Windows XP rundll Meldung (wlsidten.dell und wpbt0.dll) nach (erfolglosem?) Clean

Dieses Thema Windows XP rundll Meldung (wlsidten.dell und wpbt0.dll) nach (erfolglosem?) Clean im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von seekingforhelp, 10. Jan. 2013.

Thema: Windows XP rundll Meldung (wlsidten.dell und wpbt0.dll) nach (erfolglosem?) Clean Hallo! Auf einem Desktoprechner (Proworks Pentium 4 WX) kommen beim Hochfahren 2 Fehlermeldungen: Fehler beim Laden...

  1. Hallo!

    Auf einem Desktoprechner (Proworks Pentium 4 WX) kommen beim Hochfahren 2 Fehlermeldungen:
    Fehler beim Laden von C:\...\wpbt0.dll. Das angegebene Modul wurde nicht gefunden. und dieselbe mit wlsidten.dll.

    Den Rechner hat mir heute ein Freund überantwortet, nachdem er einiges getan hat, den BKA Virus loszuwerden. Erinnern konnte er sich noch an Avira Rescue System, bitdefender Rescue CD, Cleaner und ComboFix.

    Nachdem unter http://www.wintotal-forum.de/index.php?topic=168066.0 ein sehr ähnliches Problem beschrieben ist, habe ich mal die Anleitung unter http://www.wintotal-forum.de/index.php?/topic=147847.0 befolgt:

    OTL.txt siehe nächsten Eintrag (20000 Zeichen - Grenze)
    Extras.txt folgt danach.
    Hab auch noch eine alte Combofix.txt gefunden.

    Ist die Maleware weg?
    Wenn nein: Bitte um Hilfe bei der Entfernung.
    Wenn ja: Wie krieg ich die Fehlermeldungen weg?

    Danke im Voraus!
    Herbert
     
  2. OTL.txt (Teil 1):
    OTL logfile created on: 10.01.2013 11:22:07 - Run 1
    OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Gerhard\Desktop
    Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 7.0.5730.13)
    Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy

    446,48 Mb Total Physical Memory | 78,13 Mb Available Physical Memory | 17,50% Memory free
    1,03 Gb Paging File | 0,77 Gb Available in Paging File | 74,52% Paging File free
    Paging file location(s): c:\pagefile.sys 672 1344 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
    Drive C: | 149,05 Gb Total Space | 137,79 Gb Free Space | 92,44% Space Free | Partition Type: NTFS
    Drive I: | 966,00 Mb Total Space | 956,20 Mb Free Space | 98,99% Space Free | Partition Type: FAT

    Computer Name: NAME-4A57956FD8 | User Name: Gerhard | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

    ========== Processes (SafeList) ==========

    PRC - C:\Dokumente und Einstellungen\Gerhard\Desktop\OTL.exe (OldTimer Tools)
    PRC - C:\Programme\Ask.com\Updater\Updater.exe (Ask)
    PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
    PRC - C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
    PRC - C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe (Nokia)
    PRC - C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia)
    PRC - C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe (Nokia)
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)
    PRC - c:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
    PRC - C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
    PRC - C:\Programme\Logitech\Video\CameraAssistant.exe (Logitech Inc.)
    PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
    PRC - C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe (Cyberlink)
    PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
    PRC - C:\WINDOWS\system32\ElkCtrl.exe (Logitech Inc.)


    ========== Modules (No Company Name) ==========

    MOD - C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\QtCore4.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\imageformats\qsvg4.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\imageformats\qjpeg4.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\QtSvg4.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\QtGUI4.dll ()
    MOD - C:\Programme\Nokia\Nokia PC Suite 7\QtXml4.dll ()
    MOD - C:\WINDOWS\system32\msdmo.dll ()
    MOD - C:\Programme\HP\Digital Imaging\bin\crm\xmltok.dll ()
    MOD - C:\Programme\HP\Digital Imaging\bin\crm\xmlparse.dll ()
    MOD - C:\Programme\CyberLink\Power2Go\P2GRC.dll ()
    MOD - C:\Programme\CyberLink\Shared Files\richvideops.dll ()


    ========== Services (SafeList) ==========

    SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
    SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
    SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
    SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
    SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
    SRV - (LVPrcSrv) -- c:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe (Logitech Inc.)
    SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
    SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


    ========== Driver Services (SafeList) ==========

    DRV - (WDICA) -- File not found
    DRV - (rtl8139) -- system32\DRIVERS\RTL8139.SYS File not found
    DRV - (PDRFRAME) -- File not found
    DRV - (PDRELI) -- File not found
    DRV - (PDFRAME) -- File not found
    DRV - (PDCOMP) -- File not found
    DRV - (PCIDump) -- File not found
    DRV - (NTGUARD) -- C:\Programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS File not found
    DRV - (lbrtfdc) -- File not found
    DRV - (i2omgmt) -- File not found
    DRV - (hgvux) -- C:\WINDOWS\SYSTEM32\DRIVERS\hgvux.sys File not found
    DRV - (Changer) -- File not found
    DRV - (catchme) -- C:\DOKUME~1\Gerhard\LOKALE~1\Temp\catchme.sys File not found
    DRV - (6f32c144c993950a) -- C:\WINDOWS\System32\Drivers\6f32c144c993950a.sys File not found
    DRV - (27b21) -- C:\WINDOWS\system32\drivers\27b21.sys File not found
    DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
    DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
    DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
    DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
    DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
    DRV - (lvmvdrv) -- C:\WINDOWS\system32\drivers\LVMVdrv.sys ()
    DRV - (LVPrcMon) -- C:\WINDOWS\system32\drivers\LVPrcMon.sys ()
    DRV - (Lvckap) -- C:\WINDOWS\system32\drivers\Lvckap.sys ()
    DRV - (PID_0928) -- C:\WINDOWS\system32\drivers\LV561AV.SYS (Logitech Inc.)
    DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
    DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
    DRV - (ALCXWDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
    DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation )


    ========== Standard Registry (SafeList) ==========
     
  3. OTL.txt (Teil 2):
    ========== Internet Explorer ==========

    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
    IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
    IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
    IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: URL = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=6E3484F8-3328-4E1E-BBD7-AA01B0CD8C23&apn_sauid=526A1718-2622-462F-9DC0-01C482D54091
    IE - HKCU\..\SearchScopes\{DA149A94-79E3-4F64-9F82-F8EB0222B17F}: URL = http://www.google.de/search?q={searchTerms}
    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyEnable = 0


    ========== FireFox ==========

    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()



