Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows aus Sicherheitsgründen blockiert mit schwarzem Bildschirm (https://www.trojaner-board.de/111846-windows-sicherheitsgruenden-blockiert-schwarzem-bildschirm.html)

meelee 19.03.2012 14:49
Windows aus Sicherheitsgründen blockiert mit schwarzem Bildschirm
 
Hallo,

ich habe einen XP SP3 Rechner mit 3 Administrator-Benutzern und 4 Benutzer mit eingeschränkten Konten.

Bis auf ein eingeschränktes Konto sind alle anderen Konten nach Anschein in Ordnung.

Nun wird bei diesem einen Konto nach dem Anmelden nach kurzer Zeit ein schwarzer Bildschirm mit einem "Deutschland"-Streifen und der Meldung "Windows wurde aus Sicherheitsgründen blockiert. Zum Beheben hier klicken" ausgegeben und man kann im Blindflug nichts mehr machen. => Reset-Taste

Was muss ich nun tun damit ich diese Meldung wieder los werde? Und vor allem wie, da es ja nur ein Benutzerkonto mit eingeschränkten Rechten betrifft?

Schon mal vielen Dank für die Unterstützung.

Gruß
meelee

Swisstreasure 19.03.2012 15:09
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Abgesicherter Modus zur Bereinigung

Schritt 2

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

meelee 19.03.2012 15:54
Hallo Swiss,

vielen Dank für deine schnelle Antwort.

Wenn ich Windows im abgesicherten Modus starte, muss dann das infizierte Konto anmelden und dort Malwarebytes ausführen?

Wenn ich heute Abend zu Hause bin, setz ich mich gleich an den Rechner.

Gruß meelee

Swisstreasure 19.03.2012 17:28
Genau :) mach es so.

meelee 19.03.2012 19:05
Hallo Swiss,

habe nun den Rechner mit F8 gebootet und bekomme nur die Administrator Konten angezeigt. Neben meinen 3 bekannten Konten taucht noch ein viertes Konto namens "Administrator" auf.
Das infizierte eingeschränkte Konto steht nicht zur Verfügung.

Was soll ich tun?

Gruß meelee

Swisstreasure 19.03.2012 20:46
Du musst das Konto mit Adminrechten nehmen.

meelee 19.03.2012 21:47
ok, dann logge ich mich mit einem meiner Admin Konten ein.
gruß meelee

Swisstreasure 19.03.2012 21:57
Genauuuuuu ;)

meelee 19.03.2012 22:56
Hallo Swiss,

so nun habe ich Malwarebyte laufen lassen und der hat einiges gefunden bei dem infizierten Konto.

Nach dem Quick Scan hat malwarebyte einen Neustart verlangt welchen ich auch ausgeführt habe zum vollständigen Abschluss des Scans.

Hier das Log-File:

[code\Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.19.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.5730.13
Michael :: HAL9000 [Administrator]

Schutz: Deaktiviert

19.03.2012 21:54:18
mbam-log-2012-03-19 (21-54-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 317445
Laufzeit: 5 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Recycle.Bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 44
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\jashla.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Trojan.CryptMar.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Security Solution\securityhelper.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Security Solution\securitymanager.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Security Solution 2011\securityhelper.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Security Solution 2011\securitymanager.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\0.16845023650856839.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\278524.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\b5693.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\b8283.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\jar_cache5135323750087799109.tmp (Trojan.SpyEyes.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\jar_cache6468433701335438117.tmp (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\jar_cache7117294082020670354.tmp (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\jar_cache7824759435096323692.tmp (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\mscj2.exe (Backdoor.Bot) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p1274.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p2297.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p3047.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p5111.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p6322.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\p7281.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.09950408686582923.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.1021328569686546.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.11177460212631762.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.15609905227296172.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.21081725864208345.exe (Heuristics.Shuriken) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.22632676821351982.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.3551290356495699.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.7256695489011281.exe (Trojan.Mscj) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.7909093206042028.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.860660525248501.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\Recycle.Bin.exe (Trojan.SpyEyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.34171958375847167.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.4945865124080292.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.49784230435862653.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.6553305901342975.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.7565053641392471.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.914792936657645.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.933315568952908.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.9428739036814757.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\0.9817285660371216.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bi\A96C465E029.exe (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Recycle.Bin\config.bin (Trojan.Spyeyes) -> Erfolgreich gelöscht und in Quarantäne gestellt.[\code]

Ich hoffe das ich das Log-File richtig eingebunden habe und es lesbar ist.

Wie geht es nun weiter?

Gruß meelee

Swisstreasure 20.03.2012 08:28
Kannst Du wieder im Normalmodus startent?

Dann mache folgendes:

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

meelee 20.03.2012 09:16
Habe ich noch nicht ausprobiert.
Da ich erst wieder heute Abend zu Hause bin kann ich dies erst dann prüfen.

Wird OTL wieder mit Admin-Konto gestartet wie Malwarebytes (war ja im abgesicherten Modus) oder diesmal mit dem infizierten eingeschränkten Konto wenn der Normalmodus funktioniert?

Vielen Dank für deine Unterstützung.

Gruß meelee

Swisstreasure 20.03.2012 10:12
Mach alles im Adminkonto.

meelee 20.03.2012 11:06
Werde ich heute Abend dann machen und die Logs hier berichten.

Vielen, vielen Dank für die wertvollen Informationen.

Gruß meelee

meelee 20.03.2012 19:24
Hallo Swiss,

habe OTL in meinem Admin-Konto laufen lassen mit den obigen Parametern.

Hier nun das OTL-Log:
Code:
OTL logfile created on: 20.03.2012 18:47:00 - Run 1
OTL by OldTimer - Version 3.2.39.1    Folder = C:\Dokumente und Einstellungen\Michael\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,46 Gb Available Physical Memory | 73,10% Memory free
2,60 Gb Paging File | 2,17 Gb Available in Paging File | 83,20% Paging File free
Paging file location(s): C:\pagefile.sys 384 768D:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 1,10 Gb Free Space | 7,49% Space Free | Partition Type: NTFS
Drive D: | 23,50 Gb Total Space | 3,52 Gb Free Space | 14,98% Space Free | Partition Type: NTFS
Drive E: | 100,00 Gb Total Space | 53,11 Gb Free Space | 53,11% Space Free | Partition Type: NTFS
Drive I: | 7,46 Gb Total Space | 7,20 Gb Free Space | 96,45% Space Free | Partition Type: FAT32
Drive O: | 298,09 Gb Total Space | 135,10 Gb Free Space | 45,32% Space Free | Partition Type: NTFS
Drive Z: | 496,17 Gb Total Space | 10,17 Gb Free Space | 2,05% Space Free | Partition Type: NTFS
 
