Trojaner-Board - GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen. (https://www.trojaner-board.de/128337-gvu-pc-gesperrt-100-euro-binnen-48-stunden-per-safepaycard-zahlen.html)

GVU - PC gesperrt und 100 Euro binnen 48 Stunden per Safepaycard zahlen.

Hallo
Ich habe mir einen GVU Trojaner eingefangen. Dieser verlangt von mir innerhalb von 48 Stunden per Safepaycard 100 Euro zu bezahlen, da mir sonst ein Strafverfahren drohe.
Er tritt nur auf wenn ich eine Internetverbindung meines Laptops zu lasse. Kurz nachdem dann die Verbindung aufgebaut ist erscheint dann besagter Bildschirm, der auch über eine Kamera verfügt.
(Da die IP Adresse nicht stimmte habe ich bei der GVU angerufen, die mich dann an euch verwiesen haben :) ).

Mein Laptop ist der Dell latitude D630, mit dem System Windows XP, SP 3. Ich hoffe ihr könnt mir weiterhelfen. Habe mir auch schon OTL besorgt, aber noch keinen Scan gemacht.

lg, Feen

Hi
neustarten, f8 drücken, abgesicherter Modus mit Netzwerk wählen, im betroffenen Konto anmelden, Internet Verbindung herstellen.
Wenn dies geht:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

OTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free

3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS

Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32

 

Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.

Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software

"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2

"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6

"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad

"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio

"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch

"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba

"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller

"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement

"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Avira AntiVir Desktop" = Avira Free Antivirus

"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem

"HDMI" = Intel(R) Graphics Media Accelerator Driver

"ie8" = Windows Internet Explorer 8

"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202

"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)

"MozillaMaintenanceService" = Mozilla Maintenance Service

"NVIDIA Drivers" = NVIDIA Drivers

"ProInst" = Intel PROSet Wireless

"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

"Windows XP Service Pack" = Windows XP Service Pack 3

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012

Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows

 erneut aktivieren.

 

Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009

Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie 

sich telefonisch an den Kundendienst, um Windows zu aktivieren.  

 

Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005

Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen 

werden.  Es werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene

 Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information

 ist DWORD 2.

 

Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006

Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.

Es

 werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene Fehlercode

 ist DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information ist DWORD 2.

 

Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122

Description = Die Datei AvShadow konnte nicht geladen werden.  Fehlercode: 0x3e5

 

[ System Events ]

Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

 

< End of report >

--- --- ---
OTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 19.12.2012 18:59:26 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

1,99 Gb Total Physical Memory | 1,73 Gb Available Physical Memory | 86,82% Memory free

3,84 Gb Paging File | 3,75 Gb Available in Paging File | 97,51% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 74,53 Gb Total Space | 65,35 Gb Free Space | 87,68% Space Free | Partition Type: NTFS

Drive E: | 3,75 Gb Total Space | 3,67 Gb Free Space | 97,69% Space Free | Partition Type: FAT32

 

Computer Name: D630-10943B0916 | User Name: Administrator | Logged in as Administrator.

Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9

"{27E25625-DB51-42E6-BEB7-0C8DC878770C}" = Broadcom ASF Management Applications

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{72EEB695-388B-4835-8EA6-0C04545B06B9}" = Intel(R) PROSet/Wireless WiFi-Software

"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2

"{8E7D7400-4F4F-409D-8F8A-43BF1DAC575A}" = TouchChip USB Driver 2.6

"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad

"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio

"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI - Deutsch

"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba

"{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller

"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement

"{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Avira AntiVir Desktop" = Avira Free Antivirus

"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem

"HDMI" = Intel(R) Graphics Media Accelerator Driver

"ie8" = Windows Internet Explorer 8

"InstallShield_{EDC2B89F-3F72-48EA-B63E-985BC51622E4}" = OZ776 SCR Driver V1.1.4.202

"Mozilla Firefox 17.0.1 (x86 de)" = Mozilla Firefox 17.0.1 (x86 de)

"MozillaMaintenanceService" = Mozilla Maintenance Service

"NVIDIA Drivers" = NVIDIA Drivers

"ProInst" = Intel PROSet Wireless

"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

"Windows XP Service Pack" = Windows XP Service Pack 3

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 30.11.2010 04:53:06 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1012

Description = Aufgrund von Hardwareänderungen auf diesem Computer, müssen Sie Windows

 erneut aktivieren.

