Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.ZPACK.Gen (https://www.trojaner-board.de/94123-tr-crypt-zpack-gen.html)

Joscha_ 26.12.2010 13:02
TR/Crypt.ZPACK.Gen
 
Hi Forum,

Ich bin neu hier und ich weiß nicht ob es dieses thema schoon gibt,
aber seit gestern kommt immer wieder die Warnung: Guard: Malware Gefunden...
Jede minute oder sogar öfters
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\VsgAVlkEhsnmOcX.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe das komplette System mit Avira Antivir Personal durchsuchen lassen aber es ist nichts passiert
Was soll ich denn jetzt machen ?

LG Joscha_

cosinus 26.12.2010 20:34
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Joscha_ 26.12.2010 22:08
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5399

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2010 22:06:40
mbam-log-2010-12-26 (22-06-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 220739
Laufzeit: 45 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\glaide32 (Rootkit.Rustock) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ElkTBhTOiqUEWYN.exe (Trojan.FakeAlert) -> Value: ElkTBhTOiqUEWYN.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2747171 (Rogue.FakeHDD) -> Value: 2747171 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\vsgavlkehsnmocx.dll (Rogue.FakeHDD) -> Delete on reboot.
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\elktbhtoiquewyn.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\2747171.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

Joscha_ 26.12.2010 22:21
Hier die Logs von OTL.exe


OTL Logfile:
Code:
OTL logfile created on: 26.12.2010 22:27:01 - Run 2
OTL by OldTimer - Version 3.2.18.0    Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS
 
Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211BU.sys (ZyDAS Technology Corporation)
DRV - (NETw3x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw3x32.sys (Intel® Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                          )
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 00:21:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 00:21:11 | 000,000,000 | ---D | M]
 
[2009.09.07 17:07:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Extensions
[2010.12.26 12:59:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions
[2009.09.14 16:55:09 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.05.30 17:14:41 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.05.30 17:15:06 | 000,000,881 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\conduit.xml
[2010.12.23 12:22:41 | 000,000,958 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\icqplugin.xml
[2010.12.26 13:00:00 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.09.07 17:32:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.03.29 23:37:15 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.09.18 10:08:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.18 10:08:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.18 10:08:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.18 10:08:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.18 10:08:56 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.03.24 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKCU..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161947797234 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 () - file:///C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131
O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.26 10:48:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.26 21:18:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
[2010.12.26 21:18:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.26 21:18:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.26 21:18:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.26 21:18:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.26 21:17:07 | 007,734,208 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe
[2010.12.26 21:15:57 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe
[2010.12.26 21:14:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Text Malware
[2010.12.26 19:40:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\setup.pss
[2010.12.25 21:04:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Lukas Musik
[2010.12.15 15:34:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (3)
[2010.12.15 15:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (2)
[2010.12.15 13:15:30 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe
[2010.12.15 13:15:19 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys
[2010.12.12 22:57:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\PS3
[2010.12.11 12:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php-Dateien
[2010.12.09 23:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
[2010.12.09 23:52:42 | 000,000,000 | ---D | C] -- C:\Programme\OpenOffice.org 3
[2010.12.09 23:51:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OpenOffice.org 3.2 (de) Installation Files
[2010.12.09 21:29:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Joschas Ordner
[2010.12.06 20:31:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\PAC207
[2010.12.06 20:31:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations
[2010.12.06 20:18:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Default album
[2010.11.28 20:55:54 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.11.28 20:55:49 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.11.28 20:52:51 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.11.28 20:51:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer
[2010.11.28 20:50:50 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.26 22:11:31 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.26 22:10:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.26 22:10:56 | 1063,256,064 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.26 21:18:15 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.26 21:17:49 | 007,734,208 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe
[2010.12.26 21:16:02 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe
[2010.12.26 21:03:51 | 000,001,500 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\CCleaner.lnk
[2010.12.26 20:12:30 | 000,000,319 | -HS- | M] () -- C:\boot.ini
[2010.12.26 18:02:23 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk
[2010.12.26 15:19:26 | 000,000,476 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Lukas Hartmann.job
[2010.12.26 13:40:20 | 000,135,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.26 12:24:12 | 003,091,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg
[2010.12.25 23:49:29 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.25 11:07:03 | 000,004,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.19 14:09:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.12.19 14:08:39 | 000,013,785 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt
[2010.12.17 17:29:38 | 000,179,448 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.12.17 15:23:18 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.13 16:46:55 | 000,010,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps
[2010.12.11 12:40:30 | 000,120,978 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm
[2010.12.11 09:52:07 | 001,000,181 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG
[2010.12.11 09:49:48 | 000,846,788 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG
[2010.12.11 09:47:05 | 000,558,573 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG
[2010.12.11 09:45:23 | 000,878,361 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG
[2010.12.08 23:50:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.12.08 23:25:55 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Skype.lnk
[2010.11.28 20:56:42 | 000,001,526 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\iTunes.lnk
[2010.11.28 20:53:11 | 000,001,588 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.26 21:18:15 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.26 18:02:23 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk
[2010.12.26 13:40:51 | 003,091,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg
[2010.12.19 14:07:43 | 000,013,785 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt
[2010.12.13 16:46:55 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps
[2010.12.11 12:40:28 | 000,120,978 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm
[2010.12.11 09:52:06 | 001,000,181 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG
[2010.12.11 09:49:48 | 000,846,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG
[2010.12.11 09:47:05 | 000,558,573 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG
[2010.12.11 09:45:20 | 000,878,361 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG
[2010.11.28 20:53:11 | 000,001,588 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2009.12.25 10:27:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2009.11.26 16:14:05 | 000,000,013 | ---- | C] () -- C:\WINDOWS\TEXTware.ini
[2009.11.26 16:14:01 | 000,115,200 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll
[2009.11.26 16:13:58 | 000,209,408 | ---- | C] () -- C:\WINDOWS\System32\TWASBB01.DLL
[2009.11.26 16:13:58 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\TWAIED02.DLL
[2009.11.26 16:13:58 | 000,009,216 | ---- | C] () -- C:\WINDOWS\System32\TWASFI.DLL
[2009.11.26 16:13:57 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TWAVBX32.DLL
[2009.11.26 16:13:56 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXTBS.DLL
[2009.11.26 16:12:10 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2009.10.10 15:34:23 | 000,004,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat
[2009.09.29 15:29:06 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.09.10 14:55:33 | 000,135,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.07 16:57:46 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.10.30 10:40:12 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.10.27 12:13:10 | 000,001,000 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.10.27 11:46:23 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2006.10.27 11:46:23 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\56BA1BC9C6.sys
[2006.10.27 11:24:03 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.10.26 11:34:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.08.05 13:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.01.08 10:30:22 | 000,011,170 | ---- | C] () -- C:\WINDOWS\System32\PA207USD.DLL
 