Computer Name: HAL9000 | User Name: Michael | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.20 18:44:16 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
PRC - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.01.13 14:53:18 | 000,460,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2009.12.20 11:47:42 | 000,386,872 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jucheck.exe
PRC - [2008.09.30 15:51:58 | 007,418,368 | ---- | M] (OpenOffice.org) -- D:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2008.09.30 15:49:34 | 007,424,000 | ---- | M] (OpenOffice.org) -- D:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.02 16:00:00 | 002,748,928 | ---- | M] (Cornelsen Verlag GmbH & Co. oHG) -- C:\Programme\Cornelsen\Kalender\CsKalender.exe
PRC - [2007.03.02 15:56:52 | 000,077,824 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfimon.exe
PRC - [2006.03.13 20:29:46 | 000,344,064 | ---- | M] (TechniSat) -- d:\Programme\TechniSat DVB\bin\Server4PC.exe
PRC - [2006.03.13 20:29:46 | 000,344,064 | ---- | M] (TechniSat) -- D:\Programme\TechniSat DVB\bin\Server4PC.exe
PRC - [2004.12.14 01:12:02 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- D:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
PRC - [2004.08.22 17:05:02 | 000,081,920 | ---- | M] (DAEMON'S HOME) -- D:\Programme\D-Tools\daemon.exe
PRC - [2002.09.18 14:16:30 | 000,098,304 | ---- | M] (Sonic Solutions) -- C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2008.07.29 13:55:14 | 000,969,728 | ---- | M] () -- D:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2006.08.11 20:43:10 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll
MOD - [2006.03.13 20:19:16 | 000,131,072 | ---- | M] () -- D:\Programme\TechniSat DVB\bin\libbz2.dll
MOD - [2004.08.22 17:04:56 | 000,069,120 | ---- | M] () -- C:\WINDOWS\daemon.dll
MOD - [2003.12.30 21:52:00 | 000,007,168 | ---- | M] () -- D:\Programme\D-Tools\Plugins\Images\bw5mount.dll
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2006.10.27 15:52:55 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2008.04.13 23:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007.11.08 16:31:47 | 000,081,408 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV86.sys -- (SSHDRV86)
DRV - [2006.03.14 02:22:40 | 000,349,184 | R--- | M] (B2C2, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SkyNet.sys -- (SKYNET)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005.08.10 13:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.05.16 14:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2002.07.19 08:10:20 | 000,006,656 | ---- | M] (Sonic Solutions) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cinemsup.sys -- (Cinemsup)
DRV - [2001.08.17 12:19:34 | 000,040,704 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\es1371mp.sys -- (es1371) Creative AudioPCI (ES1371,ES1373) (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [DAEMON Tools-1033] D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cornelsen Kalender.lnk = C:\Programme\Cornelsen\Kalender\CsKalender.exe (Cornelsen Verlag GmbH & Co. oHG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_19_erinnerung.lnk = D:\Programme\phase6\phase6_19\WinStart\p6erinnerung.exe (phase6)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Server4PC.lnk = D:\Programme\TechniSat DVB\bin\Server4PC.exe (TechniSat)
O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk = C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe (Sonic Solutions)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Convert link target to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert link target to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8980E5C2-EF09-4009-8799-3442BE92E295}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.17 20:47:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C6BEB4D-8E66-FCA5-8F33-BF2CC5B10655} - Themes Setup
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.20 18:44:14 | 000,594,432 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
[2012.03.19 21:51:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Malwarebytes
[2012.03.19 21:51:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.19 21:51:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.19 21:51:09 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.03.19 21:51:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.03.20 18:44:16 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
[2012.03.20 18:36:26 | 000,081,858 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.03.20 18:35:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.03.20 18:35:05 | 2146,992,128 | -HS- | M] () -- C:\hiberfil.sys
[2012.03.19 21:52:33 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.14 16:12:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.05 18:38:28 | 000,395,336 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.05 18:38:26 | 000,408,948 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.05 18:38:26 | 000,071,796 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.05 18:38:26 | 000,059,576 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.03.20 15:13:45 | 2146,992,128 | -HS- | C] () -- C:\hiberfil.sys
[2012.03.19 21:51:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
 
========== LOP Check ==========
 
[2007.12.13 21:02:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
[2008.01.11 14:14:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cornelsen
[2008.03.03 11:58:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2011.06.21 13:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2007.12.13 21:02:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Technisat
[2009.10.29 10:35:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Cornelsen
[2007.11.12 17:23:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\DeepBurner
[2009.11.17 11:09:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Klett
[2008.11.04 09:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\OpenOffice.org
[2006.10.27 16:05:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\uTorrent
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2008.09.30 11:29:04 | 000,000,000 | ---D | M] -- C:\Brother
[2009.04.18 17:35:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2007.03.06 09:14:40 | 000,000,000 | ---D | M] -- C:\Meine Downloads
[2012.03.19 21:51:09 | 000,000,000 | R--D | M] -- C:\Programme
[2012.03.19 22:37:46 | 000,000,000 | -H-D | M] -- C:\Recycle.Bi
[2012.03.18 08:39:23 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2006.10.17 20:52:52 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.03.20 18:36:21 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< MD5 for: EXPLORER.EXE  >
[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2009.02.09 15:04:19 | 001,846,912 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

< End of report >
und hier das Extra-Log:

Code:
OTL Extras logfile created on: 20.03.2012 18:47:00 - Run 1
OTL by OldTimer - Version 3.2.39.1    Folder = C:\Dokumente und Einstellungen\Michael\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,46 Gb Available Physical Memory | 73,10% Memory free
2,60 Gb Paging File | 2,17 Gb Available in Paging File | 83,20% Paging File free
Paging file location(s): C:\pagefile.sys 384 768D:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 1,10 Gb Free Space | 7,49% Space Free | Partition Type: NTFS
Drive D: | 23,50 Gb Total Space | 3,52 Gb Free Space | 14,98% Space Free | Partition Type: NTFS
Drive E: | 100,00 Gb Total Space | 53,11 Gb Free Space | 53,11% Space Free | Partition Type: NTFS
Drive I: | 7,46 Gb Total Space | 7,20 Gb Free Space | 96,45% Space Free | Partition Type: FAT32
Drive O: | 298,09 Gb Total Space | 135,10 Gb Free Space | 45,32% Space Free | Partition Type: NTFS
Drive Z: | 496,17 Gb Total Space | 10,17 Gb Free Space | 2,05% Space Free | Partition Type: NTFS
 