 

Error - 20.01.2011 10:18:13 | Computer Name = D630-10943B0916 | Source = Windows Product Activation | ID = 1009

Description = Sie haben dieses Produkt nicht fristgerecht aktiviert. Wenden Sie 

sich telefonisch an den Kundendienst, um Windows zu aktivieren.  

 

Error - 04.12.2012 13:59:22 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2005

Description = Die Leistungsinformationen vom Serverdienst konnten nicht gelesen 

werden.  Es werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene

 Fehlercode befindet sich in DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information

 ist DWORD 2.

 

Error - 08.12.2012 17:20:05 | Computer Name = D630-10943B0916 | Source = PerfNet | ID = 2006

Description = Die Server Queue-Leistungsinformationen konnten nicht gelesen werden.

Es

 werden keine Server-Leistungsinformationen zurückgegeben.  Der zurückgegebene Fehlercode

 ist DWORD 0, der IOSB.Status ist DWORD 1 und  die IOSB.Information ist DWORD 2.

 

Error - 10.12.2012 11:55:03 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 12.12.2012 09:46:20 | Computer Name = D630-10943B0916 | Source = Broadcom ASF IP and SMBIOS Mailbox Monitor | ID = 0

Description = 

 

Error - 16.12.2012 14:34:46 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 16.12.2012 14:34:47 | Computer Name = D630-10943B0916 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung AcroRd32.exe, Version 11.0.0.379, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.12.2012 13:26:45 | Computer Name = D630-10943B0916 | Source = Avira Antivirus | ID = 4122

Description = Die Datei AvShadow konnte nicht geladen werden.  Fehlercode: 0x3e5

 

[ System Events ]

Error - 07.12.2012 11:31:43 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 14:49:13 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 07.12.2012 16:58:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:10 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

Error - 08.12.2012 17:20:11 | Computer Name = D630-10943B0916 | Source = DCOM | ID = 10016

Description = Durch die Berechtigungseinstellungen (Computerstandard) wird der SID

 (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung

 (Lokal) für die COM-Serveranwendung mit CLSID   {A4199E55-EBB9-49E5-AF1A-7A5408B2E206}
 

 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste

 geändert werden.

 

 

< End of report >

--- --- ---

hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

:OTL

[2012.12.19 17:17:14 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad

 :Files

:Commands

[EMPTYFLASH] 