========== LOP Check ==========
 
[2009.09.14 18:34:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2010.03.18 18:04:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.10.22 12:35:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2010.08.21 11:42:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.10.22 12:35:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB
[2010.12.14 21:36:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.05.14 14:54:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.08.21 11:41:09 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.12.26 13:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\ICQ
[2010.12.09 23:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
[2009.10.10 15:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Template
[2010.08.21 11:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---

--- --- ---


OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 26.12.2010 22:27:01 - Run 2
OTL by OldTimer - Version 3.2.18.0    Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS
 
Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"3553:TCP" = 3553:TCP:*:Enabled:wtqwhca
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5 -- File not found
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43DCF766-6838-4F9A-8C91-D92DA586DFA8}" = Microsoft Windows-Journal-Viewer
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90840407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Excel Viewer 2003
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A70800000002}" = Adobe Reader 7.0.8 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes
"1F811665-E818-4956-9173-35CD47C9DCE0" = Otto
"7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner (remove only)
"CNXT_MODEM_PCI_VEN_14F1&DEV_2C06&SUBSYS_14F10000" = Soft Modem with SmartCP
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NSS" = Norton Security Scan
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TuneUp Utilities" = TuneUp Utilities
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UnityWebPlayer" = Unity Web Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.12.2010 04:11:47 | Computer Name = LUKAS | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
 in 0x800423f4) fehlgeschlagen.
 
