Beim Start kommt ganz ganz kurz ein Bluescreen und dann ist vorbei! :-(
 

Wenn ich meinen Rechner Starten möchte, kommt für einen ganz kurzen Augenblick ein Bluescreen und dann gehts wieder von vorne los! Ich denke ich hab mir was eingefangen da ich gerade eine crack gesucht hatte!

Bitte bitte helft mir dringend!?

Logfile of HijackThis v1.99.1
Scan saved at 11:26:05, on 12.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
c:\programme\avira\antivir desktop\avscan.exe
C:\Dokumente und Einstellungen\******\Desktop\Antivir.exe
C:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5039B23B-182F-46E2-A159-9E8F631FF218} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EasyTuneV] C:\Programme\Gigabyte\ET5\GUI.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IndexTray] C:\Programme\Sharp\Sharpdesk\IndexTray.exe
O4 - HKLM\..\Run: [SharpTray] C:\Programme\Sharp\Sharpdesk\SharpTray.exe
O4 - HKLM\..\Run: [TypeRegChecker] C:\Programme\Sharp\Sharpdesk\TypeRegChecker.exe
O4 - HKLM\..\Run: [FtpServer.exe] C:\Programme\Sharp\Sharpdesk\FtpServer.exe -usedefault
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [OLXAddinMonitor] C:\Programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ScanSoft OmniPage 16-reminder] "C:\Programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\OmniPage 16\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SharpTray] C:\Programme\Sharp\Sharpdesk\SharpTray.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PUK] C:\Programme\SVSS\PUK\PopKill.exe
O4 - HKCU\..\Run: [OpAgent] "OpAgent.exe" /agent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [AAK8K3J4FL] C:\Temp\c.exe
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe
O4 - Global Startup: Starten des Netzwerk Scanner Tools.lnk = C:\Programme\Sharp\Sharpdesk\sdFTP.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: sds - {79E0F14C-9C52-4218-89A7-7C4B0563D121} - C:\Programme\Sharp\Sharpdesk\ExplorerExtensions.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\0023.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: SQL Server (AUTODESKVAULT) (MSSQL$AUTODESKVAULT) - Unknown owner - C:\Programme\Autodesk\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe

Selber schuld! :twak:
Wenigstens schreibst Du es gleich und ersparst uns damit Arbeit :D

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Ja ich weiß, und ich hab ja auch direkt die Rechnung bekommen. Aber vielleicht komm ich ja doch drum herum. Das komische ist nämlich, dass er auch nicht mehr im abgesichertem Modus startet. Nur wenn ich beim Starten im abgesichertem Modus mit Esc die SPTD.sys unterbinde, startet der Rechner!

Es wäre wirklich eine große Hilfe und ich habe meine Lektion daraus gelernt!!!

Dann setz Dein System neu auf wenn Du meinen Beitrag begriffen hast :rolleyes:

Das geht nicht so einfach, da es sich um einen Geschäftsrechner handelt!
Und jetzt bitte nicht sagen, wende Dich an den Admin, es gibt nämlich keinen! Wir sind ein ganz kleiner Betrieb und ich hab Scheiße gebaut. Wäre ich nicht ehrlich gewesen, hättet Ihr es doch auch probiert oder?

Sorry aber das ist echt :headbang:
Wie kann man auf einem Geschäftsrechner nach einem crack suchen :balla: :headbang:

Ich weiß, ich weiß und jetzt steh ich da!

Bitte Bitte Bitte

Bürorechner werden hier eh nicht bereinigt. Wende Dich an EDV-Abteilung, die sind für Dein Problem zuständig.

Das hab ich doch geschrieben, dass gibt es bei uns nicht! Wir sind ein 4 Mann Unternehmen, da gibt es keinen Admin oder ne EDV-Abteilung. Wäre es Dir jetzt lieber gewesen ich hätte Dich von vorne herein belogen und hätte dafür dann deine Hilfe bekommen?

Wie ich schon sagte, Bürorechner werden idR nicht bereinigt. Habt Ihr keinen externen EDV-Dienstleister, irgendwer muss sich doch darum kümmern!

