10:06:35
AEGEN.DLL : 8.1.5.6 401780 Bytes 21.05.2011 10:06:35
AEEMU.DLL : 8.1.3.0 393589 Bytes 18.12.2010 19:43:11
AECORE.DLL : 8.1.20.5 196983 Bytes 21.05.2011 10:06:35
AEBB.DLL : 8.1.1.0 53618 Bytes 18.12.2010 19:43:10
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.10 174120 Bytes 21.05.2011 10:06:35
AVREG.DLL : 10.0.3.2 53096 Bytes 28.02.2011 15:46:20
AVSCPLR.DLL : 10.0.4.2 84840 Bytes 21.05.2011 10:06:35
AVARKT.DLL : 10.0.22.6 231784 Bytes 28.02.2011 15:46:20
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 28.02.2011 15:46:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PFS,+SPR,

Beginn des Suchlaufs: Samstag, 21. Mai 2011 15:38

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\explorer.exe
c:\windows\explorer.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
c:\windows\explorer.exe

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '112' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '146' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1722' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{BE5F7636-5AAF-44EC-B415-C107E349F507}\RP281\A0043182.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BE5F7636-5AAF-44EC-B415-C107E349F507}\RP281\A0043182.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d336be7.qua' verschoben!


Ende des Suchlaufs: Samstag, 21. Mai 2011 16:42
Benötigte Zeit: 59:52 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14853 Verzeichnisse wurden überprüft
689859 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
689858 Dateien ohne Befall
5859 Archive wurden durchsucht
0 Warnungen
2 Hinweise
453336 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Der letzte Neustart war vor den letzen Anti-Malware Suchlauf. Ein Windows-Update hat nicht geklappt, denn nach 'benutzerdefiniert Suche' kam

Zitat:

[Fehlernummer: 0x80070424]
Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist.

Windows möchte ich ungern neu aufsetzen, weil das letzte Backup leider schon etwas älter ist.

Extras.Txt

Zitat:

OTL Extras logfile created on: 21.05.2011 17:04:07 - Run 2
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Downloads
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 170,52 Gb Free Space | 73,22% Space Free | Partition Type: NTFS

Computer Name: DOPPELKERN | User Name: Weber | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Pluto\Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Pluto\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Pluto\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Pluto\Opera\opera.exe" = C:\Pluto\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Pluto\Yahoo!\Messenger\YahooMessenger.exe" = C:\Pluto\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- (Yahoo! Inc.)
"C:\Pluto\xampp\xampp\apache\bin\httpd.exe" = C:\Pluto\xampp\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Pluto\xampp\xampp\mysql\bin\mysqld.exe" = C:\Pluto\xampp\xampp\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- (MySQL AB)
"C:\Pluto\TYPO3_4.3.3\Apache\bin\Apache.exe" = C:\Pluto\TYPO3_4.3.3\Apache\bin\Apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"D:\DVD-START.EXE" = D:\DVD-START.EXE:*:Enabled:Schnellstart-DVD
"C:\DOKUME~1\Weber\LOKALE~1\Temp\7lehbvtx_wait.exe" = C:\DOKUME~1\Weber\LOKALE~1\Temp\7lehbvtx_wait.exe:*:Enabled:ldrsoft


