Undefinierter Bereich auf Festplatte

    Undefinierter Bereich auf Festplatte

    Auf meiner Festplatte wächst bedrohlich Tag für Tag ein Datenbereich, an den ich nicht rankomme. Keines von den üblichen Programmen kann ihn mir darstellen. Antivir oder Norton zählen Unmassen von Dateien durch und stellen keine Probleme fest. Also jetzt auf euren Tip habe ich HijackThis durchlaufen lassen.
    Hier das Ergebnis. Vielleicht hat jemand eine Idee. Ich wäre dankbar.

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:36:53, on 19.08.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.17080)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Uniblue\RegistryBooster\rbmonitor.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\ltmoh\Ltmoh.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Acronis\DiskDirector\OSS\reinstall_svc.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\HDD Health\hddhealth.exe
    C:\Programme\Uniblue\RegistryBooster\registrybooster.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
    C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\user\Desktop\HiJackThis204.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = search.conduit.com?SearchSource=10&ctid=CT2319825
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = alice.aol.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = alice.aol.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = go.microsoft.com/fwlink/?LinkId=54843
    R3 - URLSearchHook: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
    O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
    O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\IPSBHO.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
    O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\17.7.0.12\coIEPlg.dll
    O3 - Toolbar: Winload Toolbar - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\tbWinl.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [RegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000
    O4 - HKCU\..\Run: [HDDHealth] C:\Programme\HDD Health\hddhealth.exe -wl
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoft…eb_site.cab?1225629404859
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\17.7.0.12\ccSvcHst.exe
    O23 - Service: Acronis OS Selector Activator (OS Selector) - Unknown owner - C:\Programme\Acronis\DiskDirector\OSS\reinstall_svc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

    --
    End of file - 8295 bytes
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.166

    führt mich auf wenig vertrauenserweckende Seiten..

    Der Server steht, soweit ich das richtig erkannt habe, in der Ukraine. Also diese Einträge sollten schonmal raus, sofern du nichts mit denen zu tun hast.
    Deutet auch auf einen Viren- / Trojanerbefall oder ähnliches hin für mich.

    Allerdings ist das Log ansonsten für mich erstmal unauffällig.

    Versuch dennoch noch zusätzlich mal einen anderen Virenscanner (dein Norton muss dabei aber bitte ausgeschaltet werden, für die Dauer des Scans!)
    TrendMicro Housecall

    bachstelz schrieb:

    Auf meiner Festplatte wächst bedrohlich Tag für Tag ein Datenbereich, an den ich nicht rankomme. Keines von den üblichen Programmen kann ihn mir darstellen. Antivir oder Norton zählen Unmassen von Dateien durch und stellen keine Probleme fest. Also jetzt auf euren Tip habe ich HijackThis durchlaufen lassen.
    Hier das Ergebnis. Vielleicht hat jemand eine Idee. Ich wäre dankbar.


    Hi,

    sieht nach Spambot aus. Scanne bitte mal mit combofix. Erst mit CCleaner alle Temp.dateien löschen:
    piriform.com/ccleaner

    Danach beende alle Programme, deaktiviere den Wächter von deinem Antivirenprogramm/en und führe Combofox ganz genau wie hier beschrieben aus:
    bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
    nichts anklicken oder machen am PC, solange combofix den PC scannt.
    Poste das log dann hier und ich kann mehr sagen.

    grüsse
    GAV

    Undefinierter Bereich

    Hallo Helfer,
    CCleaner + Combifix war da und hier ist das Ergebnis:

    ComboFix 10-08-19.02 - user 20.08.2010 22:33:10.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.666 [GMT 2:00]
    ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\ComboFix.exe
    AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
    AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
    AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
    AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    .

    (((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\SEC
    c:\windows\SEC\CLEANUPFOLDER.INI
    c:\windows\SEC\CONFIGSYS.EXE
    c:\windows\SEC\INSTALL.EXE
    c:\windows\SEC\INSTALL.INI
    c:\windows\SEC\JRE150.EXE
    c:\windows\SEC\MP10GER.EXE
    c:\windows\system32\test.dll

    .
    ((((((((((((((((((((((( Dateien erstellt von 2010-07-20 bis 2010-08-20 ))))))))))))))))))))))))))))))
    .