Error - 26.12.2010 11:24:59 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
 
[ System Events ]
Error - 25.12.2010 18:58:28 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:30 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:33 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:37 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:39 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:59:20 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 19:42:24 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 04:11:43 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 04:11:46 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 17:11:08 | Computer Name = LUKAS | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >
--- --- ---

cosinus 27.12.2010 11:56
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
:OTL
SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Joscha_ 27.12.2010 12:39
All processes killed
========== OTL ==========
Service pxsgyax stopped successfully!
Service pxsgyax deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service lskjmtgcd stopped successfully!
Service lskjmtgcd deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service lrcimqdol stopped successfully!
Service lrcimqdol deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service jmfue stopped successfully!
Service jmfue deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service djlgfa stopped successfully!
Service djlgfa deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service adbhgx stopped successfully!
Service adbhgx deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\WallPaper deleted successfully.
C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\BackupWallPaper deleted successfully.
File C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\blasgini:C:\WINDOWS\system32\autoycfg.dll deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 131072 bytes
->Flash cache emptied: 348 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 131206 bytes
->Flash cache emptied: 348 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Lukas Hartmann
->Temp folder emptied: 126922700 bytes
->Temporary Internet Files folder emptied: 14981983 bytes
->Java cache emptied: 3513201 bytes
->FireFox cache emptied: 108975206 bytes
->Flash cache emptied: 40886 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1240390 bytes
%systemroot%\System32 .tmp files removed: 4411783 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1624 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 248,00 mb


OTL by OldTimer - Version 3.2.18.0 log created on 12272010_123422

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 27.12.2010 14:32
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Joscha_ 28.12.2010 16:09
Combofix Logfile:
Code:
ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010  16:01:00.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.659 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Oeminfo.ini

.
(((((((((((((((((((((((  Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-27 11:34 . 2010-12-27 11:34        --------        d-----w-        C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55        --------        d-----w-        c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52        --------        d-----w-        c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54        --------        d-----w-        c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31        --------        d-----w-        c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55        --------        d-----w-        c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56        --------        d-----w-        c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50        --------        d-----w-        c:\programme\Bonjour

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45        86016        ----a-w-        c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57        81920        ----a-w-        c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00        371200        ----a-w-        c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23        107808        ----a-w-        c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42        30528        ----a-w-        c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53        30016        ----a-w-        c:\windows\system32\uxtuneup.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
pnvsv
yunpd
.
Inhalt des "geplante Tasks" Ordners

2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 16:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-12-28  16:05:59
ComboFix-quarantined-files.txt  2010-12-28 15:05

Vor Suchlauf: 8 Verzeichnis(se), 62.916.526.080 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.927.781.888 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 2450A751AFF409826EEBC4E63CE1E08F
--- --- ---

cosinus 28.12.2010 19:18
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
Netsvc::
pnvsv
yunpd
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Joscha_ 28.12.2010 19:52
Combofix Logfile:
Code:
ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010  19:37:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.652 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((  Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-27 11:34 . 2010-12-27 11:34        --------        d-----w-        C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59        45568        -c----w-        c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17        40960        -c----w-        c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55        --------        d-----w-        c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52        --------        d-----w-        c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54        --------        d-----w-        c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31        --------        d-----w-        c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55        --------        d-----w-        c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56        --------        d-----w-        c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50        --------        d-----w-        c:\programme\Bonjour

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45        86016        ----a-w-        c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00        672768        ----a-w-        c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00        61952        ----a-w-        c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57        81920        ----a-w-        c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00        371200        ----a-w-        c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00        40960        ----a-w-        c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00        290048        ----a-w-        c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00        1853440        ----a-w-        c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23        91424        ----a-w-        c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23        107808        ----a-w-        c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42        30528        ----a-w-        c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53        30016        ----a-w-        c:\windows\system32\uxtuneup.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 19:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-28  19:44:39
ComboFix-quarantined-files.txt  2010-12-28 18:44
ComboFix2.txt  2010-12-28 15:05

Vor Suchlauf: 10 Verzeichnis(se), 62.892.187.648 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.882.000.896 Bytes frei

- - End Of File - - 7D7AA5F0E6BE344D9D6B242DA49C40E0
--- --- ---

cosinus 28.12.2010 20:15
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Joscha_ 29.12.2010 14:57
GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-29 14:54:29
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9100828AS rev.3.ALB
Running: eyx03kzu.exe; Driver: C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            F7E75C86                                                                                                                                        ZwCreateKey
SSDT            F7E75C7C                                                                                                                                        ZwCreateThread
SSDT            F7E75C8B                                                                                                                                        ZwDeleteKey
SSDT            F7E75C95                                                                                                                                        ZwDeleteValueKey
SSDT            F7E75C9A                                                                                                                                        ZwLoadKey
SSDT            F7E75C68                                                                                                                                        ZwOpenProcess
SSDT            F7E75C6D                                                                                                                                        ZwOpenThread
SSDT            F7E75CA4                                                                                                                                        ZwReplaceKey
SSDT            F7E75C9F                                                                                                                                        ZwRestoreKey
SSDT            F7E75C90                                                                                                                                        ZwSetValueKey