Vllt hätte ich die Hinterlassenschaften des Cracks später gesehen. Es ändert aber nichts daran, dass Du auch aus den Fehlern lernen solltest. Wir unterstützen keine illegalen Handlungen! :rolleyes:

Du unterstütz mich doch nicht dabei. Ich werd so einen Sch.... nie wieder anklicken. Aber ich habe wirklich Angst um meinen Job. Der Rechner ist sicherlich belastet, da der Chef hier auch mal seine einschlägige Seiten besucht. Aber wenn der Rechner nicht mehr hochfährt wegen mir bin ich im Ar...! Bitte Hilf mir doch wenigstens dass er wieder normal hochfährt und ich verspreche Dir ich bin wirklich bekehrt! Ich habe auch leider keine Ahnung, wie ich die Einträge von Hijack (automatischer Prüfung) löschen soll. Bitte hilf mir! Ich will den Job nicht verlieren!
Wir haben auch keinen externen der sich darum kümmert, dass was anfällt machen wir selber, aber sowas!?

Bei der Bereinigung kannst Du noch mehr kaputtmachen. Sichere erstmal wichtige Daten auf dem Rechner.

Du unterstütz mich doch nicht. Ich werde nie mehr auf so einen Sch... klicken! Der Rechner ist mit Sicherheit eh befallen, da der Chef darauf auch auf einschlägige Seiten geht, nur wenn der Rechner wegen mir jetzt nicht mehr hochfährt bin ich im Ar...! Un ich habe ehrlich Angst um meinen Job! Wie schon gesagt gibt es bei uns keinen auch keinen externen der sich darum kümmert, dass machen wir normalerweise selbst, aber wenn ich noch nicht mal den Bluescreen lesen kann! Der Rechner müsste nur wieder normal starten, denn ich will meinen Job wegen so einem Mist nicht verlieren. Bitte hilf mir doch wenigstens soweit! Bitte ich bin echt verzweifelt! Ich weiß nicht mal wie ich die Hijackauswertung beurteilen soll, geschweige dem wie ich die besagten Einträge lösche.

Mit der Bitte um Hilfe

Bitte bitte, ich verspreche Dir, ich mach sowas nie wieder. Ich will aber auch nicht bestraft werden nur weil ich ehrlich war!

Wie gesagt, sichere erstmal wichtige Daten.

Bitte lass mich nicht hängen! Du bist meine letzte Hoffnung. Der Rechner muss nur wieder starten. Ich bitte Dich wirklich ernsthaft.

:confused:

Wie konntest Du denn das Hijackthis Logfile machen, wenn der Rechner nicht mehr bootet?
Abgesicherter Modus? :balla:

mach im abgesicherten Modus einen Durchlauf mit Malwarebytes wenn der normale Modus nicht geht. Nimm möglichst den mit Netzwerktreibern, damit Du Signauren aktualisieren kannst.

Schneller wird aber vermutlich ein Vor-Ort-Service sein ;)

Super Nett, dass Du mir doch helfen möchtest!!!!!

Also wie ich schon geschrieben hatte, fährt der Rechner nur hoch, wenn ich im abgesicherten Modus, beim Starten mit ESC die SPTD.sys unterdrücke. Hab heute mal den automatischen Neustart deaktiviert und siehe da ich kann den Bluescreen lesen.

oben drüber das übliche Bla Bla und Tips von wegen alle Virenprogramme ausschalten und chkdsk /F durchführen und dann:
*** Stop: 0x00000024 (0x001902FE, 0xF78c6290, 0xF78C5F8C,0x8ABB3805)

Hilft mir das nun weiter?

Hast Du die Daemon-Tools für virtuelle optische Laufwerke installiert?
Bitte mal den Avenger anwenden (im abgesicherten Modus sollte das hoffentlich gehen)



1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Probier den normalen Modus erneut aus.

Hat etwas länger gedauert weil ich merkte, dass Spyware Doctor eventuell das Problem sein könnte, da es 2 oder 3 Mal auf dem Rechner war. Habe nun alle mit ccleaner deinstalliert, keine Änderung.

Also ich habe im abgesicherten Modus avenger gestartet und deinen script eingefügt. Dann kommt aber immer:
Error Invalid script. A valid script must begin with a command directive. Aborting execution.

