Rundll Fehler beim Start

[bia]

Hallo Petra,

hier kommen die logfiles von OTM

Code:

All processes killed
========== SERVICES/DRIVERS ==========
Service gupdate stopped successfully!
Service gupdate deleted successfully!
Service gusvc stopped successfully!
Service gusvc deleted successfully!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C7A8947-5935-4430-AC0E-E7D04697414E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C7A8947-5935-4430-AC0E-E7D04697414E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CD9B7762-DFBC-42B1-BB30-02A78287B456}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CD9B7762-DFBC-42B1-BB30-02A78287B456}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Cmaudio deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Google Update deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R315HDHY\incredimail_install[1].exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Programme\IncrediMail\bin\ImApp.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Programme\IncrediMail\bin\IncMail.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\Programme\IncrediMail\bin\ImpCnt.exe deleted successfully.
========== FILES ==========
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1074358938-3361624219-3833329287-1009Core.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1074358938-3361624219-3833329287-1009UA.job moved successfully.
C:\Programme\eBay folder moved successfully.
C:\Programme\Supreme Auction\htdocs\app\preview folder moved successfully.
C:\Programme\Supreme Auction\htdocs\app folder moved successfully.
C:\Programme\Supreme Auction\htdocs folder moved successfully.
C:\Programme\Supreme Auction folder moved successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T7BYHZI9 folder moved successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N17RYK99 folder moved successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4QCC5ZM0 folder moved successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2HUJNX11 folder moved successfully.
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5 folder moved successfully.
File/Folder C:\Programme\IncrediMail not found.
File/Folder C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\IncrediMail not found.
File/Folder C:\Programme\Google\Update not found.
File/Folder C:\Programme\Google\Common\Google Updater not found.
File/Folder C:\Programme\Google\GoogleToolbarNotifier not found.
File/Folder C:\Programme\Buyertools Reminder not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Besitzer
 
User: Bianka
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Christian
->Temp folder emptied: 541026 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 53659407 bytes
->Google Chrome cache emptied: 0 bytes
 
User: Cont
 
User: DAT.70
 
User: Daten
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Karten
 
User: ktelnet
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Service
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 255 bytes
RecycleBin emptied: 58531 bytes
 
Total Files Cleaned = 52,00 mb
 
 
OTM by OldTimer - Version 3.1.8.0 log created on 02102010_181322

Files moved on Reboot...

Registry entries deleted on Reboot...

und eset

Code:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=a3b8ed249c319e46bd8758f0f69944b4
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-02-10 09:26:13
# local_time=2010-02-10 10:26:13 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 213727 213727 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=1024 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775141 100 94 301332 65323695 13913 0
# compatibility_mode=8192 67108863 100 0 3701 3701 0 0
# scanned=80156
# found=1
# cleaned=0
# scan_time=5340
C:\WINDOWS\system32\user32.DLL	Win32/Pinit virus (error while cleaning)	00000000000000000000000000000000	I

Leider hat sich zwischendurch ein automat. sicherheitsupdate von windows runtergeladen - ist das ein problem für den weiteren Verlauf?
Gruß Bia

[Petra]

Da ist eine wichtige Systemdatei (C:\WINDOWS\system32\user32.DLL) ist mit einem Wurm infiziert, der versucht, sich auch in freigegebene Netzwerkordner einzunisten. Prüfen wir daher zuerst, ob Du Ordner in Deinem Netzwerk freigegeben hast und welche das sind. Schreibe mir die Pfade zu den ggfs. freigegebenen Ordner auf. Wie Du diese findest, beschreibe ich hier:

Freigegebene Ordner und Dateien finden und schließen

1. Wie finde ich alle freigegebenen Dateien und Ordner auf meinem Computer?
   
   Klicke auf den Start-Button in der Taskleiste und wähle die Option "Systemsteuerung"
   
   Klicke dort auf die Option "Verwaltung". Klicke weiter auf "Computerverwaltung" => "Freigegebene Ordner" => "Freigaben".
   