    O1 HOSTS File: ([2013.01.09 16:54:18 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
    O1 - Hosts: 127.0.0.1 localhost
    O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
    O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
    O4 - HKLM..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe (Logitech Inc.)
    O4 - HKLM..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe (Logitech Inc.)
    O4 - HKLM..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe (Logitech Inc.)
    O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
    O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
    O4 - HKCU..\Run: [PC Suite Tray] C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia)
    O4 - HKCU..\Run: [Power2GoExpress] C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe (Cyberlink)
    O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated)
    O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
    O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\auto-bit.lnk = File not found
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
    O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
    O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
    O15 - HKCU\..Trusted Domains: blank ([]about in Local intranet)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DEBAD44F-3346-43CD-88B0-7CD1F7B89EDD}: DhcpNameServer = 10.0.0.138
    O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
    O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
    O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
    O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
    O24 - Desktop WallPaper: C:\WINDOWS\proworx.bmp
    O24 - Desktop BackupWallPaper: C:\WINDOWS\proworx.bmp
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2006.02.19 06:53:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
    O34 - HKLM BootExecute: (autocheck autochk *)
    O35 - HKLM\..comfile [open] -- %1 %*
    O35 - HKLM\..exefile [open] -- %1 %*
    O37 - HKLM\...com [@ = ComFile] -- %1 %*
    O37 - HKLM\...exe [@ = exefile] -- %1 %*
    O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
    O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

    ========== Files/Folders - Created Within 30 Days ==========

    [2013.01.10 11:21:20 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gerhard\Desktop\OTL.exe
    [2013.01.10 10:25:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
    [2013.01.10 09:57:05 | 000,000,000 | RHSD | C] -- C:\cmdcons
    [2013.01.09 16:13:30 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
    [2013.01.09 16:13:30 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
    [2013.01.09 16:13:30 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
    [2013.01.09 16:13:30 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
    [2013.01.09 16:12:02 | 000,000,000 | ---D | C] -- C:\Qoobox
    [2013.01.09 16:11:56 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Gerhard\Startmenü\Programme\Verwaltung
    [2013.01.09 16:11:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
    [2013.01.09 16:11:06 | 005,019,950 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
    [2013.01.09 15:45:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Gerhard\Recent
    [2013.01.09 12:06:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
    [2013.01.09 10:05:59 | 000,000,000 | ---D | C] -- C:\Firefox
    [2013.01.09 10:05:57 | 000,000,000 | ---D | C] -- C:\Programme\Ask.com
    [2013.01.09 10:05:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Anwendungsdaten\AskToolbar
    [2013.01.09 10:05:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
    [2013.01.09 09:43:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
    [2013.01.08 15:43:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
    [2013.01.08 15:43:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
    [2013.01.08 15:33:10 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
    [2013.01.08 15:24:40 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mouhid.sys
    [2013.01.08 14:28:27 | 000,000,000 | ---D | C] -- C:\found.000
    [2012.11.02 17:07:28 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lsass.exe
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

    ========== Files - Modified Within 30 Days ==========

    [2013.01.10 11:21:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
    [2013.01.10 11:20:25 | 000,002,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Gerhard\Desktop\Microsoft Office Excel 2003.lnk
    [2013.01.10 11:15:38 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Gerhard\Desktop\OTL.exe
    [2013.01.10 10:41:06 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
    [2013.01.10 10:40:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
    [2013.01.10 10:40:56 | 468,242,432 | -HS- | M] () -- C:\hiberfil.sys
    [2013.01.10 09:57:11 | 000,000,327 | RHS- | M] () -- C:\boot.ini
    [2013.01.10 08:50:17 | 000,000,327 | ---- | M] () -- C:\Boot.bak
    [2013.01.09 16:54:18 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
    [2013.01.09 16:08:02 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    [2013.01.09 15:50:05 | 000,189,792 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
    [2013.01.09 15:26:52 | 005,019,950 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
    [2013.01.09 09:45:05 | 000,321,930 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
    [2013.01.09 09:45:05 | 000,315,942 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
    [2013.01.09 09:45:05 | 000,050,062 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
    [2013.01.09 09:45:05 | 000,041,676 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
    [2013.01.09 09:44:35 | 000,001,608 | ---- | M] () -- C:\Dokumente und Einstellungen\Gerhard\Startmenü\Programme\Autostart\ctfmon.lnk
    [2013.01.09 09:44:10 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
    [2013.01.08 15:38:12 | 000,251,712 | RHS- | M] () -- C:\ntldr
    [2013.01.08 15:27:02 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

    ========== Files Created - No Company Name ==========

    [2013.01.09 16:24:51 | 000,000,327 | ---- | C] () -- C:\Boot.bak
    [2013.01.09 16:24:49 | 000,262,448 | RHS- | C] () -- C:\cmldr
    [2013.01.09 16:13:30 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
    [2013.01.09 16:13:30 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
    [2013.01.09 16:13:30 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
    [2013.01.09 16:13:30 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
    [2013.01.09 16:13:30 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
    [2013.01.09 15:50:05 | 000,189,792 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
    [2013.01.09 10:06:24 | 000,000,230 | ---- | C] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
    [2013.01.09 09:44:12 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Gerhard\Startmenü\Programme\Outlook Express.lnk
    [2012.07.27 19:15:40 | 000,046,264 | ---- | C] () -- C:\WINDOWS\System32\drivers\dd0488b637655f39.sys
    [2012.06.20 16:04:34 | 000,000,334 | ---- | C] () -- C:\WINDOWS\System32\urhtps.dat
    [2011.10.16 21:07:05 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
    [2007.02.05 15:04:38 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2006.05.05 16:09:33 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html

    ========== ZeroAccess Check ==========


    [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

    [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
    = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
    ThreadingModel = Apartment

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
    = %systemroot%\system32\wbem\fastprox.dll -- [2008.04.14 03:22:10 | 000,472,064 | ---- | M] (Microsoft Corporation)
    ThreadingModel = Free

    [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
    = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
    ThreadingModel = Both

    < End of report >
     
  4. Extras.txt:
    OTL Extras logfile created on: 10.01.2013 11:22:07 - Run 1
    OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Gerhard\Desktop
    Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
    Internet Explorer (Version = 7.0.5730.13)
    Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy

    446,48 Mb Total Physical Memory | 78,13 Mb Available Physical Memory | 17,50% Memory free
    1,03 Gb Paging File | 0,77 Gb Available in Paging File | 74,52% Paging File free
    Paging file location(s): c:\pagefile.sys 672 1344 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
    Drive C: | 149,05 Gb Total Space | 137,79 Gb Free Space | 92,44% Space Free | Partition Type: NTFS
    Drive I: | 966,00 Mb Total Space | 956,20 Mb Free Space | 98,99% Space Free | Partition Type: FAT