[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

OTL hat keinen Neustart verlangt

Error: Unable to interpret <activex> in the current context!
Error: Unable to interpret <netsvcs> in the current context!
Error: Unable to interpret <msconfig> in the current context!
Error: Unable to interpret <%SYSTEMDRIVE%\*.> in the current context!
Error: Unable to interpret <%PROGRAMFILES%\*.exe> in the current context!
Error: Unable to interpret <%LOCALAPPDATA%\*.exe> in the current context!
Error: Unable to interpret <%systemroot%\*. /mp /s> in the current context!
Error: Unable to interpret <C:\Windows\system32\*.tsp> in the current context!
Error: Unable to interpret </md5start> in the current context!
Error: Unable to interpret <userinit.exe> in the current context!
Error: Unable to interpret <eventlog.dll> in the current context!
Error: Unable to interpret <scecli.dll> in the current context!
Error: Unable to interpret <netlogon.dll> in the current context!
Error: Unable to interpret <cngaudit.dll> in the current context!
Error: Unable to interpret <ws2ifsl.sys> in the current context!
Error: Unable to interpret <sceclt.dll> in the current context!
Error: Unable to interpret <ntelogon.dll> in the current context!
Error: Unable to interpret <winlogon.exe> in the current context!
Error: Unable to interpret <logevent.dll> in the current context!
Error: Unable to interpret <user32.DLL> in the current context!
Error: Unable to interpret <explorer.exe> in the current context!
Error: Unable to interpret <iaStor.sys> in the current context!
Error: Unable to interpret <nvstor.sys> in the current context!
Error: Unable to interpret <atapi.sys> in the current context!
Error: Unable to interpret <IdeChnDr.sys> in the current context!
Error: Unable to interpret <viasraid.sys> in the current context!
Error: Unable to interpret <AGP440.sys> in the current context!
Error: Unable to interpret <vaxscsi.sys> in the current context!
Error: Unable to interpret <nvatabus.sys> in the current context!
Error: Unable to interpret <viamraid.sys> in the current context!
Error: Unable to interpret <nvata.sys> in the current context!
Error: Unable to interpret <nvgts.sys> in the current context!
Error: Unable to interpret <iastorv.sys> in the current context!
Error: Unable to interpret <ViPrt.sys> in the current context!
Error: Unable to interpret <eNetHook.dll> in the current context!
Error: Unable to interpret <ahcix86.sys> in the current context!
Error: Unable to interpret <KR10N.sys> in the current context!
Error: Unable to interpret <nvstor32.sys> in the current context!
Error: Unable to interpret <ahcix86s.sys> in the current context!
Error: Unable to interpret </md5stop> in the current context!
Error: Unable to interpret <%systemroot%\system32\drivers\*.sys /lockedfiles> in the current context!
Error: Unable to interpret <%systemroot%\System32\config\*.sav> in the current context!
Error: Unable to interpret <%systemroot%\system32\*.dll /lockedfiles> in the current context!
Error: Unable to interpret <%USERPROFILE%\*.*> in the current context!
Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.exe> in the current context!
Error: Unable to interpret <%USERPROFILE%\Local Settings\Temp\*.dll> in the current context!
Error: Unable to interpret <%USERPROFILE%\Application Data\*.exe> in the current context!
Error: Unable to interpret <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs> in the current context!
Error: Unable to interpret <CREATERESTOREPOINT> in the current context!
Error: Unable to interpret < > in the current context!
Error: Unable to interpret < > in the current context!

OTL by OldTimer - Version 3.2.69.0 log created on 12192012_191401

Du hast ja auch nicht mein Script ausgeführt.

Entschuldige, bin gerade immer dabei, den einen Text auf meinem USB stick zu speichern und dann an einem anderen PC wieder zu kopieren. (mein W-Lan erreicht den Laptop hier nicht.) Dann muss mir wohl ein Script zwischendrin durcheinander gekomme sein.

Kein Problem, dann führe das neue Script aus

so, jetzt aber der text. OTL hat auch den Neustart ausgeführt

All processes killed
========== OTL ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator

User: All Users

User: D630
->Flash cache emptied: 10353 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 109743 bytes

User: All Users

User: D630
->Temp folder emptied: 972583 bytes
->Temporary Internet Files folder emptied: 75172685 bytes
->FireFox cache emptied: 369643641 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 187168 bytes
RecycleBin emptied: 78590 bytes

Total Files Cleaned = 428,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 12192012_192926

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Hi,
combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix wollte keinen Neustart. Hier die Log.exe

Combofix Logfile:

Code:

ComboFix 12-12-19.02 - D630 19.12.2012  20:57:25.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1530 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\D630\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

 * Neuer Wiederherstellungspunkt wurde erstellt

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-11-19 bis 2012-12-19  ))))))))))))))))))))))))))))))

.

.