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                                          Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device                                                                                                                                                          mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@DisplayName                                                                                            Boot Microsoft
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@Type                                                                                                  32
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@Start                                                                                                  2
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@ErrorControl                                                                                          0
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@ImagePath                                                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@ObjectName                                                                                            LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx@Description                                                                                            Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters (not active ControlSet)                                                                   
Reg            HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters@ServiceDll                                                                                  C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@DisplayName                                                                                            Boot Monitor
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@Type                                                                                                  32
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@Start                                                                                                  2
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@ErrorControl                                                                                          0
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@ImagePath                                                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@ObjectName                                                                                            LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa@Description                                                                                            Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters (not active ControlSet)                                                                   
Reg            HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters@ServiceDll                                                                                  C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@DisplayName                                                                                            Monitor Manager
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@Type                                                                                                    32
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@Start                                                                                                  2
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@ErrorControl                                                                                            0
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@ImagePath                                                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@ObjectName                                                                                              LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue@Description                                                                                            Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters (not active ControlSet)                                                                     
Reg            HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters@ServiceDll                                                                                  C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@DisplayName                                                                                        Center Config
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Type                                                                                                32
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Start                                                                                              2
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ErrorControl                                                                                        0
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ImagePath                                                                                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ObjectName                                                                                          LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Description                                                                                        Erm?glicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu ver?ndern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers ver?ndert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters (not active ControlSet)                                                                 
Reg            HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters@ServiceDll                                                                              C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@DisplayName                                                                                        Network Center
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Type                                                                                                32
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Start                                                                                              2
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ErrorControl                                                                                        0
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ImagePath                                                                                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ObjectName                                                                                          LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Description                                                                                        Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters (not active ControlSet)                                                                 
Reg            HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters@ServiceDll                                                                              C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@DisplayName                                                                                          Manager Driver
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Type                                                                                                  32
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Start                                                                                                2
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ErrorControl                                                                                          0
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ImagePath                                                                                            %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ObjectName                                                                                            LocalSystem
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Description                                                                                          Bietet automatische Konfiguration f?r 802.11-Adapter.
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters (not active ControlSet)                                                                   
Reg            HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters@ServiceDll                                                                                C:\WINDOWS\system32\rnhsv.dll
Reg            HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!                                          71230

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0139.jpg                    592185 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0253.jpg                    1399443 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Thumbs.db                        9728 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_10c5d007283248a6bfb42440b3e7ecc8.jpg  6114 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_962e92f2411a4e62a08063ce4f761504.jpg  8538 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\Thumbs.db                              7168 bytes

---- EOF - GMER 1.0.15 ----
--- --- ---


OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:03:34 on 29.12.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"Norton Security Scan for Lukas Hartmann.job" - "Symantec Corporation" - C:\Programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"fgtdapow" (fgtdapow) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys  (Hidden registry entry, rootkit activity | File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)" (ZD1211BU(ZyDAS)) - "ZyDAS Technology Corporation" - C:\WINDOWS\System32\DRIVERS\zd1211Bu.sys