    2010-08-20 20:16 . 2010-08-20 20:21 -------- d-----r- C:\32788R22FWJFW
    2010-08-20 19:24 . 2010-08-20 19:24 -------- d-----w- c:\programme\CCleaner
    2010-08-20 09:41 . 2010-08-20 09:41 125624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\shellex.dll
    2010-08-20 09:41 . 2010-08-20 09:41 113336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\sbstart.exe
    2010-08-20 09:41 . 2010-08-20 09:41 404152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\mcouas.dll
    2010-08-20 09:41 . 2010-08-20 09:41 166584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.1.400\klwtblc.dll
    2010-08-20 09:37 . 2010-08-20 09:37 129720 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\shellex.dll
    2010-08-20 09:37 . 2010-08-20 09:37 113336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\sbstart.exe
    2010-08-20 09:37 . 2010-08-20 09:37 404152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\mcouas.dll
    2010-08-20 09:37 . 2010-08-20 09:37 170680 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.1.400\klwtblc.dll
    2010-08-20 09:11 . 2010-08-20 09:12 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
    2010-08-20 08:46 . 2010-08-20 09:40 113933 ----a-w- c:\windows\system32\drivers\klin.dat
    2010-08-20 08:46 . 2010-08-20 09:40 97549 ----a-w- c:\windows\system32\drivers\klick.dat
    2010-08-20 08:44 . 2010-08-20 08:44 -------- d-----w- c:\programme\Kaspersky Lab
    2010-08-20 08:44 . 2010-08-20 20:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
    2010-08-20 08:39 . 2010-08-20 08:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
    2010-08-19 22:01 . 2010-08-19 22:01 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Tific
    2010-08-19 21:13 . 2010-08-19 21:13 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
    2010-08-19 21:12 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-19 21:12 . 2010-08-19 21:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
    2010-08-19 21:12 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-19 21:12 . 2010-08-19 21:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
    2010-08-18 20:28 . 2010-08-18 20:41 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\FreshDiagnose
    2010-08-18 20:27 . 2010-08-18 20:27 -------- d-----w- c:\programme\FreshDevices
    2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Conduit
    2010-08-18 20:26 . 2010-08-20 08:28 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Winload
    2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\programme\Conduit
    2010-08-18 20:26 . 2010-08-18 20:26 -------- d-----w- c:\programme\Winload
    2010-08-18 19:50 . 2010-08-18 19:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\UserInfoTip
    2010-08-18 19:50 . 2010-08-18 19:50 -------- d-----w- c:\programme\AksLab
    2010-08-18 19:47 . 2010-08-18 21:39 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Q-Dir
    2010-08-18 08:36 . 2008-09-25 15:35 181120 ----a-w- c:\windows\system32\drivers\ext2fs.sys
    2010-08-18 08:36 . 2008-08-28 20:45 51072 ----a-w- c:\windows\system32\drivers\ifsmount.sys
    2010-08-18 08:36 . 2008-07-26 21:56 210432 ----a-w- c:\windows\system32\ifsdrives.dll
    2010-08-18 08:18 . 2010-08-18 08:18 -------- d-----w- c:\programme\HDD Health
    2010-08-18 07:55 . 2010-08-18 08:06 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Auslogics
    2010-08-18 07:43 . 2010-08-18 07:43 -------- d--h--w- c:\windows\PIF
    2010-08-18 07:43 . 2010-08-18 19:51 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
    2010-08-18 07:42 . 2010-08-18 07:42 -------- d-----w- c:\programme\Auslogics
    2010-08-18 07:16 . 2010-08-18 07:16 -------- d-----w- c:\programme\MeinPlatz
    2010-08-18 06:57 . 2010-08-18 06:57 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Uniblue
    2010-08-18 06:57 . 2010-08-18 06:57 -------- d-----w- c:\programme\Uniblue
    2010-08-17 15:01 . 2010-08-17 15:01 170080 ----a-w- c:\windows\system32\drivers\snapman.sys
    2010-08-17 15:00 . 2010-08-17 15:00 -------- d-----w- c:\programme\Acronis
    2010-08-17 14:59 . 2010-08-17 15:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
    2010-08-17 14:13 . 2010-08-17 14:29 -------- d-----w- c:\programme\WinDirStatPortable
    2010-08-17 11:05 . 2010-08-18 19:55 -------- d-----w- c:\windows\system32\drivers\NIS
    2010-08-17 11:05 . 2010-08-17 11:05 -------- d-----w- c:\programme\Windows Sidebar
    2010-08-17 11:04 . 2010-08-20 08:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
    2010-08-17 11:03 . 2010-08-20 08:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
    2010-08-16 15:07 . 2010-08-16 15:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Crowns Cup