    Computer Name: NAME-4A57956FD8 | User Name: Gerhard | Logged in as Administrator.
    Boot Mode: Normal | Scan Mode: Current user
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

    ========== Extra Registry (SafeList) ==========


    ========== File Associations ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
    .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
    .url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l

    [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
    .html [@ = ChromeHTML] -- Reg Error: Key error. File not found

    ========== Shell Spawning ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
    batfile [open] -- %1 %*
    cmdfile [open] -- %1 %*
    comfile [open] -- %1 %*
    cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
    exefile [open] -- %1 %*
    https [open] -- Reg Error: Key error.
    InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
    piffile [open] -- %1 %*
    regfile [merge] -- Reg Error: Key error.
    scrfile [config] -- %1
    scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
    scrfile [open] -- %1 /S
    txtfile [edit] -- Reg Error: Key error.
    Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
    Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
    Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
    Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
    Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

    ========== Security Center Settings ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    FirstRunDisabled = 1
    UpdatesDisableNotify = 0
    AntiVirusOverride = 0
    FirewallOverride = 0
    AntiVirusDisableNotify = 0
    FirewallDisableNotify = 0

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

    ========== System Restore Settings ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
    DisableSR = 0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
    Start = 0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
    Start = 2

    ========== Firewall Settings ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
    EnableFirewall = 1
    DoNotAllowExceptions = 0
    DisableNotifications = 0

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
    1900:UDP = 1900:UDP:LocalSubNet:Enabled:mad:xpsp2res.dll,-22007
    2869:TCP = 2869:TCP:LocalSubNet:Enabled:mad:xpsp2res.dll,-22008
    139:TCP = 139:TCP:LocalSubNet:Disabled:mad:xpsp2res.dll,-22004
    445:TCP = 445:TCP:LocalSubNet:Disabled:mad:xpsp2res.dll,-22005
    137:UDP = 137:UDP:LocalSubNet:Disabled:mad:xpsp2res.dll,-22001
    138:UDP = 138:UDP:LocalSubNet:Disabled:mad:xpsp2res.dll,-22002
    11189:UDP = 11189:UDP:*:Enabled:UDP 11189
    23584:TCP = 23584:TCP:*:Enabled:TCP 23584

    ========== Authorized Applications List ==========

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
    %windir%\system32\sessmgr.exe = %windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019 -- (Microsoft Corporation)
    %windir%\Network Diagnostic\xpnetdiag.exe = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000 -- (Microsoft Corporation)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    %windir%\system32\sessmgr.exe = %windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019 -- (Microsoft Corporation)
    %windir%\Network Diagnostic\xpnetdiag.exe = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000 -- (Microsoft Corporation)
    C:\Programme\Skype\Plugin Manager\skypePM.exe = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- (Skype Technologies)
    C:\Programme\Skype\Phone\Skype.exe = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
    C:\Programme\Bonjour\mDNSResponder.exe = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Dienst Bonjour -- (Apple Inc.)
    C:\Programme\iTunes\iTunes.exe = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
    C:\Programme\Telekom Austria\Breitband-Internet-Installation\fixnet installer\Installer.exe = C:\Programme\Telekom Austria\Breitband-Internet-Installation\fixnet installer\Installer.exe:*:Enabled:Highspeed-Internet-Installation -- (mquadr.at software engineering & consulting GmbH - Web: http://www.mquadr.at - Mail: office@mquadr.at)