Computer Name: HAL9000 | User Name: Michael | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\uTorrent\utorrent.exe" = D:\Programme\uTorrent\utorrent.exe:*:Enabled:µTorrent -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""Deutsch 5. und 6. Klasse" - CD29_is1" = Oriolus Lernprogramm Deutsch 5. und 6. Klasse
""Deutsch 7. bis 9. Klasse" - CD29_is1" = Oriolus Lernprogramm Deutsch 7. bis 9. Klasse
""Deutsch in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Deutsch in der Grundschule
""Französisch in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Französisch in der Grundschule
""Mathematik 5. und 6. Klasse" - CD29_is1" = Oriolus Lernprogramm Mathematik 5. und 6. Klasse
""Mathematik 7. bis 9. Klasse" - CD29_is1" = Oriolus Lernprogramm Mathematik 7. bis 9. Klasse
""Mathematik in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Mathematik in der Grundschule
"{011D3ED9-1829-48F5-A22F-3B10A886B262}" = English Coach 21 1
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{0CB3C535-1171-4A20-B549-E2CB5DEB9723}" = MySQL Connector/ODBC 3.51
"{1BC2258D-B831-47AD-96D5-2D5E92315B25}" = Découvertes 1
"{2447500B-22D7-47BD-9B13-1A927F43A267}" = Empire Earth
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{332CC6BF-E6C7-48EE-BA3D-435E576AD67F}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{40D5AB10-F3E0-4A3E-B59A-25BE077EBD11}" = Cornelsen Kalender
"{566CD4C6-6B5C-4C1B-8496-10EDFE7F2C75}" = Stadtrallye
"{626B7EA2-B7C2-4277-AE30-A8B452A92B6C}" = Phonetik
"{65D70656-D248-4C83-B594-E3029C43B37A}" = phase6_19
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{84F7CAD9-2316-4701-B5CA-E90FD60029E9}" = ANNO 1602
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{991470F7-1A45-4E49-8905-D554A2A048A0}" = Carnet d'activités À plus! 2
"{9C244239-ED8E-40f1-937F-51C706CD2160}" = Die Sims™ 2 Deluxe
"{9F05B89E-2873-11D5-9E9D-0050DA1EA555}" = Myst III Exile
"{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite
"{AC76BA86-1033-0000-7760-000000000002}" = Adobe Acrobat 7.0 Professional
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B6C89654-A6A2-477C-873B-724EC1C56407}" = ScanSoft PaperPort 11
"{BFEDA49F-2E91-4B54-A366-F5A198FE1173}" = DVB-PC TV Star
"{C90F1F31-EE00-4E31-ABA3-355FF904F86A}" = Carnet d'activités À plus! 3
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{D032A7F0-8B5C-4603-8B46-235025D5F9C1}" = TechniSat DVB-PC TV Star
"{D4576E0D-2295-4B8E-B663-B68086B00EE5}" = Sonic CinePlayer DVD Pack
"{E8895A6B-1A5A-4754-AE70-70432DA6C6D6}" = Carnet d'activités À plus! 1
"Adobe Acrobat 7.0 Professional" = Adobe Acrobat 7.0 Professional
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Alone in the Dark - The New Nightmare" = Alone in the Dark - The New Nightmare
"DVBViewer TE_is1" = DVBViewer TE
"HVTNGN3" = Hörverstehen Green Line New 3
"HVTNGN4" = Hörverstehen Green Line New 4
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Klett Lernsoftware Mathematik - Lambacher Schwei~F7563B51_is1" = Klett Lernsoftware Mathematik - Lambacher Schweizer (4. Lernjah
"LEGOLANDDeInstKey" = LEGOLAND
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"MSCSR" = Microsoft Speech Recognition Engine 4.0 (English)
"Nero - Burning Rom!UninstallKey" = Nero 6 Demo
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Pharao" = Pharao
"Pinball Fußball-Edition_is1" = Pinball Fußball-Edition
"Prof. Superschlau Mathe 5.-13. Demo_is1" = März 2007
"QuickTime" = QuickTime
"TmNations_is1" = TrackMania Nations ESWC 0.1.7.5
"uTorrent" = µTorrent
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.03.2012 07:31:59 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16827, fehlgeschlagenes
 Modul mshtml.dll, Version 7.0.6000.16825, Fehleradresse 0x0003c1b5.
 
Error - 10.03.2012 09:43:16 | Computer Name = HAL9000 | Source = Application Error | ID = 1005
Description =
 
Error - 10.03.2012 09:43:16 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul directdb.dll, Version 6.0.2900.5512, Fehleradresse 0x0000bc98.
 
Error - 10.03.2012 09:43:40 | Computer Name = HAL9000 | Source = Application Error | ID = 1005
Description =
 
Error - 10.03.2012 09:43:41 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul directdb.dll, Version 6.0.2900.5512, Fehleradresse 0x0000bc98.
 
Error - 10.03.2012 09:43:41 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 10.03.2012 09:56:32 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul cinemastervideo.dll, Version 2.5.3.813, Fehleradresse 0x0001b8ea.
 
Error - 10.03.2012 09:57:00 | Computer Name = HAL9000 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 11.03.2012 14:09:42 | Computer Name = HAL9000 | Source = .NET Runtime | ID = 0
Description =
 
Error - 17.03.2012 10:45:46 | Computer Name = HAL9000 | Source = .NET Runtime | ID = 0
Description =
 
[ System Events ]
Error - 19.03.2012 17:43:27 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk4\D gefunden.
 
Error - 19.03.2012 17:43:34 | Computer Name = HAL9000 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Cinemsup  Fips  Processor
 
Error - 19.03.2012 17:43:54 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 19.03.2012 17:44:16 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\D gefunden.
 
Error - 19.03.2012 17:45:02 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 17:45:03 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 17:45:22 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\D gefunden.
 
Error - 19.03.2012 17:45:32 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\D gefunden.
 
Error - 19.03.2012 17:58:24 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 18:00:47 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
 
< End of report >
Dabei ist mir aufgefallen, dass OTL eine Klick-Option für "alle Benutzer scannen" hat die deaktiviert ist.

Sollte ich den Scan nochmals mit aktivierter Checkbox für alle Benutzer durchführen, da ja die Infektion nicht in Admin-Konto war?