    .
    (((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-20 20:42 . 2006-11-12 21:47 -------- d-----w- c:\programme\Mozilla Thunderbird
    2010-08-20 09:54 . 2010-06-28 17:47 283984 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
    2010-08-20 08:55 . 2007-01-14 16:46 -------- d-----w- c:\programme\iTunes
    2010-08-20 08:06 . 2004-08-04 12:00 545532 ----a-w- c:\windows\system32\perfh007.dat
    2010-08-20 08:06 . 2004-08-04 12:00 115742 ----a-w- c:\windows\system32\perfc007.dat
    2010-08-19 21:58 . 2006-04-30 06:33 63576 ----a-w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
    2010-08-19 11:43 . 2006-04-24 15:51 -------- d-----w- c:\programme\ltmoh
    2010-08-17 10:52 . 2006-10-03 14:18 -------- d---a-w- c:\programme\Rad.RoutenPlaner. 2.0
    2010-08-16 09:19 . 2006-05-13 08:56 -------- d-----w- c:\programme\StarOffice7
    2010-08-16 08:51 . 2009-11-27 10:24 -------- d-----w- c:\programme\OFFICE11
    2010-07-25 10:31 . 2006-05-05 21:02 -------- d-----w- c:\programme\CyberLink
    2010-07-25 10:31 . 2006-04-24 15:46 -------- d--h--w- c:\programme\InstallShield Installation Information
    2010-07-21 17:51 . 2006-12-19 23:20 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Audacity
    2010-07-01 19:35 . 2010-07-01 19:35 228024 ----a-w- c:\windows\system32\klogon.dll
    2010-07-01 19:14 . 2010-07-01 19:14 68256 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files\Kaspersky Internet Security 2011 11.0.1.400\German\setup.exe
    2010-07-01 06:06 . 2010-07-01 06:06 1037648 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
    2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
    2010-06-30 05:06 . 2010-06-30 05:06 271696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\sys_critical_obj.dll
    2010-06-24 12:15 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
    2010-06-24 12:15 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
    2010-06-24 12:15 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
    2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
    2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
    2010-06-19 02:15 . 2010-06-19 02:15 152576 ------w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
    2010-06-18 23:54 . 2006-04-24 13:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-06-17 14:03 . 2004-08-04 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll
    2010-06-14 14:31 . 2006-04-24 13:29 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
    2010-06-14 07:41 . 2004-08-04 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
    2010-06-09 15:43 . 2010-06-09 15:43 11352 ----a-w- c:\windows\system32\drivers\kl2.sys
    2010-06-09 15:43 . 2010-06-09 15:43 132184 ----a-w- c:\windows\system32\drivers\kl1.sys
    2010-06-03 02:41 . 2010-06-03 02:41 3600384 ----a-w- c:\windows\system32\GPhotos.scr
    2008-03-17 09:50 . 2008-03-17 09:50 59163944 ------w- c:\programme\iTunes.lnk
    2007-03-18 08:41 . 2007-03-18 08:41 430 ----a-w- c:\programme\Verknüpfung mit MSN.lnk
    2007-01-04 11:32 . 2007-01-04 11:32 486 ----a-w- c:\programme\Verknüpfung mit DiMAGE Viewer.lnk
    2006-12-19 23:14 . 2006-12-19 23:05 2823446 ------w- c:\programme\audacity-win-unicode-1.3.2.exe
    2006-11-12 21:45 . 2006-11-12 21:44 6331904 ----a-w- c:\programme\Thunderbird-Install.exe
    2006-05-13 10:18 . 2006-05-13 10:18 476 ----a-w- c:\programme\Verknüpfung mit StarOffice7.lnk
    2003-06-01 05:00 . 2006-05-13 09:03 7055 ----a-w- c:\programme\readme.html
    2003-06-01 05:00 . 2006-05-13 09:03 7024 ----a-w- c:\programme\readme.txt
    2003-06-01 05:00 . 2006-05-13 09:03 4842 ----a-w- c:\programme\license.html
    2003-06-01 05:00 . 2006-05-13 09:03 4483 -c--a-w- c:\programme\license.txt
    .