    ========== HKEY_LOCAL_MACHINE Uninstall List ==========

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    {089DD780-DB3F-4CDB-A0C2-111360247298} = PC Connectivity Solution
    {0BEDBD4E-2D34-47B5-9973-57E62B29307C} = ATI Control Panel
    {1B9B5B3B-28E7-4E59-A80D-D670AA984514} = Nokia Connectivity Cable Driver
    {1ED31028-6D65-4CFD-AD03-8E484A052FE7} = aonUpdate
    {1F1C2DFC-2D24-3E06-BCB8-725134ADF989} = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
    {1FBF6C24-C1FD-4101-A42B-0C564F9E8E79} = DVD Solution
    {20749F76-4228-43AD-8AB5-E7B20D8040C4} = hph_readme
    {225DB4AA-3CFF-47E8-B3C8-6DAD713E986E} = Nokia PC Suite
    {2376813B-2E5A-4641-B7B3-A0D5ADB55229} = HPPhotoSmartExpress
    {2A981294-F14C-4F0F-9627-D793270922F8} = Bonjour
    {2EFA4E4C-7B5F-48F7-A1C0-1AA882B7A9C3} = HP Update
    {308B6AEA-DE50-4666-996D-0FA461719D6B} = Apple Mobile Device Support
    {350C97B3-3D7C-4EE8-BAA9-00BCB3D54227} = WebFldrs XP
    {36DC3E2F-CD8C-4953-9E8F-9A1916D10AA1} = hph_software
    {40BF1E83-20EB-11D8-97C5-0009C5020658} = Power2Go 4.0
    {45B8A76B-57EC-4242-B019-066400CD8428} = BufferChm
    {4767A89A-F6A5-41B1-903C-734483739882} = Highspeed-Internet-Installation
    {4EA684E9-5C81-4033-A696-3019EC57AC3A} = HPProductAssistant
    {57752979-A1C9-4C02-856B-FBB27AC4E02C} = QuickTime
    {66910000-8B30-4973-A159-6371345AFFA5} = WebReg
    {66E6CE0C-5A1E-430C-B40A-0C90FF1804A8} = eSupportQFolder
    {6811CAA0-BF12-11D4-9EA1-0050BAE317E1} = PowerDVD
    {6909F917-5499-482e-9AA1-FAD06A99F231} = Toolbox
    {6994491D-D491-48F1-AE1F-E179C1FFFC2F} = HP Photosmart Essential
    {6B7FB3C4-E71B-478D-9E15-5AE97EAD67B8} = aonFTP
    {6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6} = MSVC80_x86_v2
    {6F5E2F4A-377D-4700-B0E3-8F7F7507EA15} = CustomerResearchQFolder
    {7F2F3F8B-2D57-48A3-99D0-1AC23D594C89} = LightScribe 1.4.56.1
    {8331C3EA-0C91-43AA-A4D4-27221C631139} = Status
    {868F24EB-5CA7-4285-B39B-3617CF37462A} = D2300_Help
    {86D4B82A-ABED-442A-BE86-96357B70F4FE} = Ask Toolbar
    {881F5DE8-9367-4B81-A325-E91BBC6472F9} = iTunes
    {8CE4E6E9-9D55-43FB-9DDB-688C976BFC05} = Unload
    {8E2EC824-DC8B-45CD-A839-58FA00EA5953} = Digimax S500
    {90110407-6000-11D3-8CFE-0150048383C9} = Microsoft Office Professional Edition 2003
    {904B64C4-49D8-4941-A2B6-D13D06C5CD8B} = Controller
    {94FB906A-CF42-4128-A509-D353026A607E} = REALTEK Gigabit and Fast Ethernet NIC Driver
    {AB5D51AE-EBC3-438D-872C-705C7C2084B0} = DeviceManagementQFolder
    {AC76BA86-7AD7-1031-7B44-A70900000002} = Adobe Reader 7.0.9 - Deutsch
    {ACCCEE83-B49B-4964-8A4F-378B8FBC9F75} = hph_ProductContext
    {AEC0CEBC-0FC7-4716-8222-1C4A742719B1} = Digimax Master
    {B19F9155-9337-4807-B5EF-ED471DDB2CCE} = hph_software_req
    {B7A0CE06-068E-11D6-97FD-0050BACBF861} = PowerProducer
    {C191BE7C-8542-4A61-973A-714EF76C5995} = Logitech QuickCam-Software
    {C41300B9-185D-475E-BFEC-39EF732F19B1} = Apple Software Update
    {C59C179C-668D-49A9-B6EA-0121CCFC1243} = LabelPrint 1.0
    {C7F54CF8-D6FB-4E0A-93A3-E68AE0D6C476} = SolutionCenter
    {D103C4BA-F905-437A-8049-DB24763BBE36} = Skype™ 4.2
    {D297A783-A680-4FDB-8882-913EBA36ABC5} = D2300
    {D2A3C9D5-0B56-4656-8277-7EDC65D62B6E} = HP Photosmart and Deskjet 7.0 Software (deu)
    {D36DD326-7280-11D8-97C8-000129760CBE} = PhotoNow! 1.0
    {D5A9B7C0-8751-11D8-9D75-000129760D75} = MediaShow 3.0
    {DBC20735-34E6-4E97-A9E5-2066B66B243D} = TrayApp
    {E1B80DEE-A795-4258-8445-074C06AE3AB8} = MarketResearch
    {EDE721EC-870A-11D8-9D75-000129760D75} = PowerDirector Express
    {EE6097DD-05F4-4178-9719-D3170BF098E8} = Apple Application Support
    {F0C3E5D1-1ADE-321E-8167-68EF0DE699A5} = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
    {FB08F381-6533-4108-B7DD-039E11FBC27E} = Realtek AC'97 Audio
    34EA302E7F4CBD17A19E33BBCB72363234956D7E = Windows-Treiberpaket - Nokia Modem (06/09/2010 4.5)
    504244733D18C8F63FF584AEB290E3904E791693 = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
    Adobe Flash Player ActiveX = Adobe Flash Player 10 ActiveX
    All ATI Software = ATI - Software Uninstall Utility
    aonFTP = aonFTP
    aonUpdate = aonUpdate
    ATI Display Driver = ATI Display Driver
    CCleaner = CCleaner
    Controller = Controller
    EEEE705096F837B7907659F100C9FE6DA001970F = Windows-Treiberpaket - Nokia Modem (06/09/2010 7.01.0.7)
    Highspeed-Internet-Installation = Highspeed-Internet-Installation
    HP Imaging Device Functions = HP Imaging Device Functions 7.0
    HP Solution Center & Imaging Support Tools = HP Solution Center 7.0
    HPExtendedCapabilities = HP Customer Participation Program 7.0
    IDNMitigationAPIs = Microsoft Internationalized Domain Names Mitigation APIs
    ie7 = Windows Internet Explorer 7
    NLSDownlevelMapping = Microsoft National Language Support Downlevel APIs
    QcDrv = Logitech® Camera-Treiber
    Wdf01009 = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
    Windows Media Format Runtime = Windows Media Format 11 runtime
    Windows Media Player = Windows Media Player 11
    Windows XP Service Pack = Windows XP Service Pack 3
    WMFDist11 = Windows Media Format 11 runtime
    wmp11 = Windows Media Player 11
    Wudf01009 = Microsoft User-Mode Driver Framework Feature Pack 1.9

    ========== HKEY_CURRENT_USER Uninstall List ==========

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
    {79A765E1-C399-405B-85AF-466F52E918B0} = Ask Toolbar Updater
    OnlineFestplatte = aon Online Festplatte (entfernen)

    ========== Last 20 Event Log Errors ==========

    [ Application Events ]
    Error - 07.11.2012 17:11:35 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 11.11.2012 16:19:58 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 16.11.2012 17:21:48 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 18.11.2012 16:43:58 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 25.11.2012 15:48:33 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 25.11.2012 17:02:54 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 13.12.2012 11:49:38 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 13.12.2012 11:51:12 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 13.12.2012 11:51:15 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    Error - 13.12.2012 12:28:53 | Computer Name = NAME-4A57956FD8 | Source = Application Hang | ID = 1002
    Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.17055, Stillstandmodul
    hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

    [ System Events ]
    Error - 09.01.2013 11:11:51 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7034
    Description = Dienst Logitech Process Monitor wurde unerwartet beendet. Dies ist
    bereits 1 Mal passiert.

    Error - 09.01.2013 11:56:21 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7000
    Description = Der Dienst hgvux wurde aufgrund folgenden Fehlers nicht gestartet:
    %%2

    Error - 09.01.2013 12:03:22 | Computer Name = NAME-4A57956FD8 | Source = DCOM | ID = 10005
    Description = Bei DCOM ist der Fehler %1053 aufgetreten, als der Dienst ServiceLayer
    mit den Argumenten gestartet wurde, um den folgenden Server zu verwenden: {ACF50018-41F8-476D-85FD-CD953DAE4A49}

    Error - 09.01.2013 12:03:22 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7009
    Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst ServiceLayer.

    Error - 09.01.2013 12:03:22 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7000
    Description = Der Dienst ServiceLayer wurde aufgrund folgenden Fehlers nicht gestartet:
    %%1053

    Error - 10.01.2013 03:45:52 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7000
    Description = Der Dienst hgvux wurde aufgrund folgenden Fehlers nicht gestartet:
    %%2

    Error - 10.01.2013 03:47:20 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7034
    Description = Dienst Logitech Process Monitor wurde unerwartet beendet. Dies ist
    bereits 1 Mal passiert.

    Error - 10.01.2013 04:28:13 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7000
    Description = Der Dienst hgvux wurde aufgrund folgenden Fehlers nicht gestartet:
    %%2

    Error - 10.01.2013 04:54:56 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7034
    Description = Dienst Logitech Process Monitor wurde unerwartet beendet. Dies ist
    bereits 1 Mal passiert.