2012-12-19 18:14 . 2012-12-19 18:14        --------        d-----w-        C:\_OTL

2012-12-19 17:29 . 2012-12-19 17:50        --------        d-----w-        c:\dokumente und einstellungen\Administrator

2012-12-18 20:45 . 2012-12-18 20:45        --------        d-sh--w-        c:\dokumente und einstellungen\LocalService\IETldCache

2012-12-18 20:21 . 2012-12-18 20:21        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Favoriten

2012-12-18 20:04 . 2012-12-19 16:20        --------        d-----w-        c:\windows\system32\NtmsData

2012-12-18 19:56 . 2012-12-18 19:56        --------        d-sh--w-        c:\dokumente und einstellungen\D630\PrivacIE

2012-12-10 20:58 . 2012-12-10 20:58        --------        d-----w-        c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Adobe

2012-12-10 20:57 . 2012-12-10 20:58        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2012-12-05 19:53 . 2012-12-05 19:53        --------        d-sh--w-        c:\dokumente und einstellungen\D630\IETldCache

2012-12-04 22:28 . 2012-11-01 12:17        521728        -c----w-        c:\windows\system32\dllcache\jsdbgui.dll

2012-12-04 22:27 . 2011-08-16 10:45        6144        -c----w-        c:\windows\system32\dllcache\iecompat.dll

2012-12-04 22:26 . 2012-11-01 12:17        630272        -c----w-        c:\windows\system32\dllcache\msfeeds.dll

2012-12-04 22:26 . 2012-11-01 12:17        55296        -c----w-        c:\windows\system32\dllcache\msfeedsbs.dll

2012-12-04 22:26 . 2012-11-01 12:17        2000384        -c----w-        c:\windows\system32\dllcache\iertutil.dll

2012-12-04 22:26 . 2012-11-01 12:17        12800        -c----w-        c:\windows\system32\dllcache\xpshims.dll

2012-12-04 22:26 . 2012-11-01 12:17        11111424        -c----w-        c:\windows\system32\dllcache\ieframe.dll

2012-12-04 22:26 . 2012-11-01 12:17        743424        -c----w-        c:\windows\system32\dllcache\iedvtool.dll

2012-12-04 22:26 . 2012-11-01 12:17        247808        -c----w-        c:\windows\system32\dllcache\ieproxy.dll

2012-12-04 22:25 . 2012-12-04 22:26        --------        dc-h--w-        c:\windows\ie8

2012-12-04 22:17 . 2008-04-14 02:22        221184        ----a-w-        c:\windows\system32\wmpns.dll

2012-12-04 18:09 . 2010-09-18 06:52        953856        -c----w-        c:\windows\system32\dllcache\mfc40u.dll

2012-12-04 18:09 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll

2012-12-04 18:08 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys

2012-12-04 18:07 . 2011-04-21 13:37        105472        -c----w-        c:\windows\system32\dllcache\mup.sys

2012-12-04 18:06 . 2012-05-28 18:16        536576        -c----w-        c:\windows\system32\dllcache\msado15.dll

2012-12-04 18:05 . 2012-07-04 14:05        139784        -c----w-        c:\windows\system32\dllcache\rdpwd.sys

2012-12-04 18:05 . 2011-04-30 03:01        758784        -c--a-w-        c:\windows\system32\dllcache\vgx.dll

2012-12-04 18:04 . 2011-07-08 14:02        10496        -c----w-        c:\windows\system32\dllcache\ndistapi.sys

2012-12-04 18:04 . 2012-01-11 19:06        3072        -c----w-        c:\windows\system32\dllcache\iacenc.dll

2012-12-04 18:04 . 2012-01-11 19:06        3072        ------w-        c:\windows\system32\iacenc.dll

2012-12-04 18:03 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe

2012-12-04 10:06 . 2012-12-19 16:41        --------        d-----w-        c:\dokumente und einstellungen\All Users\Nadine

2012-12-03 17:29 . 2012-12-16 18:41        --------        d-----w-        c:\dokumente und einstellungen\D630\Anwendungsdaten\.minecraft

2012-12-03 17:28 . 2012-12-03 17:28        --------        d-----w-        c:\windows\Sun

2012-12-03 17:28 . 2012-12-03 17:28        --------        d-----w-        c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun

2012-12-03 17:27 . 2012-12-03 17:27        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2012-12-03 17:27 . 2012-12-03 17:26        821736        ----a-w-        c:\windows\system32\npDeployJava1.dll

2012-12-03 17:27 . 2012-12-03 17:26        143872        ----a-w-        c:\windows\system32\javacpl.cpl