Gruß meelee

meelee 20.03.2012 19:25
Hallo Swiss,

habe OTL in meinem Admin-Konto laufen lassen mit den obigen Parametern.

Hier nun das OTL-Log:
Code:
OTL logfile created on: 20.03.2012 18:47:00 - Run 1
OTL by OldTimer - Version 3.2.39.1    Folder = C:\Dokumente und Einstellungen\Michael\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,46 Gb Available Physical Memory | 73,10% Memory free
2,60 Gb Paging File | 2,17 Gb Available in Paging File | 83,20% Paging File free
Paging file location(s): C:\pagefile.sys 384 768D:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 1,10 Gb Free Space | 7,49% Space Free | Partition Type: NTFS
Drive D: | 23,50 Gb Total Space | 3,52 Gb Free Space | 14,98% Space Free | Partition Type: NTFS
Drive E: | 100,00 Gb Total Space | 53,11 Gb Free Space | 53,11% Space Free | Partition Type: NTFS
Drive I: | 7,46 Gb Total Space | 7,20 Gb Free Space | 96,45% Space Free | Partition Type: FAT32
Drive O: | 298,09 Gb Total Space | 135,10 Gb Free Space | 45,32% Space Free | Partition Type: NTFS
Drive Z: | 496,17 Gb Total Space | 10,17 Gb Free Space | 2,05% Space Free | Partition Type: NTFS
 
Computer Name: HAL9000 | User Name: Michael | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.20 18:44:16 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
PRC - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.01.13 14:53:18 | 000,460,872 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2009.12.20 11:47:42 | 000,386,872 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jucheck.exe
PRC - [2008.09.30 15:51:58 | 007,418,368 | ---- | M] (OpenOffice.org) -- D:\Programme\OpenOffice.org 3\program\soffice.bin
PRC - [2008.09.30 15:49:34 | 007,424,000 | ---- | M] (OpenOffice.org) -- D:\Programme\OpenOffice.org 3\program\soffice.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.02 16:00:00 | 002,748,928 | ---- | M] (Cornelsen Verlag GmbH & Co. oHG) -- C:\Programme\Cornelsen\Kalender\CsKalender.exe
PRC - [2007.03.02 15:56:52 | 000,077,824 | ---- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfimon.exe
PRC - [2006.03.13 20:29:46 | 000,344,064 | ---- | M] (TechniSat) -- d:\Programme\TechniSat DVB\bin\Server4PC.exe
PRC - [2006.03.13 20:29:46 | 000,344,064 | ---- | M] (TechniSat) -- D:\Programme\TechniSat DVB\bin\Server4PC.exe
PRC - [2004.12.14 01:12:02 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- D:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
PRC - [2004.08.22 17:05:02 | 000,081,920 | ---- | M] (DAEMON'S HOME) -- D:\Programme\D-Tools\daemon.exe
PRC - [2002.09.18 14:16:30 | 000,098,304 | ---- | M] (Sonic Solutions) -- C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2008.07.29 13:55:14 | 000,969,728 | ---- | M] () -- D:\Programme\OpenOffice.org 3\program\libxml2.dll
MOD - [2006.08.11 20:43:10 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll
MOD - [2006.03.13 20:19:16 | 000,131,072 | ---- | M] () -- D:\Programme\TechniSat DVB\bin\libbz2.dll
MOD - [2004.08.22 17:04:56 | 000,069,120 | ---- | M] () -- C:\WINDOWS\daemon.dll
MOD - [2003.12.30 21:52:00 | 000,007,168 | ---- | M] () -- D:\Programme\D-Tools\Plugins\Images\bw5mount.dll
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2006.10.27 15:52:55 | 000,069,632 | ---- | M] (Adobe Systems) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2008.04.13 23:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007.11.08 16:31:47 | 000,081,408 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV86.sys -- (SSHDRV86)
DRV - [2006.03.14 02:22:40 | 000,349,184 | R--- | M] (B2C2, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SkyNet.sys -- (SKYNET)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005.08.10 13:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.05.16 14:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2002.07.19 08:10:20 | 000,006,656 | ---- | M] (Sonic Solutions) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\cinemsup.sys -- (Cinemsup)
DRV - [2001.08.17 12:19:34 | 000,040,704 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\es1371mp.sys -- (es1371) Creative AudioPCI (ES1371,ES1373) (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [DAEMON Tools-1033] D:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cornelsen Kalender.lnk = C:\Programme\Cornelsen\Kalender\CsKalender.exe (Cornelsen Verlag GmbH & Co. oHG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_19_erinnerung.lnk = D:\Programme\phase6\phase6_19\WinStart\p6erinnerung.exe (phase6)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Server4PC.lnk = D:\Programme\TechniSat DVB\bin\Server4PC.exe (TechniSat)
O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\Autostart\Sonic CinePlayer Quick Launch.lnk = C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe (Sonic Solutions)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Convert link target to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert link target to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selected links to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert selection to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to Adobe PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Convert to existing PDF - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8980E5C2-EF09-4009-8799-3442BE92E295}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.17 20:47:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C6BEB4D-8E66-FCA5-8F33-BF2CC5B10655} - Themes Setup
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.20 18:44:14 | 000,594,432 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
[2012.03.19 21:51:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Malwarebytes
[2012.03.19 21:51:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.19 21:51:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.19 21:51:09 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.03.19 21:51:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.03.20 18:44:16 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Michael\Desktop\OTL.exe
[2012.03.20 18:36:26 | 000,081,858 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.03.20 18:35:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.03.20 18:35:05 | 2146,992,128 | -HS- | M] () -- C:\hiberfil.sys
[2012.03.19 21:52:33 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.14 16:12:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.05 18:38:28 | 000,395,336 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.05 18:38:26 | 000,408,948 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.05 18:38:26 | 000,071,796 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.05 18:38:26 | 000,059,576 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.03.20 15:13:45 | 2146,992,128 | -HS- | C] () -- C:\hiberfil.sys
[2012.03.19 21:51:11 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
 
========== LOP Check ==========
 
[2007.12.13 21:02:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
[2008.01.11 14:14:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cornelsen
[2008.03.03 11:58:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2011.06.21 13:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2007.12.13 21:02:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Technisat
[2009.10.29 10:35:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Cornelsen
[2007.11.12 17:23:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\DeepBurner
[2009.11.17 11:09:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Klett
[2008.11.04 09:58:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\OpenOffice.org
[2006.10.27 16:05:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\uTorrent
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2008.09.30 11:29:04 | 000,000,000 | ---D | M] -- C:\Brother
[2009.04.18 17:35:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2007.03.06 09:14:40 | 000,000,000 | ---D | M] -- C:\Meine Downloads
[2012.03.19 21:51:09 | 000,000,000 | R--D | M] -- C:\Programme
[2012.03.19 22:37:46 | 000,000,000 | -H-D | M] -- C:\Recycle.Bi
[2012.03.18 08:39:23 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2006.10.17 20:52:52 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.03.20 18:36:21 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< MD5 for: EXPLORER.EXE  >
[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 06:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2009.02.09 15:04:19 | 001,846,912 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >

< End of report >
und hier das Extra-Log:

Code:
OTL Extras logfile created on: 20.03.2012 18:47:00 - Run 1
OTL by OldTimer - Version 3.2.39.1    Folder = C:\Dokumente und Einstellungen\Michael\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,46 Gb Available Physical Memory | 73,10% Memory free
2,60 Gb Paging File | 2,17 Gb Available in Paging File | 83,20% Paging File free
Paging file location(s): C:\pagefile.sys 384 768D:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 14,65 Gb Total Space | 1,10 Gb Free Space | 7,49% Space Free | Partition Type: NTFS
Drive D: | 23,50 Gb Total Space | 3,52 Gb Free Space | 14,98% Space Free | Partition Type: NTFS
Drive E: | 100,00 Gb Total Space | 53,11 Gb Free Space | 53,11% Space Free | Partition Type: NTFS
Drive I: | 7,46 Gb Total Space | 7,20 Gb Free Space | 96,45% Space Free | Partition Type: FAT32
Drive O: | 298,09 Gb Total Space | 135,10 Gb Free Space | 45,32% Space Free | Partition Type: NTFS
Drive Z: | 496,17 Gb Total Space | 10,17 Gb Free Space | 2,05% Space Free | Partition Type: NTFS
 
Computer Name: HAL9000 | User Name: Michael | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\uTorrent\utorrent.exe" = D:\Programme\uTorrent\utorrent.exe:*:Enabled:µTorrent -- ()
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""Deutsch 5. und 6. Klasse" - CD29_is1" = Oriolus Lernprogramm Deutsch 5. und 6. Klasse
""Deutsch 7. bis 9. Klasse" - CD29_is1" = Oriolus Lernprogramm Deutsch 7. bis 9. Klasse
""Deutsch in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Deutsch in der Grundschule
""Französisch in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Französisch in der Grundschule
""Mathematik 5. und 6. Klasse" - CD29_is1" = Oriolus Lernprogramm Mathematik 5. und 6. Klasse
""Mathematik 7. bis 9. Klasse" - CD29_is1" = Oriolus Lernprogramm Mathematik 7. bis 9. Klasse
""Mathematik in der Grundschule" - CD29_is1" = Oriolus Lernprogramm Mathematik in der Grundschule
"{011D3ED9-1829-48F5-A22F-3B10A886B262}" = English Coach 21 1
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{0CB3C535-1171-4A20-B549-E2CB5DEB9723}" = MySQL Connector/ODBC 3.51
"{1BC2258D-B831-47AD-96D5-2D5E92315B25}" = Découvertes 1
"{2447500B-22D7-47BD-9B13-1A927F43A267}" = Empire Earth
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{332CC6BF-E6C7-48EE-BA3D-435E576AD67F}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{40D5AB10-F3E0-4A3E-B59A-25BE077EBD11}" = Cornelsen Kalender
"{566CD4C6-6B5C-4C1B-8496-10EDFE7F2C75}" = Stadtrallye
"{626B7EA2-B7C2-4277-AE30-A8B452A92B6C}" = Phonetik
"{65D70656-D248-4C83-B594-E3029C43B37A}" = phase6_19
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{84F7CAD9-2316-4701-B5CA-E90FD60029E9}" = ANNO 1602
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{991470F7-1A45-4E49-8905-D554A2A048A0}" = Carnet d'activités À plus! 2
"{9C244239-ED8E-40f1-937F-51C706CD2160}" = Die Sims™ 2 Deluxe
"{9F05B89E-2873-11D5-9E9D-0050DA1EA555}" = Myst III Exile
"{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}" = Brother MFL-Pro Suite
"{AC76BA86-1033-0000-7760-000000000002}" = Adobe Acrobat 7.0 Professional
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{B6C89654-A6A2-477C-873B-724EC1C56407}" = ScanSoft PaperPort 11
"{BFEDA49F-2E91-4B54-A366-F5A198FE1173}" = DVB-PC TV Star
"{C90F1F31-EE00-4E31-ABA3-355FF904F86A}" = Carnet d'activités À plus! 3
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{D032A7F0-8B5C-4603-8B46-235025D5F9C1}" = TechniSat DVB-PC TV Star
"{D4576E0D-2295-4B8E-B663-B68086B00EE5}" = Sonic CinePlayer DVD Pack
"{E8895A6B-1A5A-4754-AE70-70432DA6C6D6}" = Carnet d'activités À plus! 1
"Adobe Acrobat 7.0 Professional" = Adobe Acrobat 7.0 Professional
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Alone in the Dark - The New Nightmare" = Alone in the Dark - The New Nightmare
"DVBViewer TE_is1" = DVBViewer TE
"HVTNGN3" = Hörverstehen Green Line New 3
"HVTNGN4" = Hörverstehen Green Line New 4
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Klett Lernsoftware Mathematik - Lambacher Schwei~F7563B51_is1" = Klett Lernsoftware Mathematik - Lambacher Schweizer (4. Lernjah
"LEGOLANDDeInstKey" = LEGOLAND
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"MSCSR" = Microsoft Speech Recognition Engine 4.0 (English)
"Nero - Burning Rom!UninstallKey" = Nero 6 Demo
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Pharao" = Pharao
"Pinball Fußball-Edition_is1" = Pinball Fußball-Edition
"Prof. Superschlau Mathe 5.-13. Demo_is1" = März 2007
"QuickTime" = QuickTime
"TmNations_is1" = TrackMania Nations ESWC 0.1.7.5
"uTorrent" = µTorrent
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.03.2012 07:31:59 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 7.0.6000.16827, fehlgeschlagenes
 Modul mshtml.dll, Version 7.0.6000.16825, Fehleradresse 0x0003c1b5.
 
Error - 10.03.2012 09:43:16 | Computer Name = HAL9000 | Source = Application Error | ID = 1005
Description =
 
Error - 10.03.2012 09:43:16 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul directdb.dll, Version 6.0.2900.5512, Fehleradresse 0x0000bc98.
 