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00BA866C-F2A2-4BB9-A308-3DFA695B6F7C}" = Java DB 10.5.3.0
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP2600_series" = Canon iP2600 series
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{15F02176-0D12-4FAF-B2CD-2767C7781427}" = Google SketchUp 8
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2217B0B4-35CB-48C6-B640-864DF2F30F99}" = OpenOffice.org 3.2
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 20
"{27B1B784-67A7-452B-A8FF-467E8ADAA8E9}" = Torchlight German Patch
"{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java(TM) SE Development Kit 6 Update 18
"{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{46F57104-8342-4455-B6F2-0203D8CC8AA5}" = MAGIX USB-Videowandler 2
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4F64A46D-67F7-4497-AEA2-313D4305A5F6}" = Torchlight
"{5265664F-6128-405C-9225-9782A85954FD}" = Plustek USB Scanner
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{6151cf20-0bd8-4023-a4a0-6a86dcfe58e5}" = Python 2.6.6
"{69E8BEBD-B3AA-4981-BA49-AD0AEA731031}" = Nero BackItUp 2 Essentials
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7A27CEDC-D7E4-4F0A-B093-2438F9A51383}" = K. Hawk - Survival Instinct
"{7B8620F4-F388-4522-ADAD-9888C1E3D76C}" = Demon Stone
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9EDAFC7E-F964-4600-89C1-9FAAEF6E7334}" = OpenFX
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AA0000000001}" = Adobe Reader X (10.0.1) - Deutsch
"{B47B025C-11F5-498A-8C90-0B487C78B58C}_is1" = Rappelz
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D1696920-9794-4BBC-8A30-7A88763DE5A2}" = ABBYY FineReader 5.0 Sprint
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0312AC6-988B-11DA-9C49-000476F770CC}" = CIB pdf brewer 2.5.29
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CanonMyPrinter" = Canon My Printer
"CCleaner" = CCleaner
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"ElsterFormular 11.4.1.4323" = ElsterFormular
"Filzip 3.0.6.93_is1" = Filzip 3.06
"GPL Ghostscript 8.64" = GPL Ghostscript 8.64
"GSview 4.9" = GSview 4.9
"ie8" = Windows Internet Explorer 8
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"InstallShield_{46F57104-8342-4455-B6F2-0203D8CC8AA5}" = MAGIX USB-Videowandler 2
"MAGIX Online Druck Service D" = MAGIX Online Druck Service
"MAGIX Screenshare D" = MAGIX Screenshare
"MAGIX Speed burnR D" = MAGIX Speed burnR
"MAGIX Video easy RSIV Edition D" = MAGIX Video easy RSIV Edition 1.0.3.0 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Micrografx Graphics Suite 2 Enterprise" = Micrografx Graphics Suite 2 Enterprise
"Micrografx Picture Publisher 7" = Micrografx Picture Publisher 7
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MiKTeX 2.8" = MiKTeX 2.8
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Oni" = Oni
"OpenAL" = OpenAL
"Opera 11.10.2092" = Opera 11.10
"Peggle Deluxe 1.03" = Peggle Deluxe 1.03
"Peggle Nights" = Peggle Nights
"SUPER ©" = SUPER © Version 2010.bld.42 (Nov 7, 2010)
"SystemRequirementsLab" = System Requirements Lab
"TVEpaDrv" = MAGIX USB-Videowandler 2 Device Driver
"TYPO3Winstaller_4.3.3" = TYPO3Winstaller - TYPO3 4.3.3
"VLC media player" = VLC media player 1.1.5
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinEdt_is1" = WinEdt
"WinGimp-2.0_is1" = GIMP 2.6.8
"winscp3_is1" = WinSCP 4.2.7
"XP Codec Pack" = XP Codec Pack
"Yahoo! Messenger" = Yahoo! Messenger

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 01.11.2010 07:54:01 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 09.11.2010 11:14:27 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 10.11.2010 08:19:52 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 17.11.2010 11:54:42 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 18.11.2010 04:36:36 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 18.11.2010 11:11:54 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 19.11.2010 06:56:23 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 19.11.2010 09:01:33 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 20.11.2010 02:02:30 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

Error - 20.11.2010 05:12:59 | Computer Name = DOPPELKERN | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .

[ System Events ]
Error - 18.05.2011 12:11:55 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 18.05.2011 12:11:55 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 19.05.2011 14:46:40 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 19.05.2011 14:46:40 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 19.05.2011 14:46:56 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 19.05.2011 14:46:56 | Computer Name = DOPPELKERN | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 20.05.2011 19:31:46 | Computer Name = DOPPELKERN | Source = Service Control Manager | ID = 7034
Description = Dienst "Volumeschattenkopie" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 20.05.2011 19:41:19 | Computer Name = DOPPELKERN | Source = Service Control Manager | ID = 7034
Description = Dienst "Volumeschattenkopie" wurde unerwartet beendet. Dies ist bereits
2 Mal passiert.

Error - 20.05.2011 21:06:01 | Computer Name = DOPPELKERN | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.

Error - 21.05.2011 07:30:57 | Computer Name = DOPPELKERN | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.