   Im rechten Fenster siehst Du unter dem Listungsbegriff "Freigegebene Ordner" alle Dateien und Ordner, die Du freigegeben hast. Außerdem kannst Du auch alle Laufwerke erkennen, die auf dem Computer eingerichtet sind.
   
   Standardmäßig sieht das so ungefähr aus (je nachdem, welche Laufwerke Du hast, kann das natürlich variieren).
   
   
   
   Windows zeigt hier meisten auch an, dass alle Laufwerke freigegeben sind, obwohl diese faktisch nicht im Netzwerk verfügbar sind. Diese Laufwerkfreigaben kannst Du nur verändern, wenn Du mit einem Administratorzugang angemeldet sind, ist aber nicht nötig.
   
   Neben den Datei- und Ordnernamen findest Du die Pfade, in denen sich die Daten befinden.
   Somit kannst Du systematisch alle Dateien im Explorer aufrufen und per Rechtsklick => Eigenschaften => Freigabe - wieder schließen. Hierzu müssen die Häkchen im Feld "Netzwerkfreigabe und -sicherheit" entfernt und die Änderung mit dem "Übernehmen-Button" bestätigt werden.
   
   Alternativ kannst Du auch einen Rechtsklick auf den freigegebenen Ordner machen und "Freigabe aufheben" wählen.
   
   
   
2. Können im Netzwerk Daten auch ohne Schreibrechte kopiert werden?
   
   Ja das geht. Falls ein Netzwerk nur zur Datenübertragung genutzt werden soll, empfiehlt es sich, die Daten nur zum Lesen freizugeben. Dafür darf nur die Option: "Diesen Ordner im Netzwerk freigeben" aktiviert sein, d. h. die Option "Netzwerkbenutzer dürfen Dateien verändern" (Schreibzugriff) muss deaktiviert sein. Die Daten können dann von einem auf den anderen Computer kopiert werden - wobei das Original nicht verändert werden.
   
   
   
3. Kann ich auch ohne freigegebene Ordner im Netzwerk spielen?
   
   Ja auch das geht. Hier musst Du nur die Einrichtungsbedingungen erfüllen, die von Deinem LAN-Spiel vorgegeben werden. Die meisten LAN-Spiele richten die für das LAN benötigte Optionen automatisch bei der Installation des Spiels ein.

[bia]

Bei mir ist nichts freigegeben. Einziger Eintrag ist IPC$ - Remote IPC ohne Pfadangabe wie in deinem Screenshot.

[Petra]

Ok, dann ist dieser Punkt schonmal geklärt .


Malware mit Combofix beseitigen

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Beachte die ausführliche Original-Anleitung.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme, die Firewall und evtl. vorhandenes Skript-Blocking (Norton) deaktivieren.
• Liste der zu deaktivierenden Programme.
  Bei Unklarheiten bitte vorher fragen.
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder ändern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Kurzanleitung zur Installation der Wiederherstellungskonsole und zur Anwendung

• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• Akzeptiere die Bedingungen (Disclaimer) mit "Ja".
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist.
  Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.

** Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.



Wenn ComboFix fertig ist, wird es ein Log erstellen (bitte warten, das dauert einen Moment).
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte poste die Log-Dateien C:\ComboFix.txt und C:\Qoobox\Add-Remove Programs.txt in Code-Tags hier in den Thread.

Hinweis: Combofix macht aus verschiedenen Gründen den Internet Explorer zum Standard-Browser und erstellt ein IE-Icon auf dem Desktop.
Das IE-Desktop-Icon kannst Du nach der Bereinigung wieder löschen und Deinen bevorzugten Browser wieder als Standard-Browser einstellen.

Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

[bia]

Hallo Petra,

hier sind die beiden logfiles von combofix

Code:

ComboFix 10-02-10.05 - Christian 11.02.2010  18:35:49.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.185 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Christian\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\ktelnet\install.EXE
c:\recycler\S-1-5-21-1057491725-2162016222-1206806088-1003
c:\recycler\S-1-5-21-1229272821-1035525444-725345543-1003
c:\recycler\S-1-5-21-1949673283-3933744078-1486438541-1003
c:\recycler\S-1-5-21-2333999278-3821286944-2310205013-1003
c:\recycler\S-1-5-21-243443352-3812564409-2618042254-1003
c:\recycler\S-1-5-21-280863972-2151071991-2918849962-1003
c:\recycler\S-1-5-21-343770581-2766360772-1918666347-1003
c:\recycler\S-1-5-21-3498418360-2830798129-3010883329-1003
c:\recycler\S-1-5-21-3771571472-1500045982-3366107920-1003
c:\recycler\S-1-5-21-3777030136-3872368677-1421298400-1003
c:\recycler\S-1-5-21-3960117514-2487068033-3288804938-1003
c:\recycler\S-1-5-21-4257380054-796467667-527934834-1003
c:\windows\system32\Thumbs.db
c:\windows\system32\zip32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-01-11 bis 2010-02-11  ))))))))))))))))))))))))))))))
.

2010-02-09 16:47 . 2010-02-09 16:47	--------	d-----w-	C:\_OTM
2010-02-09 16:45 . 2010-02-09 16:45	--------	d-----w-	c:\programme\ERUNT
2010-02-09 16:20 . 2010-02-09 16:20	--------	d-----w-	c:\programme\Sun
2010-02-09 16:20 . 2010-02-09 16:19	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-02-08 15:37 . 2010-02-08 15:37	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\Malwarebytes
2010-02-08 15:37 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-08 15:37 . 2010-02-08 15:37	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-02-08 15:37 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-02-08 11:11 . 2010-02-09 17:03	--------	d-----w-	C:\rsit
2010-02-08 09:35 . 2010-02-08 09:35	--------	d-----w-	c:\programme\Trend Micro
2010-02-07 14:39 . 2010-02-07 14:39	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
2010-02-07 13:50 . 2010-02-07 13:50	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\Apple Computer
2010-02-07 13:48 . 2010-02-07 13:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-02-07 13:47 . 2010-02-07 13:47	--------	d-----w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Apple
2010-02-07 13:47 . 2010-02-07 13:47	--------	d-----w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-02-06 14:11 . 2010-02-06 14:11	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-02-06 11:32 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-02-06 11:32 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-02-06 11:32 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-02-06 11:32 . 2010-02-06 11:32	--------	d-----w-	c:\programme\Avira
2010-02-06 11:32 . 2010-02-06 11:32	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-02-06 11:16 . 2010-02-06 11:16	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-02-04 19:59 . 2010-02-04 19:59	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-02-04 19:36 . 2010-02-04 19:36	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2010-02-01 17:03 . 2009-08-06 18:23	215920	----a-w-	c:\windows\system32\muweb.dll
2010-02-01 17:03 . 2009-08-06 18:23	274288	----a-w-	c:\windows\system32\mucltui.dll
2010-01-30 22:39 . 2010-01-30 22:39	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-01-30 22:35 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-01-30 22:14 . 2010-01-14 10:12	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-30 21:51 . 2010-01-30 21:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-27 15:43 . 2010-01-27 15:43	--------	d-----w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-01-26 10:53 . 2008-04-14 02:22	297472	-c--a-w-	c:\windows\system32\dllcache\termsrv.dll
2010-01-25 20:30 . 2010-01-25 20:34	--------	d-----w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Temp
2010-01-25 20:28 . 2010-01-25 20:29	--------	d-----w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\Deployment