    Error - 10.01.2013 05:41:01 | Computer Name = NAME-4A57956FD8 | Source = Service Control Manager | ID = 7000
    Description = Der Dienst hgvux wurde aufgrund folgenden Fehlers nicht gestartet:
    %%2


    < End of report >
     
  5. Hab auch noch eine alte Combofix.txt gefunden:
    ComboFix 13-01-08.01 - Gerhard 09.01.2013 16:46:14.1.2 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.43.1031.18.446.17 [GMT 1:00]
    ausgeführt von:: c:\dokumente und einstellungen\Gerhard\Desktop\ComboFix.exe
    Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Gerhard\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
    AV: Avira Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
    .
    .
    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\0tbpw.pad
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\ISx41.tmp
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\netdislw.pad
    c:\dokumente und einstellungen\Gerhard\Anwendungsdaten\Adobe\plugs
    c:\dokumente und einstellungen\Gerhard\s8kxmrxc7d.exe
    C:\Recycle.Bin
    c:\windows\system32\kock
    c:\windows\system32\SET2FC.tmp
    c:\windows\system32\SET300.tmp
    c:\windows\system32\SET308.tmp
    c:\windows\system32\SET34F.tmp
    c:\windows\system32\UAs
    c:\windows\system32\UAs\iexplore.exe_UAs001.dat
    c:\windows\system32\UAs\msimn.exe_UAs001.dat
    c:\windows\system32\xmldm
    .
    .
    ((((((((((((((((((((((( Dateien erstellt von 2012-12-09 bis 2013-01-09 ))))))))))))))))))))))))))))))
    .
    .
    2013-01-09 11:06 . 2013-01-09 11:41 -------- d-----w- c:\windows\system32\NtmsData
    2013-01-09 09:12 . 2013-01-09 09:12 -------- d-----w- c:\dokumente und einstellungen\Gerhard\Anwendungsdaten\Avira
    2013-01-09 09:05 . 2013-01-09 09:05 -------- d-----w- C:\Firefox
    2013-01-09 09:05 . 2013-01-09 09:06 -------- d-----w- c:\programme\Ask.com
    2013-01-09 09:05 . 2013-01-09 09:06 -------- d-----w- c:\dokumente und einstellungen\Gerhard\Lokale Einstellungen\Anwendungsdaten\AskToolbar
    2013-01-09 09:05 . 2012-11-27 09:01 83944 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2013-01-09 09:05 . 2012-11-22 14:51 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys
    2013-01-09 09:05 . 2012-11-22 14:50 134336 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2013-01-09 09:05 . 2013-01-09 09:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
    2013-01-09 09:05 . 2013-01-09 09:05 -------- d-----w- c:\programme\Avira
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\de
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\bits
    2013-01-08 14:24 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
    2013-01-08 14:24 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
    2013-01-08 13:28 . 2013-01-08 13:28 -------- d-----w- C:\found.000
    .
    .
    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-11-02 16:07 . 2012-11-02 16:07 33792 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\lsass.exe
    .
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    {00000000-6E41-4FD3-8538-502F5495E5FC}= c:\programme\Ask.com\GenericAskToolbar.dll [2012-08-22 1521872]
    .
    [HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Power2GoExpress=c:\programme\CyberLink\Power2Go\Power2GoExpress.exe [2005-08-16 2031711]
    Skype=c:\programme\Skype\\Phone\Skype.exe [2010-04-06 26102056]
    updateMgr=c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
    PC Suite Tray=c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2010-05-14 1479680]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ATIPTA=c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [2005-06-28 344064]
    RemoteControl=c:\programme\CyberLink\PowerDVD\PDVDServ.exe [2004-11-02 32768]
    HP Software Update=c:\programme\HP\HP Software Update\HPWuSchd2.exe [2011-05-10 49208]
    LVCOMSX=c:\windows\system32\LVCOMSX.EXE [2005-12-09 225280]
    LogitechCameraAssistant=c:\programme\Logitech\Video\CameraAssistant.exe [2005-12-07 489472]
    LogitechVideo[inspector]=c:\programme\Logitech\Video\InstallHelper.exe [2005-12-07 09:33 73728]
    LogitechCameraService(E)=c:\windows\system32\ElkCtrl.exe [2004-11-01 262144]
    SoundMan=SOUNDMAN.EXE [2004-11-16 77824]
    QuickTime Task=c:\programme\QuickTime\qttask.exe [2010-11-29 421888]
    iTunesHelper=c:\programme\iTunes\iTunesHelper.exe [2010-12-13 421160]
    ApnUpdater=c:\programme\Ask.com\Updater\Updater.exe [2012-08-22 1573584]
    avgnt=c:\programme\Avira\AntiVir Desktop\avgnt.exe [2012-12-04 384800]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=c:\windows\system32\CTFMON.EXE [2008-04-14 15360]
    .
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\
    ctfmon.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    .
    c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
    Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    auto-bit.lnk - c:\sysprep\bit\bit.exe [N/A]
    HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    Userinit=c:\windows\system32\userinit.exe,c:\windows\system32\appconf32.exe,
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    %windir%\\system32\\sessmgr.exe=
    %windir%\\Network Diagnostic\\xpnetdiag.exe=
    c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe=
    c:\\Programme\\Skype\\Phone\\Skype.exe=
    c:\\Programme\\Bonjour\\mDNSResponder.exe=
    c:\\Programme\\iTunes\\iTunes.exe=
    c:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    11189:UDP= 11189:UDP:UDP 11189
    23584:TCP= 23584:TCP:TCP 23584
    .
    R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [09.01.2013 10:05 36552]
    R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [09.01.2013 10:05 85280]
    R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [09.01.2013 10:05 565024]
    S0 6f32c144c993950a;s8kxmrxc7d.exe;\SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys --> \SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys [?]
    S1 27b21;s8kxmrxc7d.exe;\??\c:\windows\system32\drivers\27b21.sys --> c:\windows\system32\drivers\27b21.sys [?]
    S2 hgvux;hgvux;\??\c:\windows\SYSTEM32\DRIVERS\hgvux.sys --> c:\windows\SYSTEM32\DRIVERS\hgvux.sys [?]
    S3 NTGUARD;NTGUARD;\??\c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS --> c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS [?]
    .
    --- Andere Dienste/Treiber im Speicher ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Inhalt des geplante Tasks Ordners
    .
    2013-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
    .
    2013-01-09 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
    - c:\programme\Ask.com\UpdateTask.exe [2012-08-22 15:13]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.google.at/
    IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
    TCP: DhcpNameServer = 10.0.0.138
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -
    .
    HKCU-Run-s8kxmrxc7d - c:\dokumente und einstellungen\Gerhard\s8kxmrxc7d.exe
    HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\programme\Malwarebytes' Anti-Malware\mbam.exe
    AddRemove-Nokia PC Suite - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}\Nokia_PC_Suite_ger_web[1].exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2013-01-09 16:57
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Scanne versteckte Prozesse...
    .
    Scanne versteckte Autostarteinträge...
    .
    Scanne versteckte Dateien...
    .
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    .
    **************************************************************************
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------
    .
    - - - - - - - >->winlogon.exe'(508)
    c:\windows\system32\Ati2evxx.dll
    .
    - - - - - - - >->lsass.exe'(564)
    c:\programme\Avira\AntiVir Desktop\avsda.dll
    .
    - - - - - - - >->explorer.exe'(4520)
    c:\programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcInj.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
    c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
    c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
    c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
    c:\programme\Avira\AntiVir Desktop\avguard.exe
    c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\programme\Bonjour\mDNSResponder.exe
    c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    c:\windows\system32\HPZipm12.exe
    c:\programme\CyberLink\Shared Files\RichVideo.exe
    c:\programme\Avira\AntiVir Desktop\avshadow.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\Ati2evxx.exe
    c:\windows\SOUNDMAN.EXE
    c:\programme\iPod\bin\iPodService.exe
    c:\programme\Skype\Phone\Skype.exe
    c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
    c:\programme\PC Connectivity Solution\ServiceLayer.exe
    c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
    c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2013-01-09 17:08:38 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2013-01-09 16:08
    .
    Vor Suchlauf: 15 Verzeichnis(se), 147.521.544.192 Bytes frei
    Nach Suchlauf: 19 Verzeichnis(se), 147.445.444.608 Bytes frei
    .
    WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
    UnsupportedDebug=do not select this /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Home Edition /noexecute=optin /fastdetect
    .
    - - End Of File - - 0558DCA61DE73CE01ACC708D7446A3B7
     