< End of report >

OTL.Txt

Zitat:

OTL logfile created on: 21.05.2011 17:04:07 - Run 2
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Downloads
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 72,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 170,52 Gb Free Space | 73,22% Space Free | Partition Type: NTFS

Computer Name: DOPPELKERN | User Name: Weber | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Pluto\Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (Fabs) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe (MAGIX AG)
SRV - (FirebirdServerMAGIXInstance) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe (MAGIX®)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)


========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (USB28xxOEM) -- C:\WINDOWS\system32\drivers\emOEM.sys (eMPIA Technology, Inc.)
DRV - (USB28xxBGA) -- C:\WINDOWS\system32\drivers\emBDA.sys (eMPIA Technology, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (VIAHdAudAddService) -- C:\WINDOWS\system32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)
DRV - (monfilt) -- C:\WINDOWS\system32\drivers\monfilt.sys (Creative Technology Ltd.)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.9
FF - prefs.js..extensions.enabledItems: {3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}:0.8.6.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Pluto\Firefox\components [2011.05.15 11:47:23 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Pluto\Firefox\plugins [2011.05.15 11:47:23 | 000,000,000 | ---D | M]

[2010.02.14 02:55:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Extensions
[2011.05.15 11:49:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\y9fa7dk8.default\extensions
[2011.05.15 11:48:57 | 000,000,000 | ---D | M] (Html Validator) -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\y9fa7dk8.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}
[2010.06.27 18:02:54 | 000,001,980 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\y9fa7dk8.default\searchplugins\wolframalpha.xml
File not found (No name found) --
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\WEBER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\Y9FA7DK8.DEFAULT\EXTENSIONS\{A7C6CF7F-112C-4500-A7EA-39801A327E5F}.XPI
[2010.06.14 20:30:13 | 000,000,000 | ---D | M] (Java Console) -- C:\PLUTO\FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.02.14 13:52:33 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF

O1 HOSTS File: ([2004.08.10 21:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 0
O15 - HKCU\..Trusted Domains: bing.com ([www] http in Vertrauenswürdige Sites)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266139080156 (WUWebControl Class)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan)
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.254
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.14 01:07:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell - "" = AutoRun
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.hta
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.05.21 13:41:13 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2004.11.24 21:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.05.21 14:21:20 | 000,276,302 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.05.21 14:21:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.21 13:59:32 | 000,000,041 | ---- | M] () -- C:\WINDOWS\Filzip.ini
[2011.05.21 13:50:00 | 000,000,209 | -HS- | M] () -- C:\boot.ini
[2011.05.21 12:06:35 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.05.21 02:15:26 | 000,016,104 | -HS- | M] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 02:15:26 | 000,016,104 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\7235496.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\2874791.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\1279607.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\112175.exe
[2011.05.20 20:18:34 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011.05.19 20:46:11 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.16 06:56:04 | 000,000,027 | ---- | M] () -- C:\WINDOWS\SP-SERV.INI
[2011.05.08 09:52:02 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.05.02 16:56:24 | 000,459,096 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.05.02 16:56:24 | 000,441,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.05.02 16:56:24 | 000,084,478 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.05.02 16:56:24 | 000,071,196 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.04.30 14:05:56 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\.recently-used.xbel
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.05.21 01:22:57 | 000,016,104 | -HS- | C] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 01:22:57 | 000,016,104 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 01:22:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\7235496.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\2874791.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\1279607.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\112175.exe
[2011.05.15 11:47:24 | 000,000,596 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2011.04.30 14:05:56 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\.recently-used.xbel
[2011.03.11 20:42:53 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2010.12.30 21:39:51 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2010.11.21 22:35:36 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.09.13 16:20:56 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\Filzip.ini
[2010.07.25 19:09:43 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2010.07.25 18:50:15 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2010.07.25 18:45:55 | 000,303,104 | ---- | C] () -- C:\WINDOWS\emunist.exe
[2010.07.25 18:45:55 | 000,001,336 | ---- | C] () -- C:\WINDOWS\TVEpaDrv.ini
[2010.07.25 18:45:49 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2010.06.20 17:52:59 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.06.13 19:35:51 | 000,000,019 | ---- | C] () -- C:\WINDOWS\popcinfo.dat
[2010.04.21 17:44:16 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\winscp.rnd
[2010.03.02 20:02:59 | 002,183,470 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2010.03.01 13:25:37 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.03.01 13:25:35 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.15 12:12:53 | 000,000,027 | ---- | C] () -- C:\WINDOWS\SP-SERV.INI
[2010.02.14 13:36:30 | 000,116,736 | ---- | C] () -- C:\WINDOWS\System32\PCDLIB32.DLL
[2010.02.14 13:36:29 | 000,306,688 | ---- | C] () -- C:\WINDOWS\System32\LFFPX7.DLL
[2010.02.14 13:36:29 | 000,095,232 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2010.02.14 13:36:28 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2010.02.14 13:36:11 | 000,082,944 | ---- | C] () -- C:\WINDOWS\System32\Ppiv20.dll
[2010.02.14 13:36:10 | 000,172,544 | ---- | C] () -- C:\WINDOWS\Mgxclean.exe
[2010.02.14 13:11:38 | 000,000,041 | ---- | C] () -- C:\WINDOWS\Filzip.ini
[2010.02.14 12:37:34 | 000,049,152 | R--- | C] () -- C:\WINDOWS\AutoSet.dll
[2010.02.14 12:31:45 | 000,000,114 | ---- | C] () -- C:\WINDOWS\SCNDRVU.INI
[2010.02.14 12:03:00 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.14 02:55:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.02.14 01:21:04 | 000,001,732 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2010.02.14 01:10:34 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.02.14 01:09:13 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010.02.14 01:05:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.02.14 00:48:03 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.02.14 00:45:30 | 000,221,632 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.12.19 17:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.12.17 19:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.12.17 19:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.12.17 19:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.12.17 19:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.12.17 18:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008.08.02 06:20:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.11.02 18:10:16 | 000,080,912 | ---- | C] () -- C:\WINDOWS\System32\sherlock2.exe
[2004.10.03 19:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2004.08.10 21:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.10 21:00:00 | 000,459,096 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.10 21:00:00 | 000,441,260 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.10 21:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.10 21:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.10 21:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.10 21:00:00 | 000,084,478 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.10 21:00:00 | 000,071,196 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.10 21:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.10 21:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.10 21:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.10 21:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.10 21:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.10 21:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.07.30 11:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003.07.30 11:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