Was nun?

Ups, fehler im Script (Doppelpunkt vergessen :o) so isses richtig:

So erst kam wieder bluescreen, dann startete er aber neu und jetzt ist er normal hochgefahren! Juhuu

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "sptd" disabled successfully.

Error: could not open driver "sptd.sys"
Disablement of driver "sptd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

War das schon alles???

Ist der script file OK?

Ja, das ist ok:

Der "hakende" SPTD-Treiber wurde mit dem Avenger deaktiviert und deswegen kannst Du den Rechner wieder normal hochfahren, Du sagtest ja zum Glück, dass es an SPTD liegt sonst hätte ich ewig rumprobieren können :balla:

Ich drück wegen der Einsicht nochmal ein Auge zu und helfe weiter, allerdings kann ich Bereinigungen auf Büro-PCs nicht wirklich empfehlen. Naja, auf eigene Gefahr: alles im normalen Modus (der ja wieder geht) bitte erledigen:

diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Also wenn ich dich richtig verstehe soll ich nun ccleaner drüber laufen lassen. Dann Malwarebytes, mit Posten der Logfiles und zum Schluß Rsit auch mit Posten der Logfiles. Alles in eine Zipfile wie beschrieben?

Vielen vielen Dank für Deine Nachsicht!!!

Ja, so ist es richtig.

sodele

File-Upload.net - Logs.zip

Sind das alle die du benötigst?

Bitte nochmal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hab ich gemacht.

Beim ersten Start kam noch ein Bluescreen mit der Meldung:

Bitte prüfen ob ausreichend Festplattenspeicher vorhanden ist...Treiber deaktivieren....ansonsten Videokarte austauschen....Bios updaten.

*** Stop: 0x0000008E (0x00000005, 0x805D0309, 0xAC168ABC, 0x00000000)

wenn ich resete kommt jetzt auch kein Bluescreen mehr aber er fängt immer wieder von vorne an zu booten. Mit F8 hab ich nun viel mehr Auswahl, was soll ich nehmen?
Da gibt es jetzt ausser den üblichen (abgesichert, Netzwerk...etc.) noch
Startprotokollierung aktivieren
VGA-Modus aktivieren
Letzte funktionierende bla bla
Verzeichnis wiederherstellen
Debugmodus
Automatischer Neustart deaktivieren

Geht das schon wieder los ???

das bekommen wir aber wieder hin, oder war das jetzt nur ein kurzfristiges Hochgefühl?

Funktioniert noch der abgesicherte Modus?
Rechner mal stromlos für ne Zeit gemacht, dann erneut normaler Modus?

1. Mal abgesicherter Modus auch noch mal reboot beim zweiten Versuch ging er aber.
2. Dann habe ich einen Neustart gemacht und normal gebootet und siehe da es ging

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\0023.DLL" not found!
Deletion of file "C:\WINDOWS\system32\0023.DLL" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\programme\internet explorer\wmpscfgs.exe" deleted successfully.
File "C:\WINDOWS\tasks\A84E01169185B76A.job" deleted successfully.
File "C:\WINDOWS\system32\burst.dll" deleted successfully.

Error: folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" not found!
Deletion of folder "C:\Dokumente und Einstellungen\elaltrella\Lokale Einstellungen\Temp\Rar$EX01.031" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\WINDOWS\system32\efcYRlIc" not found!
Deletion of folder "C:\WINDOWS\system32\efcYRlIc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\NetPumper" not found!
Deletion of folder "C:\Programme\NetPumper" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Folder "C:\Programme\Azureus" deleted successfully.
Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mailnameremotelist" deleted successfully.
Folder "c:\programme\svss" deleted successfully.
Driver "sptd" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REMOTELISTBONEELSE" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLS" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

So, dann noch einen Durchlauf mit CF im normalen Modus und dann müssten wir auch bald durch sein ;)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

wenn ich cofix auführen möchte kommt die meldung, dass antivir desktop noch aktiv ist! Avira hat aber das Schirmchen zu! ?

Soll ich trotzdem mit OK bestätigen???