Error - 10.03.2012 09:43:40 | Computer Name = HAL9000 | Source = Application Error | ID = 1005
Description =
 
Error - 10.03.2012 09:43:41 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung msimn.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul directdb.dll, Version 6.0.2900.5512, Fehleradresse 0x0000bc98.
 
Error - 10.03.2012 09:43:41 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 10.03.2012 09:56:32 | Computer Name = HAL9000 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
 Modul cinemastervideo.dll, Version 2.5.3.813, Fehleradresse 0x0001b8ea.
 
Error - 10.03.2012 09:57:00 | Computer Name = HAL9000 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 11.03.2012 14:09:42 | Computer Name = HAL9000 | Source = .NET Runtime | ID = 0
Description =
 
Error - 17.03.2012 10:45:46 | Computer Name = HAL9000 | Source = .NET Runtime | ID = 0
Description =
 
[ System Events ]
Error - 19.03.2012 17:43:27 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk4\D gefunden.
 
Error - 19.03.2012 17:43:34 | Computer Name = HAL9000 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Cinemsup  Fips  Processor
 
Error - 19.03.2012 17:43:54 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 19.03.2012 17:44:16 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk7\D gefunden.
 
Error - 19.03.2012 17:45:02 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 17:45:03 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 17:45:22 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\D gefunden.
 
Error - 19.03.2012 17:45:32 | Computer Name = HAL9000 | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk6\D gefunden.
 
Error - 19.03.2012 17:58:24 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
Error - 19.03.2012 18:00:47 | Computer Name = HAL9000 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
 
< End of report >
Dabei ist mir aufgefallen, dass OTL eine Klick-Option für "alle Benutzer scannen" hat die deaktiviert ist.

Sollte ich den Scan nochmals mit aktivierter Checkbox für alle Benutzer durchführen, da ja die Infektion nicht in Admin-Konto war?

Gruß meelee

meelee 20.03.2012 19:30
Sorry für den Doppel-Post, aber mein Rechner hat träge reagiert und vom Board kam eine Anzeige beim ersten Post "sie können nur alle 40 Sekunden einen Beitrag schreiben und müssen noch 32 Sekunden warten".

Habe dann meinen Text in einer anderen Textbox mit vielen Smiley Variationen und Vorschau gesehen. Habe dann an der Stelle nochmals auf "Antworten" geclickt und prombt waren 2 Beiträge erstellt.

Gruß meelee

Swisstreasure 20.03.2012 19:51
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

meelee 20.03.2012 21:30
So, nach einer Stunde war ComboFix endlich fertig.

Hier nun der Bericht von ComboFix:

Code:
ComboFix 12-03-20.01 - Michael 20.03.2012  20:18:48.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1420 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Iris\Anwendungsdaten\Security Solution 2011
c:\dokumente und einstellungen\Iris\Anwendungsdaten\Security Solution
c:\dokumente und einstellungen\Kai\WINDOWS
c:\dokumente und einstellungen\Michael\WINDOWS
c:\dokumente und einstellungen\Vanessa\WINDOWS
c:\windows\isRS-000.tmp
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL0561.tmp
d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL1039.tmp
d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL1783.tmp
d:\dokumente und einstellungen\Iris\Eigene Dateien\~WRL2562.tmp
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-02-20 bis 2012-03-20  ))))))))))))))))))))))))))))))
.
.
2012-03-19 20:51 . 2012-03-19 20:51        --------        d-----w-        c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2012-03-19 20:51 . 2012-03-19 20:51        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-03-19 20:51 . 2012-03-19 21:41        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-03-19 20:51 . 2011-12-10 14:24        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"DAEMON Tools-1033"="d:\programme\D-Tools\daemon.exe" [2004-08-22 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-23 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-20 149280]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Vanessa\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Iris\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Kai\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
.
c:\dokumente und einstellungen\Michael\Startmenü\Programme\Autostart\
OpenOffice.org 3.0.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
Sonic CinePlayer Quick Launch.lnk - c:\programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-9-18 98304]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Cornelsen Kalender.lnk - c:\programme\Cornelsen\Kalender\CsKalender.exe [2007-7-2 2748928]
p6_19_erinnerung.lnk - d:\programme\phase6\phase6_19\WinStart\p6erinnerung.exe [2007-2-11 49152]
Server4PC.lnk - d:\programme\TechniSat DVB\bin\Server4PC.exe [2008-1-23 344064]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\uTorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [16.11.2006 23:03 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [16.11.2006 23:03 5248]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [08.11.2007 16:31 81408]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.03.2012 21:51 652360]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.03.2012 21:51 20464]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNet.sys [16.11.2007 16:52 349184]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IPFILTERDRIVER
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Alone in the Dark - The New Nightmare - c:\windows\IsUn0407.exe
AddRemove-HVTNGN3 - c:\windows\IsUn0407.exe
AddRemove-HVTNGN4 - c:\windows\IsUn0407.exe
AddRemove-LEGOLANDDeInstKey - c:\windows\unin0407.exe
AddRemove-Pharao - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-20 21:18
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-220523388-1606980848-854245398-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:53,d6,63,d2,ee,f7,1e,93,c0,fa,6c,34,55,41,75,9c,80,be,b8,01,1e,70,32,
  82,4e,6c,90,94,b1,ee,c4,ce,61,d4,d3,15,73,87,dc,ee,f5,24,47,35,77,5f,d7,3c,\
"??"=hex:b9,ca,6a,c2,fd,b2,d3,61,d6,4a,e6,d6,ac,66,f6,b8
.
Zeit der Fertigstellung: 2012-03-20  21:20:42
ComboFix-quarantined-files.txt  2012-03-20 20:20
.
Vor Suchlauf: 1.078.321.152 Bytes frei
Nach Suchlauf: 2.537.644.032 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 36033A080B051CAB3811C50153CD47A9
Malwarebytes hat beim ComboFix-Scann 3 mal reagiert auf Dateibefall im infizierten Konto. Habe alle 3 Meldungen "ignoriert" und danach den Malwarebytes-Schutz deaktiviert.

Nach Erstellen des Log-Files habe ich den Schutz wieder aktiviert. Wusste vorher nicht, dass auch Malwarebytes eine Schutzfunktion hat.

Gruß meelee

Swisstreasure 21.03.2012 07:35
Wie läuft ds System mittlerweilen?

meelee 21.03.2012 08:27
Habe gestern Abend das infizierte Konto gestartet und es lief nur mit dem Desktop ca. 10 Minuten stabil und habe dann den Rechner runtergefahren. Das ist ein Meilenstein, denn zuvor kam ca. 2 Minuten nach der Anmeldung dieser schwarze Bildschirm mit der angeblichen Sicherheitsmeldung.