2012-12-03 17:27 . 2012-12-03 17:26        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2012-12-03 17:26 . 2012-12-03 17:26        --------        d-----w-        c:\programme\Java

2012-12-03 17:19 . 2012-12-03 17:19        --------        d-----w-        c:\dokumente und einstellungen\D630\Anwendungsdaten\Avira

2012-12-03 17:14 . 2012-12-11 13:35        134336        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-12-03 17:14 . 2012-12-11 13:35        83944        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-12-03 17:14 . 2012-11-16 19:17        36552        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-12-03 17:14 . 2012-12-03 17:14        --------        d-----w-        c:\programme\Avira

2012-12-03 17:14 . 2012-12-03 17:14        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2012-12-03 17:01 . 2012-12-05 19:52        --------        d-----w-        c:\windows\system32\de-de

2012-12-03 17:01 . 2012-12-03 17:01        --------        d-----w-        c:\windows\l2schemas

2012-12-03 17:01 . 2012-12-03 17:01        --------        d-----w-        c:\windows\system32\de

2012-12-03 17:01 . 2012-12-03 17:01        --------        d-----w-        c:\windows\system32\bits

2012-12-03 16:36 . 2012-12-18 17:00        73656        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-12-03 16:36 . 2012-12-18 17:00        697272        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-12-03 16:30 . 2012-12-03 16:30        --------        d-----w-        c:\dokumente und einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Mozilla

2012-12-03 16:30 . 2012-12-03 16:30        --------        d-----w-        c:\programme\Mozilla Maintenance Service

2012-12-03 16:15 . 2001-08-18 03:22        12288        -c--a-w-        c:\windows\system32\dllcache\mouhid.sys

2012-12-03 16:15 . 2001-08-18 03:22        12288        ----a-w-        c:\windows\system32\drivers\mouhid.sys

2012-12-03 16:15 . 2008-04-13 18:45        10368        ----a-w-        c:\windows\system32\drivers\hidusb.sys

2012-12-03 08:46 . 2012-12-03 08:46        --------        d-----w-        c:\dokumente und einstellungen\D630\Anwendungsdaten\OpenOffice.org

2012-12-03 08:44 . 2012-12-03 08:44        --------        d-----w-        c:\programme\OpenOffice.org 3

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-11-13 11:55 . 2004-08-04 12:00        1866496        ----a-w-        c:\windows\system32\win32k.sys

2012-11-06 00:41 . 2004-08-04 12:00        290560        ----a-w-        c:\windows\system32\atmfd.dll

2012-11-02 02:02 . 2004-08-04 12:00        375296        ----a-w-        c:\windows\system32\dpnet.dll

2012-11-01 12:17 . 2004-08-04 12:00        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-11-01 12:17 . 2004-08-04 12:00        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-11-01 12:17 . 2004-08-04 12:00        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-11-01 00:35 . 2004-08-04 12:00        385024        ------w-        c:\windows\system32\html.iec

2012-10-02 18:04 . 2004-08-04 12:00        58368        ----a-w-        c:\windows\system32\synceng.dll

2012-11-29 08:26 . 2012-12-03 16:30        262112        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-11 13594624]

"nwiz"="nwiz.exe" [2009-03-11 1657376]

"NVHotkey"="nvHotkey.dll" [2009-03-11 90112]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-11 86016]

"ITSecMng"="c:\programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]

"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2009-05-21 1372160]

"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2009-05-21 1202448]

"KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624]

"Apoint"="c:\programme\DellTPad\Apoint.exe" [2007-07-02 159744]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-23 141336]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-23 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-23 142360]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-11 384800]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-09-23 926896]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\dokumente und einstellungen\D630\Startmenü\Programme\Autostart\

OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

.

c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\

Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [03.12.2012 18:14 36552]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.12.2012 18:14 85280]

R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service --> c:\programme\Broadcom\ASFIPMon\AsfIpMon.exe -service [?]

R3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 11:32 97536]

.

Inhalt des "geplante Tasks" Ordners

.

2012-12-19 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-03 17:00]

.

.

------- Zusätzlicher Suchlauf -------

.