[Explorer]
-----( HKCU\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Desktop\Components )-----
"(0) Source" - ? - /C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Versions-Update für Internet Explorer" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? -  (File not found | COM-object registry key not found)
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? -  (File not found | COM-object registry key not found)
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? -  (File not found | COM-object registry key not found)
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? -  (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
"ICQ7" - "ICQ, LLC." - C:\Programme\ICQ7.0\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Lukas Hartmann\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7CBE000 \WINDOWS\system32\KDCOM.DLL
0xF7BCE000 \WINDOWS\system32\BOOTVID.dll
0xF776E000 ACPI.sys
0xF7CC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF775D000 pci.sys
0xF77BE000 isapnp.sys
0xF7BD2000 compbatt.sys
0xF7BD6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7D86000 pciide.sys
0xF7A3E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF77CE000 MountMgr.sys
0xF773E000 ftdisk.sys
0xF7CC2000 dmload.sys
0xF7718000 dmio.sys
0xF7BDA000 ACPIEC.sys
0xF7D87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7A46000 PartMgr.sys
0xF77DE000 VolSnap.sys
0xF7700000 atapi.sys
0xF77EE000 disk.sys
0xF77FE000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF76E0000 fltmgr.sys
0xF76CE000 sr.sys
0xF7A4E000 PxHelp20.sys
0xF76B7000 KSecDD.sys
0xF76A4000 WudfPf.sys
0xF7617000 Ntfs.sys
0xF75EA000 NDIS.sys
0xF75D0000 Mup.sys
0xF79EE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7C8A000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7449000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF7435000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF740D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF726B000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
0xF7AEE000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7247000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7AF6000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7233000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF79FE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7AFE000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7204000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7CF0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B06000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A0E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7A1E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7A2E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF71E1000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B0E000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF7DE9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7C92000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF71CA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF783E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B16000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7191000 \SystemRoot\system32\DRIVERS\psched.sys
0xF784E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B1E000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B26000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7161000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF785E000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7CF2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7103000 \SystemRoot\system32\DRIVERS\update.sys
0xF7CB2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF786E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAA385000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAA361000 \SystemRoot\system32\drivers\portcls.sys
0xF789E000 \SystemRoot\system32\drivers\drmk.sys
0xAA32E000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAA23C000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAA18A000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF7B2E000 \SystemRoot\System32\Drivers\Modem.SYS
0xF78AE000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7CFC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E65000 \SystemRoot\System32\Drivers\Null.SYS
0xF7CFE000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B4E000 \SystemRoot\System32\drivers\vga.sys
0xF7D00000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D02000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B56000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7B5E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7C5E000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA157000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA0FE000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA0B0000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA088000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF78BE000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA9FC6000 \SystemRoot\System32\drivers\afd.sys
0xF78CE000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7B66000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9F9B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA9F2B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF78DE000 \SystemRoot\System32\Drivers\Fips.SYS
0xA9F05000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D06000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF794E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA9EC5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D1E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BA6000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7DB1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF021000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF043000 \SystemRoot\System32\ialmdev5.DLL
0xBF07E000 \SystemRoot\System32\ialmdd5.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA9D98000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA9D58000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA9ADB000 \SystemRoot\system32\drivers\wdmaud.sys
0xA9E75000 \SystemRoot\system32\drivers\sysaudio.sys
0xA96DA000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9747000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA9592000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7E22000 \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
0xF7B76000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA8F0F000 \??\C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
1576 C:\WINDOWS\system32\smss.exe
1756 csrss.exe
1844 C:\WINDOWS\system32\winlogon.exe
1920 C:\WINDOWS\system32\services.exe
1932 C:\WINDOWS\system32\lsass.exe
256 C:\WINDOWS\system32\svchost.exe
344 svchost.exe
440 C:\WINDOWS\system32\svchost.exe
484 C:\WINDOWS\system32\svchost.exe
548 svchost.exe
628 svchost.exe
940 C:\WINDOWS\system32\spoolsv.exe
992 C:\Programme\Avira\AntiVir Desktop\sched.exe
1328 C:\WINDOWS\explorer.exe
1492 C:\WINDOWS\ehome\ehtray.exe
1532 C:\WINDOWS\RTHDCPL.exe
1552 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1572 C:\WINDOWS\system32\hkcmd.exe
1600 C:\WINDOWS\system32\igfxpers.exe
1616 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
616 C:\Programme\Avira\AntiVir Desktop\avguard.exe
664 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
680 C:\Programme\Bonjour\mDNSResponder.exe
780 C:\WINDOWS\system32\svchost.exe
1204 svchost.exe
1124 C:\WINDOWS\system32\svchost.exe
1432 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
468 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
1112 mcrdsvc.exe
1816 wmpnetwk.exe
3004 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
3180 alg.exe
2916 C:\Programme\Mozilla Firefox\firefox.exe
3200 C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000014`d9840c00 (NTFS)

PhysicalDrive0 Model Number: ST9100828AS, Rev: 3.ALB

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 29.12.2010 15:58
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\adbhgx
HKLM\SYSTEM\ControlSet003\Services\djlgfa
HKLM\SYSTEM\ControlSet003\Services\jmfue
HKLM\SYSTEM\ControlSet003\Services\lrcimqdol
HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd
HKLM\SYSTEM\ControlSet003\Services\pxsgyax
HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}

Files to delete:
C:\WINDOWS\system32\rnhsv.dll
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Joscha_ 29.12.2010 22:33
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet003\Services\adbhgx" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\djlgfa" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\jmfue" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\lrcimqdol" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\pxsgyax" deleted successfully.