Was mich beim ComboFix-Lauf etwas irritiert hat, war die Meldung von Malwarebytes. Ich dachte, daß Malwarebytes bei seinem Lauf schon die infizierten Dateien gelöscht hat aber scheinbar waren die nur in Quarantäne gestellt.

Soll ich nochmals Malwarebyte scannen lassen?

Und nochmals tausend Dank für deine super gute Unterstützung.

Gruß meelee

meelee 21.03.2012 08:28
Habe gestern Abend das infizierte Konto gestartet und es lief nur mit dem Desktop ca. 10 Minuten stabil und habe dann den Rechner runtergefahren. Das ist ein Meilenstein, denn zuvor kam ca. 2 Minuten nach der Anmeldung dieser schwarze Bildschirm mit der angeblichen Sicherheitsmeldung.

Was mich beim ComboFix-Lauf etwas irritiert hat, war die Meldung von Malwarebytes. Ich dachte, daß Malwarebytes bei seinem Lauf schon die infizierten Dateien gelöscht hat aber scheinbar waren die nur in Quarantäne gestellt.

Soll ich nochmals Malwarebyte scannen lassen?

Und nochmals tausend Dank für deine super gute Unterstützung.

Gruß meelee

Swisstreasure 21.03.2012 09:08
Ja genau. Update Malwarebytes und mache im Normalmodus eine Fullscan. Poste das Log.

meelee 21.03.2012 17:01
Hallo Swiss,

habe nochmals das ehemals infizierte Konto gestartet und dann den IE aufgerufen. Hat einwandfrei funktioniert. Dabei hat sich Malwarebytes schon aktualisiert.

Wieder ausgeloggt und mit dem Admin-Konto im Normalmodus einen Malware-Scan durchgeführt.

Das Ergebnis des LOG steht nun hier:

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.21.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Michael :: HAL9000 [Administrator]

Schutz: Aktiviert

21.03.2012 16:49:23
mbam-log-2012-03-21 (16-49-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 316390
Laufzeit: 4 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Es wurde keine Infektion mehr festgestellt. Super gute Arbeit, vielen, vielen Dank.

Nun meldet Windows noch Updates, auch Java und Adobe Flash.

Soll ich diese Updates starten oder muss noch etwas anderes zuvor getan werden?

Gruß meelee

und nun das Log des Full-Scan von Malwarebytes. Habe erst später bemerkt, dass ich einen Full-Scan durchführen soll.

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.21.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Michael :: HAL9000 [Administrator]

Schutz: Aktiviert

21.03.2012 20:05:10
mbam-log-2012-03-21 (20-05-10).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 625427
Laufzeit: 2 Stunde(n), 36 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 19
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\drnie.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\dttnt.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\lxsya.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\ojubvtqkwl.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Iris\Lokale Einstellungen\Anwendungsdaten\tpcydrv.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093625.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093599.exe (Spyware.Passwords.XGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093600.exe (Trojan.CryptMar.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093601.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093602.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093603.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093604.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093608.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093610.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093611.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093612.exe (Trojan.Mscj) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093613.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093614.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\System Volume Information\_restore{656B0ADF-8252-4C26-AABD-F2034D879515}\RP1616\A0093615.exe (Trojan.SpyEyes.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Der Full-Scan hat nun wieder infizierte Objekte ans Tageslicht befördert.

Geht es jetzt wieder von Vorne los: OTL und ComboFix oder anderes Szenario?

Gruß meelee

Swisstreasure 22.03.2012 19:17
Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

meelee 23.03.2012 06:22
Hallo Swiss,

habe GMER laufen lassen und hier ist das Logfile:

Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-23 06:17:27
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_4D040H2 rev.DAK019K0
Running: ne78kduj.exe; Driver: C:\DOKUME~1\Michael\LOKALE~1\Temp\fxldipoc.sys


---- System - GMER 1.0.15 ----

SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwClose [0xF75BD818]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwCreateKey [0xF75BD7D0]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwCreatePagingFile [0xF75B1A20]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwEnumerateKey [0xF75B22A8]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwEnumerateValueKey [0xF75BD910]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwOpenKey [0xF75BD794]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwQueryKey [0xF75B22C8]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwQueryValueKey [0xF75BD866]
SSDT    d347bus.sys (PnP BIOS Extension/ )                          ZwSetSystemPowerState [0xF75BD0B0]

---- Kernel code sections - GMER 1.0.15 ----

.text    ntoskrnl.exe!_abnormal_termination + 100                    804E275C 2 Bytes  [20, 1A] {AND [EDX], BL}
.text    ntoskrnl.exe!_abnormal_termination + 103                    804E275F 1 Byte  [F7]
.text    C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                    section is writeable [0xBA33F360, 0x24526E, 0xE8000020]
.text    C:\WINDOWS\system32\drivers\SSHDRV86.sys                    section is writeable [0xB8F41000, 0x26354, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\SSHDRV86.sys                    entry point in ".pklstb" section [0xB8F76000]
.relo2  C:\WINDOWS\system32\drivers\SSHDRV86.sys                    unknown last section [0xB8F8D000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs                                      89BADD40
Device  \Driver\Cdrom \Device\CdRom0                                8992D4E0
Device  \FileSystem\Rdbss \Device\FsWrap                            896D7710
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                8992DF00
Device  \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                8992DF00
Device  \Driver\atapi \Device\Ide\IdePort0                          8992DF00
Device  \Driver\atapi \Device\Ide\IdePort1                          8992DF00
Device  \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                8992DF00
Device  \Driver\Cdrom \Device\CdRom1                                8992D4E0
Device  \Driver\Cdrom \Device\CdRom2                                8992D4E0
Device  \Driver\Cdrom \Device\CdRom3                                8992D4E0
Device  \FileSystem\Srv \Device\LanmanServer                        894C2C80
Device  \FileSystem\MRxSmb \Device\LanmanDatagramReceiver          8988F968
Device  \FileSystem\MRxSmb \Device\LanmanRedirector                8988F968
Device  \FileSystem\Npfs \Device\NamedPipe                          8987CB00
Device  \FileSystem\Msfs \Device\Mailslot                          89708218
Device  \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0  898A2400
Device  \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target1Lun0  898A2400
Device  \Driver\d347prt \Device\Scsi\d347prt1                      898A2400
Device  \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer          897F4498
Device  \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer          897F4498
Device  \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer              897F4498
Device  \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer            897F4498
Device  \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer          897F4498
Device  \FileSystem\Cdfs \Cdfs                                      896408D8

---- Modules - GMER 1.0.15 ----

Module  _________                                                  F7499000-F74B1000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40   
Reg      HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41   

---- EOF - GMER 1.0.15 ----
Kann da ein Rootkit versteckt sein? Und wie geht es weiter?