========== LOP Check ==========

[2010.02.14 12:26:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.05.23 15:10:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2010.06.15 21:10:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fullscreen=true
[2010.07.25 18:53:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2010.06.21 18:11:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MySQL
[2010.06.13 20:46:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SpinTop Games
[2011.01.12 20:38:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2010.03.01 14:52:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Auslogics
[2010.05.23 15:10:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\elsterformular
[2010.09.12 08:56:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\gtk-2.0
[2010.07.25 18:55:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\MAGIX
[2010.07.25 18:45:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\MAGIX USB-Videowandler 2
[2010.02.15 11:44:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\OpenOffice.org
[2010.02.14 14:58:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Opera
[2010.06.23 18:49:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\runic games
[2011.05.18 08:27:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\WinEdt

========== Purity Check ==========



< End of report >

Schritt 1

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor (Anleitung):

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schritt 2

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell - "" = AutoRun
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE 
[2011.05.21 02:15:26 | 000,016,104 | -HS- | M] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 02:15:26 | 000,016,104 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\7235496.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\2874791.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\1279607.exe
[2011.05.21 01:22:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\112175.exe
:Commands
[purity]
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
  ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schon mal Danke vorweg.

Frage 1:
An den Rechner waren seit mindestens zwei Wochen keine externen Datenspeicher angeschlossen. Entfällt damit Schritt 1?

Frage 2:
Gibt es ungefähre Schätzungen, wie lange die einzelnen Scans benötigen? Das wäre sehr hilfreich zu wissen, ob es überhaupt sinnvoll ist, den Scan zu starten, wenn ich beispielsweise nur eine Stunde Zeit habe.

Also führe Schritt 1 dennoch aus. Schritt 2 geht kurz und Schritt 3 kann länger als 1 Stunde gehen.

Hier schon das Log vom OTL-Fix.

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b0bb9616-c416-11df-af39-0021978e01d4}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b0bb9616-c416-11df-af39-0021978e01d4}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b0bb9616-c416-11df-af39-0021978e01d4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b0bb9616-c416-11df-af39-0021978e01d4}\ not found.
C:\WINDOWS\system32\rundll32.exe moved successfully.
C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\p01i1trwodu647uj8iie7k1wlox8m26e343gx64up4x moved successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\7235496.exe moved successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\2874791.exe moved successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\1279607.exe moved successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\112175.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: Weber
->Temp folder emptied: 9544439 bytes
->Temporary Internet Files folder emptied: 83433052 bytes
->Java cache emptied: 7435342 bytes
->FireFox cache emptied: 89899846 bytes
->Opera cache emptied: 3086 bytes
->Flash cache emptied: 58108 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1225817 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 11495178 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 194,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 05232011_165759

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         

Ergebnisse von GMER folgen hoffentlich in einer Stunde.