Wenn der Schirm zu ist, soltle er deaktiviert sein. Ignoriere die Meldung. Falls AntiVir doch aufpoppen sollte während CF aktiv ist, bitte alle Fenster von AntiVir ignorieren, sodass AntiVir da dem Combofix nicht zuvorkommen kann!!

so nun hier:

ComboFix 10-01-12.05 - elaltrella 13.01.2010 17:07:58.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2516 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\elaltrella\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: F-PROT Antivirus for Windows *On-access scanning disabled* (Updated) {3F8BAFFE-D251-4DC6-ACF9-81FDF61FB9C9}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut .exe
c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe
c:\dokumente und einstellungen\elaltrella\nwiz .exe
c:\dokumente und einstellungen\elaltrella\nwiz.exe
c:\dokumente und einstellungen\elaltrella\opagent .exe
c:\dokumente und einstellungen\elaltrella\opagent.exe
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme193
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme202
c:\dokumente und einstellungen\elaltrella\opagent.exe.delme316
c:\dokumente und einstellungen\elaltrella\rundll32 .exe
c:\dokumente und einstellungen\elaltrella\rundll32.exe
c:\programme\Internet Explorer\wmpscfgs.exe
c:\windows\system32\Cache
c:\windows\system32\cIlRYcfe.ini
c:\windows\system32\cIlRYcfe.ini2
c:\windows\system32\ctfmon .exe
c:\windows\system32\cwgkbnks.ini
c:\windows\system32\nerocheck .exe
c:\windows\system32\setup.ini
c:\windows\system32\WORK.DAT
c:\windows\tbpanel .exe

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - Kitty ate it :p wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.

2010-01-13 16:19 . 2010-01-13 16:19 40448 ----a-w- c:\temp\wmpscfgs.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\hdaudpropshortcut.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\nwiz.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32.exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\rundll32 .exe
2010-01-13 16:18 . 2010-01-13 16:18 40448 ----a-w- c:\dokumente und einstellungen\elaltrella\opagent.exe
2010-01-13 16:18 . 2010-01-13 16:18 -------- d-----w- c:\temp\WPDNSE
2010-01-13 16:17 . 2010-01-13 16:17 53248 ----a-w- c:\temp\catchme.dll
2010-01-13 15:59 . 2010-01-13 15:59 4 ----a-w- c:\programme\4667375.dat
2010-01-13 14:12 . 2010-01-13 14:12 4 ----a-w- c:\programme\5226750.dat
2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- C:\rsit
2010-01-13 12:56 . 2010-01-13 12:56 -------- d-----w- c:\programme\trend micro
2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13182093.dat
2010-01-13 12:44 . 2010-01-13 12:44 4 ----a-w- c:\programme\13181859.dat
2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2010-01-13 07:01 . 2010-01-13 07:01 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2010-01-12 13:13 . 2010-01-12 13:13 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2010-01-12 10:10 . 2010-01-12 10:10 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-01-12 10:05 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-L62LU.tmp
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019859.dat
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019843.dat
2010-01-12 09:32 . 2010-01-12 09:32 4 ----a-w- c:\programme\9019656.dat
2010-01-12 09:31 . 2010-01-13 16:14 -------- d-----w- c:\temp\PCTInstaller
2010-01-12 09:28 . 2010-01-13 16:14 -------- d-----w- c:\temp\is-CF1V5.tmp
2010-01-12 08:02 . 2010-01-12 08:02 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 16:19 . 2006-01-17 12:45 -------- d-----w- c:\programme\QuickTime
2010-01-13 16:19 . 2007-11-29 09:33 -------- d-----w- c:\programme\Gemeinsame Dateien\OLXShared
2010-01-13 16:18 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck.exe
2010-01-13 15:54 . 2001-07-09 08:50 40448 ----a-w- c:\windows\system32\nerocheck .exe
2010-01-13 15:53 . 2005-10-12 09:43 40448 ----a-w- c:\windows\tbpanel.exe
2010-01-13 09:11 . 2004-08-04 12:00 654284 ----a-w- c:\windows\system32\perfh007.dat
2010-01-13 09:11 . 2004-08-04 12:00 161662 ----a-w- c:\windows\system32\perfc007.dat
2010-01-13 09:10 . 2008-05-21 06:39 -------- d-----w- c:\programme\TomTom HOME 2
2010-01-13 09:06 . 2007-07-31 13:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-13 08:05 . 2007-08-09 08:28 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-01-13 08:04 . 2005-10-17 13:05 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-01-13 08:03 . 2005-10-17 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-12 09:33 . 2009-07-09 10:31 1940936 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2010-01-12 09:04 . 2009-10-07 07:49 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-07 15:07 . 2009-10-07 07:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-10-07 07:49 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-11 07:22 . 2008-01-17 14:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-12-08 07:04 . 2009-08-05 06:45 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-02 09:39 . 2007-02-19 15:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-11-25 13:06 . 2005-10-20 07:58 130952 ----a-w- c:\dokumente und einstellungen\elaltrella\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-24 10:48 . 2008-01-18 08:26 -------- d-----w- c:\dokumente und einstellungen\elaltrella\Anwendungsdaten\OLXTeamOutlook
2009-11-24 07:37 . 2009-11-24 07:37 -------- d-----w- c:\programme\Microsoft
2009-11-23 07:41 . 2006-03-20 10:16 -------- d-----w- c:\programme\Opera
2009-11-19 07:12 . 2009-08-26 15:49 1200 ----a-w- c:\windows\ImpTableL.bin
2009-11-16 16:33 . 2008-12-08 09:43 -------- d-----w- c:\programme\CCleaner
2009-10-29 07:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
.
------- Sigcheck -------