  6. Hi :)

    Da gibt es noch einiges an Arbeit. Bitte bis zum Schluss mitarbeiten, bis ich Dir sage dass das System sauber ist. Ich werde dazu mehrere Tools verwenden und Dich entsprechend dazu verlinken.

    http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_adwc

    Bitte AdwCLeaner laden, einmal suchen und danach löschen lassen. Ich bräuchte dann das Logfile vom Löschvorgang.

    ============

    Combofix, wenn noch auf dem Desktop vorhanden, bitte löschen. Combofix nach Anleitung neu laden und laufen lassen, AV-Programme vorher beenden.

    http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_com
     
  7. Hallo!

    Herzlichen Dank für die Hilfe!
    Konnte erst jetzt antworten, da der Rechner nicht bei mir stand.

    Gemacht. AdwCleaner[S1].txt:
    # AdwCleaner v2.105 - Datei am 15/01/2013 um 15:12:54 erstellt
    # Aktualisiert am 08/01/2013 von Xplode
    # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
    # Benutzer : Gerhard - NAME-4A57956FD8
    # Bootmodus : Normal
    # Ausgeführt unter : C:\Dokumente und Einstellungen\Gerhard\Desktop\adwcleaner.exe
    # Option [Löschen]


    **** [Dienste] ****


    ***** [Dateien / Ordner] *****


    ***** [Registrierungsdatenbank] *****

    Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
    Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

    ***** [Internet Browser] *****

    -\\ Internet Explorer v7.0.6000.17055

    [OK] Die Registrierungsdatenbank ist sauber.

    *************************

    AdwCleaner[R1].txt - [1442 octets] - [15/01/2013 15:12:22]
    AdwCleaner[S1].txt - [1213 octets] - [15/01/2013 15:12:54]

    ########## EOF - C:\AdwCleaner[S1].txt - [1273 octets] ##########

    Zur Sicherheit auch die AdwCleaner[R1].txt:
    # AdwCleaner v2.105 - Datei am 15/01/2013 um 15:12:22 erstellt
    # Aktualisiert am 08/01/2013 von Xplode
    # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
    # Benutzer : Gerhard - NAME-4A57956FD8
    # Bootmodus : Normal
    # Ausgeführt unter : C:\Dokumente und Einstellungen\Gerhard\Desktop\adwcleaner.exe
    # Option [Suche]


    **** [Dienste] ****


    ***** [Dateien / Ordner] *****


    ***** [Registrierungsdatenbank] *****

    Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
    Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Schlüssel Gefunden : HKU\S-1-5-21-3235886779-2282215539-1608039641-1005\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

    ***** [Internet Browser] *****

    -\\ Internet Explorer v7.0.6000.17055

    [OK] Die Registrierungsdatenbank ist sauber.

    *************************

    AdwCleaner[R1].txt - [1313 octets] - [15/01/2013 15:12:22]