Hat deutlich über eine Stunde gedauert.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-23 19:47:06
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T1L0-10 ExcelStor_Technology_J9250S rev.GM2OA52A
Running: pd3irycz.exe; Driver: C:\DOKUME~1\Weber\LOKALE~1\Temp\uwlcypoc.sys


---- System - GMER 1.0.15 ----

SSDT   B802378E                                  ZwCreateKey
SSDT   B8023784                                  ZwCreateThread
SSDT   B8023793                                  ZwDeleteKey
SSDT   B802379D                                  ZwDeleteValueKey
SSDT   B80237A2                                  ZwLoadKey
SSDT   B8023770                                  ZwOpenProcess
SSDT   B8023775                                  ZwOpenThread
SSDT   B80237AC                                  ZwReplaceKey
SSDT   B80237A7                                  ZwRestoreKey
SSDT   B8023798                                  ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys  section is writeable [0xB7221380, 0x5662A5, 0xE8000020]
init   C:\WINDOWS\system32\drivers\monfilt.sys   entry point in "init" section [0xB4CF3280]

---- EOF - GMER 1.0.15 ----
         

Wie geht's jetzt weiter?

Kommen noch Warnmeldungen?

Nach wie vor bekomme ich beim Windows-Update

Zitat:

[Fehlernummer: 0x80070424]
Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist.

Im Sicherheitscenter wird Automatisches Update als inaktiv angezeigt (anders als in Automatisches Update in Systemsteuerung).
Das Sicherheitscenter konnte die Einstellung für automatische Updates nicht ändern. Ändern Sie diese manuell, indem Sie die Systemsteuerungsoption "Automatisches Update" öffnen. Wählen Sie darin die Option "Automatisch (empfohlen)" aus und klicken Sie auf "OK".

PS: Ein weiteres Symptom ist, dass die Verwaltung unter Systemsteuerung leer ist.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop

• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

Hat nicht unmittelbar geholfen.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-05-23.02 - Weber 23.05.2011  21:27:29.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1640 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Weber\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Weber\Startmenü\Programme\Scanner
c:\dokumente und einstellungen\Weber\Startmenü\Programme\Scanner\PicturePublisher.lnk
c:\dokumente und einstellungen\Weber\Startmenü\Programme\Scanner\Sprint.lnk
c:\dokumente und einstellungen\Weber\WINDOWS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-23 bis 2011-05-23  ))))))))))))))))))))))))))))))
.
.
2011-05-23 14:57 . 2011-05-23 14:57	--------	d-----w-	C:\_OTL
2011-05-21 14:42 . 2011-05-21 14:42	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2011-05-21 14:41 . 2011-05-21 14:41	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-05-21 14:41 . 2011-05-21 14:41	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2011-05-21 11:41 . 2011-05-21 11:41	--------	d--h--w-	c:\windows\PIF
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-21 10:06 . 2010-02-14 00:49	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-14 17:30 . 2011-03-11 18:42	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
2011-02-28 15:46 . 2010-02-14 00:49	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 11:47	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 13:30	216064	--sh--r-	c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2004-08-10 19:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll
[-] 2004-08-10 19:00 . 5FDCCC838CD95F61097D8A637F842AA8 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-05-14 29831168]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-02-28 281768]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-09-14 1603152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-02-21 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-02-21 13670504]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Pluto\\Opera\\opera.exe"=
"c:\\Pluto\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Pluto\\xampp\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Pluto\\xampp\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Pluto\\TYPO3_4.3.3\\Apache\\bin\\Apache.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.02.2010 02:49 136360]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [27.08.2009 17:09 1253376]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [14.02.2010 01:49 238080]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 11:10 3276800]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: bing.com\www
TCP: {E9CA6DAC-6DA4-4511-A92F-5CB29A1F28D2} = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\dokumente und einstellungen\Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\y9fa7dk8.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-nwiz - nwiz.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-23 21:30
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2011-05-23  21:31:27
ComboFix-quarantined-files.txt  2011-05-23 19:31
.
Vor Suchlauf: 12 Verzeichnis(se), 183.150.596.096 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 183.106.789.376 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 4A84128A4B3F6759A8CDF246B75AF2DA
         

PS: Nach Neustart funktioniert Windows Update wieder.