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-11 14:45 . 2006-01-08 19:28	--------	d-----w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\phonostar-Player
2010-02-09 16:19 . 2004-08-24 18:27	--------	d-----w-	c:\programme\Java
2010-02-09 15:05 . 2003-12-13 14:34	69908	----a-w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\wklnhst.dat
2010-02-09 15:03 . 2004-03-13 12:45	--------	d-----w-	c:\programme\Preispiraten 2.0b
2010-02-09 15:02 . 2003-09-20 15:08	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-02-08 16:22 . 2008-04-14 03:23	79360	----a-w-	c:\windows\system32\tasklist.exe
2010-02-08 09:41 . 2009-08-07 08:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-02-07 13:49 . 2006-02-26 14:52	--------	d-----w-	c:\programme\QuickTime
2010-02-07 09:09 . 2003-09-27 10:36	--------	d-----w-	c:\programme\Medion Home Cinema XL II
2010-02-07 09:04 . 2003-12-18 19:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\Lexware
2010-02-02 20:47 . 2005-04-16 14:24	--------	d-----w-	c:\programme\Microsoft ActiveSync
2010-02-01 17:58 . 2003-09-20 23:42	83324	----a-w-	c:\windows\system32\perfc007.dat
2010-02-01 17:58 . 2003-09-20 23:42	454160	----a-w-	c:\windows\system32\perfh007.dat
2010-02-01 17:08 . 2008-12-21 11:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2010-02-01 16:45 . 2006-01-06 22:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-01-25 21:03 . 2009-11-26 21:36	1	----a-w-	c:\dokumente und einstellungen\Christian\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-18 11:43 . 2009-04-27 08:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJ
2009-12-31 16:50 . 2003-09-20 23:41	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:05 . 2004-08-23 18:35	916480	----a-w-	c:\windows\system32\wininet.dll
2009-12-17 07:40 . 2003-09-20 14:47	346624	----a-w-	c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2003-09-20 23:41	33280	----a-w-	c:\windows\system32\csrsrv.dll
2009-12-09 10:05 . 2002-08-29 03:41	2147840	----a-w-	c:\windows\system32\ntoskrnl.exe
2009-12-09 10:05 . 2002-08-29 03:41	2026496	----a-w-	c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2003-09-20 23:41	455424	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:11 . 2003-09-20 14:59	17920	----a-w-	c:\windows\system32\msyuv.dll
2009-11-27 17:11 . 2003-05-30 07:00	1297408	----a-w-	c:\windows\system32\quartz.dll
2009-11-27 16:08 . 2003-09-20 23:41	28672	----a-w-	c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2003-09-20 23:41	11264	----a-w-	c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2003-09-20 23:41	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2003-09-20 15:45	8704	----a-w-	c:\windows\system32\tsbyuv.dll
2009-11-27 16:08 . 2003-09-20 15:45	48128	----a-w-	c:\windows\system32\iyuv_32.dll
2009-11-27 14:54 . 2003-12-13 13:49	78472	----a-w-	c:\dokumente und einstellungen\Christian\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-21 15:54 . 2003-09-20 23:41	471552	----a-w-	c:\windows\AppPatch\aclayers.dll
2003-08-14 17:13 . 2003-09-22 20:55	40960	----a-w-	c:\programme\Uninstall_PCM.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2006-02-24 98304]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2006-02-24 143446]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSTA.EXE"="PRISMSTA.EXE START" [X]
"PCMService"="c:\programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 61440]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 335872]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 50688]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 145920]
"dvd43"="c:\programme\dvd43\dvd43_tray.exe" [2005-08-16 690176]
"vspdfprsrv.exe"="c:\programme\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 998912]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2006-11-17 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"Dit"="Dit.exe" [2002-08-28 73728]
"CHotkey"="mHotkey.exe" [2003-06-27 506368]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-03 1848648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Bianka\Startmen�\Programme\Autostart\
Registration-InstantCopy.lnk - c:\programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe [2002-9-26 245760]