Error: file "C:\WINDOWS\system32\rnhsv.dll" not found!
Deletion of file "C:\WINDOWS\system32\rnhsv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus 29.12.2010 22:41
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Joscha_ 29.12.2010 23:38
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5419

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.12.2010 23:36:29
mbam-log-2010-12-29 (23-36-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 220560
Laufzeit: 49 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Joscha_ 30.12.2010 01:25
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/30/2010 at 01:17 AM

Application Version : 4.47.1000

Core Rules Database Version : 6097
Trace Rules Database Version: 3909

Scan type : Complete Scan
Total Scan Time : 01:29:41

Memory items scanned : 501
Memory threats detected : 0
Registry items scanned : 5658
Registry threats detected : 0
File items scanned : 82467
File threats detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lukas Hartmann\Cookies\lukas hartmann@doubleclick[1].txt
C:\Dokumente und Einstellungen\Lukas Hartmann\Cookies\lukas hartmann@tradedoubler[2].txt

cosinus 30.12.2010 11:34
Sieht ok aus, da wurden nur Cookies gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Joscha_ 30.12.2010 21:31
Achsoo Ok ! Danke für die hilfe...
Ne alles gut denke mal das der pc jetzt sauber ist ;D
Nur eine frage hätte ich da noch bevor ich mich hier angemeldet habe
hab ich versucht den computer mit der recovery-cd zu formatieren und windows neu zu installieren aber irgendwie ist da was schief gelaufen und wenn ich den pc hochfahre muss ich erst zwischen 4 sachen was auswählen vielleicht kannst du mir da ja noch helfen.. ich stelle gleich mal ein screenshot davon rein

Joscha_ 30.12.2010 21:58
Liste der Anhänge anzeigen (Anzahl: 1)
Im Anhang ist das bild...

cosinus 30.12.2010 21:59
Kannste im grunde ignorieren. Ist kein Fehler oder sowas, stört dich das wirklich? :wtf:

Joscha_ 30.12.2010 22:19
Hmm Ja also es wäre schön wenn es weggehen würde .....

cosinus 30.12.2010 22:34
Öffne mal die boot.ini mitm Editor (c:\boot.ini)
Kopiere die Zeilen hier rein oder häng sie hier gezippt in deinen nächsten Beitrag.

Joscha_ 30.12.2010 22:56
Ich habe so eine datei nicht.

cosinus 30.12.2010 23:02
:D

Jeder [XP-Rechner] hat eine boot.ini. Lass dir bitte mal alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html

;)

Joscha_ 30.12.2010 23:09
ich hab da eine datei die heißt boot.bak aber keine boot.ini

cosinus 30.12.2010 23:13
Schau nochmal richtig hin ;)

Joscha_ 30.12.2010 23:19
Das gibt es nicht :D

cosinus 31.12.2010 00:33
Du musst auch die geschützten Systemdateien anzeigen lassen!

Joscha_ 31.12.2010 14:09
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

cosinus 01.01.2011 21:37
Nimm den Schreibschutz (falls vorhanden) der boot.ini über Rechtsklick, Eigenschaften heraus.
Änder die Zeile timeout=2 auf timeout=0 und speicher ab. Bei 0 wird das Bootmenü 0 Sekunden angezeigt.

Joscha_ 03.01.2011 15:50
Aber wenn ich nichts drücke, dann kommt die Microsoft Windows XP Home Edition und da sind meine daten usw. nicht drauf weißt du wie ich dann automatisch auf die Windows XP Media Center Edition komme also wenn sich das boot menü nicht öffnet

cosinus 03.01.2011 20:01
Das default OS muss festgelegt werden in Media Center - die gesamte boot.ini müsste dann so aussehen:

Code:
[boot loader]
timeout=0
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

Joscha_ 07.01.2011 14:32
alles klar !:daumenhoc
danke für dein Hilfe jetzt ist wieeder alles wie vorher ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131