Aber die Verwaltung unter Systemsteuerung ist noch leer.

Die Windowswiederherstellungskonsole wurde nicht deinstalliert.

Code: Alles auswählenAufklappen

ATTFilter

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
         

Sind beide Zeilen aus der boot.ini zu löschen oder nur die erste?
Falls tatsächlich nur die erste zu löschen ist, was bedeutet dann die zweite? ( Sorry, falls ich deine Geduld überstrapaziere)

Im Menü "Datei" der Verwaltung auf "Neu --> Verknüpfung" klicken und im Feld "Speicherort des Elements" und "Bezeichnung" jeweils folgende Werte eingeben:

1. 
   Element: %SystemRoot%\system32\compmgmt.msc /s
   Bezeichnung: Computerverwaltung
   
2. 
   Element: %SystemRoot%\system32\odbcad32.exe
   Bezeichnung: Datenquellen (ODBC)
   
3. 
   Bezeichnung: %SystemRoot%\system32\services.msc /s
   Element: Dienste
   
4. 
   Bezeichnung: %SystemRoot%\system32\eventvwr.msc /s
   Element: Ereignisanzeige
   
5. 
   Bezeichnung: %SystemRoot%\system32\Com\comexp.msc /s
   Element: Komponentendienste
   
6. 
   Bezeichnung: %SystemRoot%\system32\perfmon.msc /s
   Element: Leistung
   
7. 
   Bezeichnung: %SystemRoot%\system32\secpol.msc /s
   Element: Lokale Sicherheitsrichtlinie

Jetzt scheint alles wieder zu funktionieren. Vielen Dank!

Nun würde ich gerne noch aufräumen.

Frage 3:
Kann ich die bei der Beseitung erstellten Verzeichnisse
C:\Qoobox
C:\_OTL
problemlos löschen?

Frage 4:
Funktioniert das Löschen der Wiederherstellungskonsole exakt wie in
hxxp://support.microsoft.com/kb/307654/de
beschrieben oder unterscheidet sich das Löschen wegen der ComboFix-Installation?

Frage 5:
Sollten in Schritt 3 die Punkte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),

nicht vertauscht werden?

Frage 6:
Sind noch irgendwelche Abschlussscans notwendig?

<-- kann ich gar nicht oft genug sagen

Morgen werde ich wohl Sandboxie installieren, um nicht alljährlich mit solchen Schwierigkeiten kämpfen zu müssen.

Schritt 1

Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code: Alles auswählenAufklappen

ATTFilter

Combofix /Uninstall
         

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 2

Tool CleanUp

Starte bitte die OTL.exe.
Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen.
Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren.


Schritt 3

Automatische Updates

Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile

RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl

und klicke auf OK.
Stelle sicher das die automatischen Updates aktiviert sind.


Schritt 4

Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.

• SpywareBlaster
  Eine kurze Einführung findest du Hier
  
  
• MalwareBytes Anti Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
  Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.
  Hinweis: MBAM ersetzt keine Anti- Viren- Software.
  
  
• Temp File Cleaner
  TFC ist ein wirklich starkes Tool zum entfernen von Temp Dateien vom IE und WIndows, leert den Papierkorb und noch viel mehr.
  Ausserdem hilft es Deinen Computer zu beschleunigen.
  Du kannst Dir TFC ( by OldTimer ) hier downloaden.
  
  
• MVPs hosts file
  Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  
  
• Halte Dein System aktuell
  Ich kann gar nicht oft genug betonen, wie wichtig es ist, dass der PC auf dem aktuellsten Stand der Dinge ist.
  Es werden oft genug Sicherheitslücken in Windows eigenen Anwendungen gefunden. Diese "Löcher" gehören entfernt, weil Angreifer diese womöglich nutzen um unauthorisiert auf Dein System zu zugreifen.
  Jeden zweiten Dienstag im Monat ist Update Tag. Besuche bitte dazu die Microsoft Update Seite.
  
  
• Halte Deine Software aktuell
  Der einfachste Weg dafür ist der Secunia Online Software.

Schritt 5

Tipps für sicheres Surfen

Das sind meine Vorschläge.
Verwende einen alternativen Browser statt den IE.
Ich empfehle Mozilla Firefox.

Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.

• NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
  
  
• AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.
  
  
• WOT (Web of trust)
  Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Don'ts

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Nei die sollst Du nicht löschen. Die kann evtl einmal von nutzen sein.