Gruß meelee

Swisstreasure 23.03.2012 08:06
Nein sieht nicht nach Rootkit aus.

Mach einmal einen Zwischenbericht was Dir alles noch auffällt.

meelee 23.03.2012 23:14
Hallo Swiss,

ich habe nochmals Malwarebytes Full Scan durchgeführt und der hat nicht mehr gefunden.

Hier das Log-File:

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.23.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Michael :: HAL9000 [Administrator]

Schutz: Aktiviert

23.03.2012 17:56:38
mbam-log-2012-03-23 (17-56-38).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 627123
Laufzeit: 2 Stunde(n), 34 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Sonst hatte ich noch keine Zeit, das kompromittierte Konto durchzuchecken. Werde ich morgen einmal gründlich tun.

Soll ich nun die ganzen Updates einspielen die mir mein Tray mitteilt?

Gruß meelee

Swisstreasure 24.03.2012 01:04
Ja mach das :) Und melde Dich wieder.

meelee 26.03.2012 08:17
Hallo Swiss,

ich habe das kompromittierte Konto gestartet und konnte problemlos mit Outlook Express und IE ca. 2h arbeiten.
Danach habe ich die Updates ausgeführt.

Es sieht so aus, dass der Trojaner oder Virus entfernt wurde und dieser sich durch die eingeschränkten Rechte nicht ins System verankern konnte.

Werde nun den Rechner noch etwas aufräumen, damit mehr Plattenplatz zur Verfügung steht und die Performance (Pentium 4 1800 MHZ, 2 GB RDRAM) unter XP wieder vernünftig wird.

Vielen, vielen herzlichen Dank für deine Unterstützung.

Gibt es aus deiner Sicht noch etwas zu tun?

Gruß meelee

Swisstreasure 26.03.2012 13:00

ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


meelee 30.03.2012 07:25
Hallo Swiss,

bin erst heute wider online gegangen und habe deine Nachricht eben gerade gelesen.

Werde den ESET Scan so schnell als möglich starten.

Gruß meelee

Swisstreasure 30.03.2012 09:35
:) Ok mach das und melde Dich.

meelee 07.04.2012 10:10
Hallo Swiss,

da ich kurzdristig unterwegs war konnte ich erst heute Nacht den ESET-Scan durchlaufen lassen.

Hier nun das Ergebnis:

Code:
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\9f93c93-2645cc2b        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\43611818-3633f1a7        Java/Agent.DE trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-184ea6b4        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-18aa08ca        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-42a1ce88        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-4a89cf67        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-62532b28        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\58b789d8-72942f16        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\41a7fcda-670f711a        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\1787e1b-42049452        Java/TrojanDownloader.OpenConnection.AP trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29\6d03fb9d-188ed02f        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\21bbe7a5-231438a7        multiple threats
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\5ccfc0e7-6ad583a1        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\de188e7-178c8034        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41\40637369-65def9cf        Java/TrojanDownloader.OpenConnection.AP trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\3a8e36b-11b4a126        multiple threats
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44\3b21af6c-25261cff        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\291f6e6f-55921b26        a variant of Java/Agent.DN trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\18967bb1-302a48bc        Java/Exploit.CVE-2011-3544.BC trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50\38201932-35a1f9ad        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-2103015a        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-6689c572        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-69a6bff2        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-719ec737        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-74ffb604        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51\518b5b33-776c49af        probably a variant of Java/Exploit.CVE-2011-3544.AZ trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\b6e0675-74a261c2        Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-1fce602f        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-32e62a96        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-35448bd6        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-40aca1f7        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-540ef3ef        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-5d247bf3        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-609c9b54        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-61b063f7        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-62b3c0e2        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-6685807d        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-790fdf55        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\6b310336-7b8092c6        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\6977e77-6a238dd5        a variant of Java/TrojanDownloader.OpenStream.NCM trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56\5e44d8b8-7561225f        a variant of Java/Agent.DT trojan
C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\33374b3c-7521ac7a        multiple threats
C:\Dokumente und Einstellungen\Mi2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4FOZU1E5\o2Eza[1].js        JS/TrojanDownloader.Iframe.NKE trojan
C:\Dokumente und Einstellungen\Mi2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CP452RKP\tele2Ecj[1].js        JS/TrojanDownloader.Iframe.NKE trojan
E:\Datensicherung-USB-Maxtor\backup\Download\dlh\pc0217.zip        multiple threats
E:\Datensicherung-USB-Maxtor\backup\Download\dlh\pc0219.zip        probably a variant of Win32/Spy.Agent.BCGXPIM trojan
E:\Datensicherung-USB-Maxtor\backup\Download\dlh\pc0220.zip        Win32/Keylogger.HotKeysHook.A virus
O:\Mi2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4FOZU1E5\o2Eza[1].js        JS/TrojanDownloader.Iframe.NKE trojan
O:\Mi2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CP452RKP\tele2Ecj[1].js        JS/TrojanDownloader.Iframe.NKE trojan
O:\Struktur\backup\Download\dlh\pc0217.zip        multiple threats
O:\Struktur\backup\Download\dlh\pc0219.zip        probably a variant of Win32/Spy.Agent.BCGXPIM trojan
O:\Struktur\backup\Download\dlh\pc0220.zip        Win32/Keylogger.HotKeysHook.A virus
Was mich aber jetzt stutzig macht ist, dass mein neu eingespielter Viren Scanner "Norton Internet Security" das komplette System gescannt hat und als Status "OK" meldet.

Wie geht es jetzt weiter, da scheinbar immer noch etwas auf dem Rechner ist.

Bei Laufwerk "E:" handelt es sich um eine eingebaute S-ATA Platte und bei "O:" um eine USB2.0 Platte.

"C:" und "D:" sind zwei Partitionen auf einer Platte.

Gruß meelee

Swisstreasure 07.04.2012 13:20
Zitat:
O:\Struktur\backup
E:\Datensicherung-USB-Maxtor\backup
Was sind das für ein Backup??

Hier unter Download am besten alles löschen:
Zitat:
backup\Download


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131