FF - ProfilePath - c:\dokumente und einstellungen\D630\Anwendungsdaten\Mozilla\Firefox\Profiles\z7vfrhqw.default\

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-12-19 21:00

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(880)

c:\windows\system32\netprovcredman.dll

.

- - - - - - - > 'explorer.exe'(3652)

c:\windows\system32\igfxdo.dll

c:\windows\system32\webcheck.dll

.

Zeit der Fertigstellung: 2012-12-19  21:01:59

ComboFix-quarantined-files.txt  2012-12-19 20:01

.

Vor Suchlauf: 7 Verzeichnis(se), 70.438.068.224 Bytes frei

Nach Suchlauf: 8 Verzeichnis(se), 70.395.428.864 Bytes frei

.

- - End Of File - - F9785361BB6C3BD099354430AFFAC04B

--- --- ---

Hi,
PC, wenn möglich, wieder ans Internet.
malwarebytes:
Downloade Dir bitte Malwarebytes

Installiere
das Programm in den vorgegebenen Pfad.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Starte Malwarebytes, klicke auf Aktualisierung --> Suche
nach Aktualisierung
Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet
ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste
das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Hallo

hier der Logfile

Malwarebytes Anti-Malware 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.12.20.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
D630 :: D630-10943B0916 [Administrator]

20.12.2012 18:58:09
mbam-log-2012-12-20 (18-58-09).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237788
Laufzeit: 37 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\D630\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\1ede2ede-7c4e7901 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

lade den CCleaner standard:
CCleaner Download - CCleaner 3.25.1872
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Adobe Flash Player 11 Plugin Adobe Systems Incorporated 18.12.2012 11.5.502.135 nötig
Adobe Reader XI - Deutsch Adobe Systems Incorporated 10.12.2012 129,00MB 11.0.00 nötig
Avira Free Antivirus Avira 20.12.2012 13.0.0.2890 nötig
Bluetooth Stack for Windows by Toshiba TOSHIBA CORPORATION 25.11.2009 57,55MB v6.01.03(D) unbekannt
Broadcom ASF Management Applications Ihr Firmenname 25.11.2009 7,22MB 10.13.02 unbekannt
Broadcom Gigabit Integrated Controller Broadcom Corporation 19.10.2010 0,47MB 10.15.08 unbekannt
CCleaner Piriform 25.11.2012 3.25
Conexant HDA D330 MDC V.92 Modem 19.10.2010 unbekannt
Dell Touchpad Alps Electric 19.10.2010 7.1.102.7 nötig
High Definition Audio Driver Package - KB835221 Microsoft Corporation 25.11.2009 nötig 20040219.000000
Intel(R) Graphics Media Accelerator Driver Intel Corporation 19.12.2012 nötig
Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 25.11.2009 95,77MB 12.04.3000 nötig
IntelliSonic Speech Enhancement Knowles Acoustics 19.10.2010 1,54MB 2.1.37 unbekannt
Java 7 Update 9 Oracle 03.12.2012 128,00MB 7.0.90 unbekannt
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation nötig 20.12.2012 1.65.1.1000
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 unbekannt / nicht nötig
Mozilla Firefox 17.0.1 (x86 de) Mozilla 03.12.2012 17.0.1 nötig
Mozilla Maintenance Service Mozilla 03.12.2012 17.0.1 unbekannt
NVIDIA Drivers NVIDIA Corporation 19.12.2012 1.3 nötig
OpenOffice.org 3.2 OpenOffice.org 03.12.2012 364,00MB 3.2.9502 nötig
OZ776 SCR Driver V1.1.4.202 O2Micro 19.10.2010 1.1.4.202 unbekannt
SigmaTel Audio SigmaTel 25.11.2009 5.10.5210.0 unbekannt
Windows Internet Explorer 8 Microsoft Corporation 04.12.2012 nicht nötig 20090308.140743
Windows XP Service Pack 3 Microsoft Corporation 03.12.2012 nötig 20080414.031514

bei den Programmen die ich mir installieren sollte war ich mir z.T. nicht ganz sicher was ich da hinter schreiben soll.