    ########## EOF - C:\AdwCleaner[R1].txt - [1373 octets] ##########

    Gemacht. ComboFix.txt:
    ComboFix 13-01-15.02 - Gerhard 15.01.2013 15:46:21.4.2 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.43.1031.18.446.12 [GMT 1:00]
    ausgeführt von:: c:\dokumente und einstellungen\Gerhard\Desktop\ComboFix.exe
    * Neuer Wiederherstellungspunkt wurde erstellt
    .
    .
    ((((((((((((((((((((((( Dateien erstellt von 2012-12-15 bis 2013-01-15 ))))))))))))))))))))))))))))))
    .
    .
    2013-01-10 18:52 . 2013-01-10 18:52 0 ----a-w- c:\windows\ativpsrm.bin
    2013-01-10 18:50 . 2008-12-01 13:35 593920 ------w- c:\windows\system32\ati2sgag.exe
    2013-01-10 18:49 . 2013-01-10 18:49 -------- d-----w- c:\programme\ATI
    2013-01-10 16:29 . 2008-04-14 02:23 9728 ----a-w- c:\windows\system32\ativdaxx.ax
    2013-01-10 16:29 . 2008-04-14 02:23 23040 ----a-w- c:\windows\system32\ativmvxx.ax
    2013-01-10 16:29 . 2008-04-14 02:22 32768 -c--a-w- c:\windows\system32\dllcache\ativtmxx.dll
    2013-01-10 16:29 . 2008-04-14 02:22 32768 ----a-w- c:\windows\system32\ativtmxx.dll
    2013-01-10 16:29 . 2008-04-14 02:22 870784 -c--a-w- c:\windows\system32\dllcache\ati3d1ag.dll
    2013-01-10 16:29 . 2008-04-14 02:22 870784 ----a-w- c:\windows\system32\ati3d1ag.dll
    2013-01-10 16:29 . 2008-04-14 02:22 377984 -c--a-w- c:\windows\system32\dllcache\ati2dvaa.dll
    2013-01-10 16:29 . 2008-04-14 02:22 377984 ----a-w- c:\windows\system32\ati2dvaa.dll
    2013-01-09 11:06 . 2013-01-09 11:41 -------- d-----w- c:\windows\system32\NtmsData
    2013-01-09 09:05 . 2013-01-10 07:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\de
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\bits
    2013-01-08 14:24 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
    2013-01-08 14:24 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
    2013-01-08 13:28 . 2013-01-08 13:28 -------- d-----w- C:\found.000
    .
    .
    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-11-02 16:07 . 2012-11-02 16:07 33792 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\lsass.exe
    .
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Power2GoExpress=c:\programme\CyberLink\Power2Go\Power2GoExpress.exe [2005-08-16 2031711]
    Skype=c:\programme\Skype\\Phone\Skype.exe [2010-04-06 26102056]
    updateMgr=c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
    PC Suite Tray=c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2010-05-14 1479680]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    RemoteControl=c:\programme\CyberLink\PowerDVD\PDVDServ.exe [2004-11-02 32768]
    HP Software Update=c:\programme\HP\HP Software Update\HPWuSchd2.exe [2011-05-10 49208]
    LVCOMSX=c:\windows\system32\LVCOMSX.EXE [2005-12-09 225280]
    LogitechCameraAssistant=c:\programme\Logitech\Video\CameraAssistant.exe [2005-12-07 489472]
    LogitechVideo[inspector]=c:\programme\Logitech\Video\InstallHelper.exe [2005-12-07 09:33 73728]
    LogitechCameraService(E)=c:\windows\system32\ElkCtrl.exe [2004-11-01 262144]
    SoundMan=SOUNDMAN.EXE [2004-11-16 77824]
    QuickTime Task=c:\programme\QuickTime\qttask.exe [2010-11-29 421888]
    iTunesHelper=c:\programme\iTunes\iTunesHelper.exe [2010-12-13 421160]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=c:\windows\system32\CTFMON.EXE [2008-04-14 15360]
    .
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\
    ctfmon.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    .
    c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
    Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    auto-bit.lnk - c:\sysprep\bit\bit.exe [N/A]
    HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    %windir%\\system32\\sessmgr.exe=
    %windir%\\Network Diagnostic\\xpnetdiag.exe=
    c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe=
    c:\\Programme\\Skype\\Phone\\Skype.exe=
    c:\\Programme\\Bonjour\\mDNSResponder.exe=
    c:\\Programme\\iTunes\\iTunes.exe=
    c:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    11189:UDP= 11189:UDP:UDP 11189
    23584:TCP= 23584:TCP:TCP 23584
    .
    S0 6f32c144c993950a;s8kxmrxc7d.exe;\SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys --> \SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys [?]
    S1 27b21;s8kxmrxc7d.exe;\??\c:\windows\system32\drivers\27b21.sys --> c:\windows\system32\drivers\27b21.sys [?]
    S2 hgvux;hgvux;\??\c:\windows\SYSTEM32\DRIVERS\hgvux.sys --> c:\windows\SYSTEM32\DRIVERS\hgvux.sys [?]
    S3 NTGUARD;NTGUARD;\??\c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS --> c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS [?]
    .
    Inhalt des geplante Tasks Ordners
    .
    2013-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.google.at/
    IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    TCP: DhcpNameServer = 10.0.0.138
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2013-01-15 15:53
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Scanne versteckte Prozesse...
    .
    Scanne versteckte Autostarteinträge...
    .
    Scanne versteckte Dateien...
    .
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    .
    **************************************************************************
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------
    .
    - - - - - - - >->winlogon.exe'(504)
    c:\windows\system32\Ati2evxx.dll
    .
    - - - - - - - >->explorer.exe'(2724)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Zeit der Fertigstellung: 2013-01-15 15:56:23
    ComboFix-quarantined-files.txt 2013-01-15 14:56
    ComboFix2.txt 2013-01-10 09:25
    ComboFix3.txt 2013-01-10 08:17
    .
    Vor Suchlauf: 17 Verzeichnis(se), 147.850.317.824 Bytes frei
    Nach Suchlauf: 18 Verzeichnis(se), 147.839.836.160 Bytes frei
    .
    - - End Of File - - 06DA1E69EF8AE9616907054C225D65EA

    Danke!
    Herbert
     
  8. Hi,

    Hinweis für Mitleser:
    Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
    Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



    Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

    Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    File::
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\lsass.exe
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\ctfmon.lnk 
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\runctf.lnk
    
    Speichere dies als CFScript.txt auf Deinem Desktop.

    Wichtig:
    • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
      Danach wieder anstellen nicht vergessen!
    • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
      Dies kann dazu führen, dass ComboFix sich aufhängt.
    • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
    • Mache nichts am PC solange ComboFix läuft.
    • Ziehe CFScript.txt in die ComboFix.exe
    • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
    Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
     
  9. Hallo!

    Done.

    Done.