    (((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\tbWinl.dll" [2010-03-17 2355224]

    [HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
    2010-03-17 13:45 2355224 ----a-w- c:\programme\Winload\tbWinl.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\programme\Winload\tbWinl.dll" [2010-03-17 2355224]

    [HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\0UserInfoTip]
    @="{7C150640-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150640-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1UserInfoTip]
    @="{7C150641-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150641-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2UserInfoTip]
    @="{7C150642-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150642-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3UserInfoTip]
    @="{7C150643-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150643-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4UserInfoTip]
    @="{7C150644-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150644-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5UserInfoTip]
    @="{7C150645-44FB-4BCE-9D48-45C49FB3560E}"
    [HKEY_CLASSES_ROOT\CLSID\{7C150645-44FB-4BCE-9D48-45C49FB3560E}]
    2009-04-18 06:55 3297280 ----a-w- c:\programme\AksLab\UserInfoTip\utinfo_23.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RegistryBooster"="c:\programme\Uniblue\RegistryBooster\launcher.exe" [2010-07-13 67448]
    "HDDHealth"="c:\programme\HDD Health\hddhealth.exe" [2008-04-12 1687552]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-22 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-22 126976]
    "SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 1388544]
    "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-05 98394]
    "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-05 688218]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 88361]
    "LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2004-08-17 184320]
    "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-10-25 282624]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
    "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
    "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
    "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-16 32768]
    "AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-07-01 357096]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
    Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-4 110592]
    Mozilla Thunderbird.lnk - c:\programme\Mozilla Thunderbird\thunderbird.exe [2006-11-12 8319560]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\mmc.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Programme\\Mozilla Firefox\\firefox.exe"=
    "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
    "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
    "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
    "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\ChannelEditor\\CinergyDvrChannelEditor.exe"=
    "c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
    "c:\\Programme\\iTunes\\iTunes.exe"=

    R0 R592;R592;c:\windows\system32\drivers\R592.sys [24.04.2006 17:51 54912]
    R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [18.08.2010 10:36 181120]
    R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [18.08.2010 10:36 51072]
    R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 17:43 11352]
    R1 StarPortLite;StarPort Storage Controller (Lite);c:\windows\system32\drivers\StarPortLite.sys [19.07.2009 13:00 95592]
    R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [25.04.2006 08:32 4300]
    R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [02.09.2009 14:34 61440]
    R2 OS Selector;Acronis OS Selector Activator;c:\programme\Acronis\DiskDirector\OSS\reinstall_svc.exe [25.05.2010 19:53 2155848]
    R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.04.2006 10:33 37568]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 12:06 32856]
    R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
    S3 AVerAF15;AVerMedia BDA Digital Tuner;c:\windows\system32\drivers\AVerAF15.sys [15.06.2008 17:04 269056]
    S3 el575nd5;3Com Megahertz 10/100-LAN-CardBus-PC-Kartentreiber;c:\windows\system32\drivers\el575ND5.sys [25.04.2006 11:22 69692]
    S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;c:\windows\system32\drivers\fpcmbase.sys [25.04.2006 10:33 441728]
    S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [02.09.2009 14:34 17280]
    S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [02.09.2009 14:34 17152]
    S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [02.09.2009 14:33 17536]
    S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.07.2009 13:00 721904]
    .
    Inhalt des "geplante Tasks" Ordners

    2010-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]

    2010-08-20 c:\windows\Tasks\RegistryBooster.job
    - c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-08-18 05:45]

    2010-08-20 c:\windows\Tasks\WGASetup.job
    - c:\windows\system32\KB905474\wgasetup.exe [2010-06-20 20:18]
    .
    .

    Mehr passt nicht auf diese Seite - der zweite Teil folgt.
    In der Zwischenzeit ist der undefinierte Bereich bis zur Schmerzgrenze gewachsen. Weiß schon nicht mehr was ich auslagern soll.
    Aber ich bin mit eurer Hilfe guter Hoffnung.

    Undefinierter Bereich

    Hallo,
    hier folgt Teil 2 des log.txt von Combifix (ich denke an Handwerker mit Rohrzange).