[-] 2008-12-17 . 63F596358D91E0DE887E3D031CCCF5C6 . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[7] 2004-08-04 . 2B6A0BAF33A9918F09442D873848FF72 . 507392 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-13 40448]
"OpAgent"="OpAgent.exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\quicktime\qttask .exe -atboottime" [X]
"Gainward"="c:\windows\TBPanel.exe" [2010-01-13 40448]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"nwiz"="nwiz.exe" [2005-02-24 1495040]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-02-24 86016]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"Cmaudio"="cmicnfg.cpl" [N/A]
"EasyTuneV"="c:\programme\Gigabyte\ET5\GUI.exe" [2010-01-13 40448]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2010-01-13 40448]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2010-01-13 40448]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2010-01-13 40448]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2010-01-13 40448]
"IndexTray"="c:\programme\Sharp\Sharpdesk\IndexTray.exe" [2010-01-13 40448]
"SharpTray"="c:\programme\Sharp\Sharpdesk\SharpTray.exe" [2010-01-13 40448]
"TypeRegChecker"="c:\programme\Sharp\Sharpdesk\TypeRegChecker.exe" [2010-01-13 40448]
"FtpServer.exe"="c:\programme\Sharp\Sharpdesk\FtpServer.exe" [2010-01-13 40448]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2010-01-13 40448]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-01-13 40448]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2010-01-13 40448]
"OLXAddinMonitor"="c:\programme\Gemeinsame Dateien\OLXShared\OLXAddInMonitor.exe" [2010-01-13 40448]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2010-01-13 40448]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2010-01-13 40448]
"ScanSoft OmniPage 16-reminder"="c:\programme\ScanSoft\OmniPage16\Ereg\Ereg.exe" [2010-01-13 40448]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2010-01-13 40448]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"F-PROT Antivirus Tray application"="c:\programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe" [2010-01-13 40448]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-13 40448]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Start 3DxWare.lnk - c:\programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxWare\3dxsrv.exe [2009-4-23 119296]
Starten des Netzwerk Scanner Tools.lnk - c:\programme\Sharp\Sharpdesk\sdFTP.exe [2005-10-12 275968]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
2009-02-24 08:58 203928 -c--a-w- c:\programme\Alcohol Soft\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2006-09-28 19:21 57344 -c--a-w- c:\programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper]
c:\programme\NetPumper\NetPumperIEProxy.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PUK]
c:\programme\SVSS\PUK\PopKill.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-01-12 09:04 40448 ----a-w- c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2010-01-13 09:10 40448 ----a-w- c:\programme\TomTom HOME 2\tomtomhomerunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Sharp\\Sharpdesk\\sdFTP.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\engine.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\tmengine.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\bin\\lexAPI.exe"=
"c:\\Programme\\Langenscheidt T1 5.0\\Engine\\mte\\StdAlone\\MT_Alone.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\translatepro9\\TMServer.exe"=
"c:\\Programme\\Sharp\\Sharpdesk\\FTPServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Agru Datenbank\\software\\lic\\x86\\cnslocal.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\SmartCode Solutions\\VNC Manager (Enterprise Edition)\\VNCManager.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=
"c:\\Programme\\Gemeinsame Dateien\\XPressUpdate\\XPressUpdate.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 FPAV_RTP;FPAV_RTP;c:\windows\system32\drivers\FStopW.sys [13.08.2009 07:00 682840]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.08.2009 07:45 108289]
R2 FPAVServer;F-PROT Antivirus for Windows system;c:\programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe [27.08.2009 15:26 75424]
R2 GLOGODrv;GLOGODrv;c:\windows\system32\drivers\GLOGODrv.sys [12.10.2005 12:36 13332]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 12:31 92008]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [12.10.2005 12:28 1275584]
S3 MA311;NETGEAR Wireless LAN Driver;c:\windows\system32\drivers\ma311n51.sys [12.10.2005 10:53 54784]
.
Inhalt des "geplante Tasks" Ordners