    ComboFix.txt:
    ComboFix 13-01-15.02 - Gerhard 16.01.2013 12:59:47.5.2 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.43.1031.18.446.6 [GMT 1:00]
    ausgeführt von:: c:\dokumente und einstellungen\Gerhard\Desktop\ComboFix.exe
    Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Gerhard\Desktop\CFScript.txt
    .
    FILE ::
    c:\dokumente und einstellungen\All Users\Anwendungsdaten\lsass.exe
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\ctfmon.lnk
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\runctf.lnk
    .
    .
    ((((((((((((((((((((((( Dateien erstellt von 2012-12-16 bis 2013-01-16 ))))))))))))))))))))))))))))))
    .
    .
    2013-01-10 18:52 . 2013-01-10 18:52 0 ----a-w- c:\windows\ativpsrm.bin
    2013-01-10 18:50 . 2008-12-01 13:35 593920 ------w- c:\windows\system32\ati2sgag.exe
    2013-01-10 18:49 . 2013-01-10 18:49 -------- d-----w- c:\programme\ATI
    2013-01-10 16:29 . 2008-04-14 02:23 9728 ----a-w- c:\windows\system32\ativdaxx.ax
    2013-01-10 16:29 . 2008-04-14 02:23 23040 ----a-w- c:\windows\system32\ativmvxx.ax
    2013-01-10 16:29 . 2008-04-14 02:22 32768 -c--a-w- c:\windows\system32\dllcache\ativtmxx.dll
    2013-01-10 16:29 . 2008-04-14 02:22 32768 ----a-w- c:\windows\system32\ativtmxx.dll
    2013-01-10 16:29 . 2008-04-14 02:22 870784 -c--a-w- c:\windows\system32\dllcache\ati3d1ag.dll
    2013-01-10 16:29 . 2008-04-14 02:22 870784 ----a-w- c:\windows\system32\ati3d1ag.dll
    2013-01-10 16:29 . 2008-04-14 02:22 377984 -c--a-w- c:\windows\system32\dllcache\ati2dvaa.dll
    2013-01-10 16:29 . 2008-04-14 02:22 377984 ----a-w- c:\windows\system32\ati2dvaa.dll
    2013-01-09 11:06 . 2013-01-09 11:41 -------- d-----w- c:\windows\system32\NtmsData
    2013-01-09 09:05 . 2013-01-10 07:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\de
    2013-01-08 14:43 . 2013-01-08 14:43 -------- d-----w- c:\windows\system32\bits
    2013-01-08 14:24 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
    2013-01-08 14:24 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
    2013-01-08 13:28 . 2013-01-08 13:28 -------- d-----w- C:\found.000
    .
    .
    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-11-02 16:07 . 2012-11-02 16:07 33792 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\lsass.exe
    .
    .
    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    Power2GoExpress=c:\programme\CyberLink\Power2Go\Power2GoExpress.exe [2005-08-16 2031711]
    Skype=c:\programme\Skype\\Phone\Skype.exe [2010-04-06 26102056]
    updateMgr=c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [2006-03-30 313472]
    PC Suite Tray=c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2010-05-14 1479680]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    RemoteControl=c:\programme\CyberLink\PowerDVD\PDVDServ.exe [2004-11-02 32768]
    HP Software Update=c:\programme\HP\HP Software Update\HPWuSchd2.exe [2011-05-10 49208]
    LVCOMSX=c:\windows\system32\LVCOMSX.EXE [2005-12-09 225280]
    LogitechCameraAssistant=c:\programme\Logitech\Video\CameraAssistant.exe [2005-12-07 489472]
    LogitechVideo[inspector]=c:\programme\Logitech\Video\InstallHelper.exe [2005-12-07 09:33 73728]
    LogitechCameraService(E)=c:\windows\system32\ElkCtrl.exe [2004-11-01 262144]
    SoundMan=SOUNDMAN.EXE [2004-11-16 77824]
    QuickTime Task=c:\programme\QuickTime\qttask.exe [2010-11-29 421888]
    iTunesHelper=c:\programme\iTunes\iTunesHelper.exe [2010-12-13 421160]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    CTFMON.EXE=c:\windows\system32\CTFMON.EXE [2008-04-14 15360]
    .
    c:\dokumente und einstellungen\Gerhard\Startmenü\Programme\Autostart\
    ctfmon.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    runctf.lnk - c:\windows\system32\rundll32.exe [2004-8-4 33792]
    .
    c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
    Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    auto-bit.lnk - c:\sysprep\bit\bit.exe [N/A]
    HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    %windir%\\system32\\sessmgr.exe=
    %windir%\\Network Diagnostic\\xpnetdiag.exe=
    c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe=
    c:\\Programme\\Skype\\Phone\\Skype.exe=
    c:\\Programme\\Bonjour\\mDNSResponder.exe=
    c:\\Programme\\iTunes\\iTunes.exe=
    c:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    11189:UDP= 11189:UDP:UDP 11189
    23584:TCP= 23584:TCP:TCP 23584
    .
    S0 6f32c144c993950a;s8kxmrxc7d.exe;\SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys --> \SystemRoot\\SystemRoot\System32\Drivers\6f32c144c993950a.sys [?]
    S1 27b21;s8kxmrxc7d.exe;\??\c:\windows\system32\drivers\27b21.sys --> c:\windows\system32\drivers\27b21.sys [?]
    S2 hgvux;hgvux;\??\c:\windows\SYSTEM32\DRIVERS\hgvux.sys --> c:\windows\SYSTEM32\DRIVERS\hgvux.sys [?]
    S3 NTGUARD;NTGUARD;\??\c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS --> c:\programme\aon\aonVirenchecker\GuardNT\NTGUARD.SYS [?]
    .
    Inhalt des geplante Tasks Ordners
    .
    2013-01-09 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
    .
    .
    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://www.google.at/
    IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    TCP: DhcpNameServer = 10.0.0.138
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2013-01-16 13:06
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Scanne versteckte Prozesse...
    .
    Scanne versteckte Autostarteinträge...
    .
    Scanne versteckte Dateien...
    .
    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0
    .
    **************************************************************************
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------
    .
    - - - - - - - >->winlogon.exe'(504)
    c:\windows\system32\Ati2evxx.dll
    .
    - - - - - - - >->explorer.exe'(1232)
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Zeit der Fertigstellung: 2013-01-16 13:09:27
    ComboFix-quarantined-files.txt 2013-01-16 12:09
    ComboFix2.txt 2013-01-15 14:56
    ComboFix3.txt 2013-01-10 09:25
    ComboFix4.txt 2013-01-10 08:17
    .
    Vor Suchlauf: 17 Verzeichnis(se), 147.854.249.984 Bytes frei
    Nach Suchlauf: 18 Verzeichnis(se), 147.843.420.160 Bytes frei
    .
    - - End Of File - - 0319DF14AE8B082C12868A7C58ECFA88

    Danke,
    Herbert
     
  10. Das sieht gut aus. Noch Probleme?

    Bitte zum Abschluss ein frisches OTL Logfile. Ausserdemkannst Du bitte noch einen Onlinescan Deiner Wahl laufen und die ganze Platte scannen lassen (ich empfehle ESET Onlinescan). Da reicht mir nur ne kurze Meldung ob noch irgendwo ein inaktiver Überbleibsel gefunden wurde.
     
Die Seite wird geladen...

Windows XP rundll Meldung (wlsidten.dell und wpbt0.dll) nach (erfolglosem?) Clean - Ähnliche Themen

Forum Datum
Windows XP Pro: rundll Meldung beim Systemstart entfernen Viren, Trojaner, Spyware etc. 15. Nov. 2012
Bilder hochladen funktioniert mit neuem Laptop nicht (WLAN od.Windows schuld?) Windows 10 Forum Gestern um 17:17 Uhr
Windows 10 pro activator Windows 10 Forum 29. Nov. 2016
SEHR DRINGEND: Probleme bei Upgrade auf Windows 7 Windows Vista Forum 13. Nov. 2016
Windows 10 iso externe Festplatte blockiert Windows 10 Forum 12. Nov. 2016