    ------- Zusätzlicher Suchlauf -------
    .
    uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
    uDefault_Search_URL = hxxp://www.google.com/ie
    mStart Page = hxxp://alice.aol.de
    uInternet Connection Wizard,ShellNext = iexplore
    uInternet Settings,ProxyOverride = <local>
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\2aobccj8.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}
    FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
    FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2319825&SearchSource=13
    FF - prefs.js: network.proxy.type - 4
    FF - component: c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
    FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
    FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

    ---- FIREFOX Richtlinien ----
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
    c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
    c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - Entfernte verwaiste Registrierungseinträge - - - -

    HKLM-Run-AVStation premium - c:\programme\Samsung\AVStation premium\bin\AVStation agent.exe
    AddRemove-Microsoft .NET Framework 2.0 - c:\windows\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
    AddRemove-Microsoft .NET Framework 3.0 - c:\windows\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
    AddRemove-ToolBox - c:\programme\NCH Swift Sound\ToolBox\uninst.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
    Rootkit scan 2010-08-20 22:42
    Windows 5.1.2600 Service Pack 3 NTFS

    Scanne versteckte Prozesse...

    Scanne versteckte Autostarteinträge...

    Scanne versteckte Dateien...

    Scan erfolgreich abgeschlossen
    versteckte Dateien: 0

    **************************************************************************
    .
    --------------------- Durch laufende Prozesse gestartete DLLs ---------------------

    - - - - - - - > 'explorer.exe'(2436)
    c:\programme\AksLab\UserInfoTip\utinfo_23.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Weitere laufende Prozesse ------------------------
    .
    c:\programme\Java\jre6\bin\jqs.exe
    c:\programme\Analog Devices\SoundMAX\SMAgent.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\AGRSMMSG.exe
    c:\programme\iPod\bin\iPodService.exe
    c:\programme\Uniblue\RegistryBooster\registrybooster.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Zeit der Fertigstellung: 2010-08-20 22:50:09 - PC wurde neu gestartet
    ComboFix-quarantined-files.txt 2010-08-20 20:50

    Vor Suchlauf: 584.740.864 Bytes frei
    Nach Suchlauf: 1.233.432.576 Bytes frei

    WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

    - - End Of File - - 90D0F5FF1B00FEA895404F186329B8F0olgt Teil 2 des log.txt von combifix:
    Guten Abend :)

    Bei dir ist Malware aktiv ja. Speichere mal deine wichtigsten Daten auf einem Wechselmedium (USB Sticks etc) wir werden nämlich hier etwas "hart ran gehen".

    Wie heisst der Bereich, wo sich alle die Daten ansammeln? Berichte mal soviel darüber wie möglich, damit ich mir ein Bild machen kann.
    Seit wann besteht das Problem?
    Hallo GAV,

    über den Bereich, wo sich der Datenwust versteckt hat, lässt sich nach dem Combifix-Lauf endlich sagen, dass das ein restore-Bereich in der System Volume Information ist. 47 GB bei einer Festplatte von 75 GB. Vorher stand im WinDir Stat-Bericht nur <unbekannt>. Ich weiß nicht mehr genau, wann das angefangen hatte. Irgendwann, ich glaube ungefähr im Mai oder Juni war die Festplatte voll und die entsprechende Meldung kam für mich überraschend. Mitte Juni ist dann, vermutlich bei einem Virenlöschversuch mit Avira, das ganze System abgestürzt und ließ sich nicht mehr hochfahren. Ein Bekannter hat dann in den Registries geforscht und das Ganze mit einer alten Registry wieder zum Laufen gebracht. Seitdem stehen 4 restore- Einträge in der System Volume Information. Der betreffende restore-Bereich hat nach dem Explorer aber nur 3,5 GB.
    Reicht das fürs Erste?
    Vielen Dank schon mal.

    bachstelz schrieb:

    Hallo GAV,
    Reicht das fürs Erste?
    Vielen Dank schon mal.


    Ja. System Restore ist ein automatischer Windows Dienst zur Wiederherstellung des Systems. Das hört sich bei dir aber nicht normal an.

    Bitte poste ein OTL Log:
    virenschutz.info/forum/board5-…ise/864-anleitung-zu-otl/
    Deiner Antwort als Textanhang anhängen, oder direkt reinposten.

    Führe bitte auch das durch:
    windows-tweaks.info/html/nosysrec.html (Metode 1) = Systemwiederherstellung auf allen Laufwerken deaktivieren

    Schalte danach den PC aus. Warte 1.min und schalte ihn wieder an. Aktiviere die Windows Systemwiederherstellung wieder und erstelle dann einen neuen Wiederherstellungspunkt.
    Warum hast du es nicht gemacht? Die Systemwiederherstellung speichert alle Daten in sogenannten "Systemwiederherstellungspunkten" ab. Irgendwann ist es dann voll und muss gelehrt werden. Da Malware bei dir aktiv war und sich ebenfalls im "System Restore" abgespeichert hat, solltest du unbedingt die gesamten Systemwiederherstellungspunkte leeren, so wie ich es beschrieben habe.