2010-01-13 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 13:47]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = 192.168.0.*
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Easy-WebPrint Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{5039B23B-182F-46E2-A159-9E8F631FF218} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
AddRemove-TRUSTINSIDEINTERNET - c:\dokume~1\ELALTR~1\ANWEND~1\FUNKFI~1\Kindcoal.exe

Und das war es jetzt? Jetzt bin ich clean? ;-)

Das Log sieht nciht ganz vollständig aus, bitte prüfen! Notfalls die combofix.log auf file-upload.net hochladen und hier verlinken.

Bitte mal bei Virustotal.com auswerten lassen und Ergebnislink posten, ich fürchte die wurde manipuliert.

Bitte auch noch GMER und anschließend Malwarebytes ausführen (das Programm vorher aktualisieren!) - es kann sein, dass GMER abstürzt, in dem Fall GMER erstmal sein lassen.

GMER läuft und läuft! Bin mal gespannt was da raus kommt!

die winlogon war 0/41 aber da GMER läuft kann ich den Link gerade nicht posten.

Melde mich wenn er es überstanden hat!

Der GMER läuft immernoch! Ist das normal? Ich dachte schon der hängt aber unten sieht man ja die Dateien die er scannt und der läuft und läuft!

Brich es ab und mach mit malwarebytes weiter - Signaturen von Malwarebytes vorher aktualisieren!!

Guten Morgen,

hatte GMER dann nach 5 Stunden abgebrochen, obwohl er lief. Der Bericht unten von mbam war danach am 14.01, aktuell läuft noch einer.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3561
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.01.2010 17:27:03
mbam-log-2010-01-14 (17-27-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 171702
Laufzeit: 1 hour(s), 11 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0281991.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{38BBC86F-73C3-4CD6-8822-848B1B44A736}\RP1001\A0282227.sys (Malware.Trace) -> Quarantined and deleted successfully.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Ok, Systemwiederherstellung kurz "abgehackt", wollen Sie alle Systemwiederherstellungspunkte löschen "Ja", und direkt wieder angestellt!

So und hier der aktuelle Log, er findet immernoch sachen

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3588
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.01.2010 10:15:07
mbam-log-2010-01-18 (10-15-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 279420
Laufzeit: 1 hour(s), 19 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\elaltrella\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Mach nochmal frische RSIT-Logfiles.

Ich bekomm nur noch die log.txt. info.txt bekomm ich nicht mehr:

File-Upload.net - log.txt

Das Log sieht wieder okay aus. Noch Meldungen?
Dass eine Bereinigung nicht 1005ig sicher ist, muss ich nich nochmal erwähnen oder? :rolleyes:

Ich DANKE Dir aus vollem Herzen. Du bist der größte für mich!

Ich verspreche Dir ich mach so ein Sch... nie wieder und falls nochmal was kommt, wende ich mich einfach nochmals an Dich!

Grüße