    Bei dir waren Trojaner und Backdoor Malware aktiv, ist es zum Teil immer noch, du solltest dich also entweder an meine Anweisungen halten oder das Betriebssystem von Grund auf neu aufsetzen.

    Zu deinem Verständnis:
    de.wikipedia.org/wiki/Schadprogramm
    de.wikipedia.org/wiki/Systemwiederherstellung

    grüsse
    GAV
    Hallo GehirnAntiVirus,
    ich habe jetzt per Hand alle Restore-Bereiche gelöscht und einen neuen Systemwiederherstellungspunkt gesetzt. Die Festplatte ist wieder frei. Als Skeptiker warte ich morgen noch ab, aber soweit, wie ich das Problem jetzt verstehe, sieht es gut aus. Bin beeindruckt, wie du mich durch das Schlamassel geführt hast.
    Vielen Dank :imsohappy:

    bachstelz schrieb:

    Hallo GehirnAntiVirus,
    ich habe jetzt per Hand alle Restore-Bereiche gelöscht und einen neuen Systemwiederherstellungspunkt gesetzt. Die Festplatte ist wieder frei. Als Skeptiker warte ich morgen noch ab, aber soweit, wie ich das Problem jetzt verstehe, sieht es gut aus. Bin beeindruckt, wie du mich durch das Schlamassel geführt hast.


    Wie schon gesagt, das Problem ist damit noch lange nicht beseitigt.
    Auf deinem System lief über längere Zeit aktive Malware/Schadprogramme. Nachdem ich mir die OTL Logs angeschaut habe kann ich sagen, dass bei dir ein sogenannter Backdoor aktiv ist:
    de.wikipedia.org/wiki/Backdoor
    Jemand hat also vollen Zugriff auf dein System.
    Sicherheitseinstellungen sind bei dir manipuliert worden, das Sicherheitscenter deaktiviert etc.

    Ich rate dir deswegen dringend den PC neuaufzusetzen!
    Anleitungen:
    computerhilfen.de/info/windows-xp-neu-installieren.html
    pctipp.ch/forum/showthread.php?t=519
    pcfreunde.de/artikel/a128/windows-xp-neu-installieren/

    Wenn du das nicht möchtest sollten wir den PC weiter bereinigen. Das ist ein Prozess, der 1-2 Tage dauern kann und aus mehreren Scans und Bereinigungsvorgängen besteht.
    In dem jetzigen Zustand ist dieser PC für Online Geschäfte nicht geeignet und deine Daten nicht sicher.

    Dazu wichtige Info:
    sicher-im-netz.de/privatnutzer/191.aspx

    grüsse
    GAV

    bachstelz schrieb:

    Hallo GAV,
    ich habe mir einige Hinweise durchgelesen und das hat mir die Angst vor einem Neuaufspielen des Systems genommen. Scheint mir jetzt wirklich der sinnvollste Schritt zu sein und ein klarer Schnitt. Vielen Dank noch mal für deine Hilfe.
    Gruß von bachstelz


    Sehr vernünftig. :ok:

    Bedenke:
    Daten/Wechselmedien/USB Sticks etc... die du gerettet hast können die Infektion enthalten. Gehe so vor:

    > Nachdem du neuaufgesetzt hast spiele alle Windows Updates ein und installiere ein Antivirenprogramm auf dem neusten Stand.
    > Dann deaktiviere die Autorun Funktion von dem Computer mit diesem Tool:
    panda-usb-vaccine.softonic.de/
    Danach deaktiviere die Autorun Funktion der Wechselmedien.
    > Erst wenn das geschehen ist steckte die Wechselmedien an den Computer und scanne sie mit 2-4 Antimalware/antiviren Programmen auf Schädlinge. Wenn sie geprüft worden sind kannst du sie ohne Sorge, den Computer erneut zu infizieren, auf den Computer übertragen.


    > Ändere alle deine Passwörter wenn der PC neuaufgesetzt wurde.

    Bleibe Malware/Virus frei in der Zukunft!
    sicher-im-netz.de/privatnutzer/Sicherheitscheck.aspx

    grüsse
    GAV