c:\dokumente und einstellungen\Christian\Startmen�\Programme\Autostart\
Registration-InstantCopy.lnk - c:\programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe [2002-9-26 245760]
WkCalRem.LNK - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2003-7-23 24651]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Kontrollfeld f�r die kabellose Tastatur.lnk - c:\windows\CNYHKey.exe [2003-10-1 5798912]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\onlineTV 2\\onlineTV.exe"=
"c:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.02.2010 12:32 108289]
R2 ScFBPNT;CanoScan FBP Port Driver;c:\windows\system32\drivers\SCFBPNT.SYS [24.02.2007 22:02 16288]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [12.06.2003 07:47 24704]
S0 PDDSLHND;PDDSLHND; [x]
S3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\DRIVERS\PDDSLADP.SYS --> c:\windows\system32\DRIVERS\PDDSLADP.SYS [?]
S3 PDNETCTL;ProDyne MicroPPPoE;c:\windows\system32\DRIVERS\pdnetctl.sys --> c:\windows\system32\DRIVERS\pdnetctl.sys [?]
S3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\drivers\PRISMA00.sys [10.09.2003 12:22 362688]
.
Inhalt des "geplante Tasks" Ordners

2010-02-11 c:\windows\Tasks\User_Feed_Synchronization-{5EFC41CA-3905-40CE-BC27-D36CF38A5ED0}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: 	
TCP: {F8390EE1-4D3F-4AA4-B23F-AF346183D5CC} = 192.168.0.1
Handler: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - c:\programme\Haufe\HaufeReader\HRInstmon.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKU-Default-Run-Prngui - c:\dokumente und einstellungen\Christian\Anwendungsdaten\Adobe\Update\inxret.dat
AddRemove-{11CA6E01-3992-4115-AB6E-D325552C166D} - c:\programme\WEBDE\SmartSurfer3.0\SmurfUpd.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-11 18:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1074358938-3361624219-3833329287-1009\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2]
@DACL=(02 0000)
@SACL=
.
Zeit der Fertigstellung: 2010-02-11  18:43:27
ComboFix-quarantined-files.txt  2010-02-11 17:43

Vor Suchlauf: 14 Verzeichnis(se), 30.022.082.560 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 29.984.813.056 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 9843BA4E3596125D666F848632B9E714

und dass Add-remove Programs file

Code:

AFPL Ghostscript 8.11
AFPL Ghostscript Fonts
Ahead Nero OEM
AirPlus G
Alice-Installationsdateien entfernen
ANIO Service
ANIWZCS2 Service
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
C-Media 3D Audio
CA Licensing
Canon MP Navigator EX 2.0
Canon MP260 series Benutzerregistrierung
Canon MP260 series MP Drivers
Canon Utilities Easy-PhotoPrint EX
Canon Utilities My Printer
Canon Utilities Solution Menu
CFX Trader
concept/design onlineTV 3
Data Access Objects (DAO) 3.5
DAXA-Chart
Die schönsten Vornamen
DivX Codec
DVD43 v3.6.2
ERUNT 1.1j
eXPert PDF 4
Fibotrader
FIHALHOHI Screen Saver
FreePDF XP (Remove only)
Google Chrome
Google Update Helper
HaufeReader
HijackThis 2.0.2
Home Cinema XL II
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows XP (KB954550-v5)
HydraVision
Informationen über Ihren PC
Inkjet Printer/Scanner Extended Survey Program
InstantCopy
Java DB 10.5.3.0
Java(TM) 6 Update 18
Java(TM) SE Development Kit 6 Update 18
Karte Deutschland
Karte Spanien
klickTel Netzwerkversion - 32-Bit
Malwarebytes' Anti-Malware
Marco Polo Mobile Navigator
Medion Flash XL
MetaFrame Presentation Server Web Client for Win32
MGI PhotoSuite 8.1 (nur entfernen)
MGI VideoWave III (nur entfernen)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft ActiveSync 3.7
Microsoft Application Error Reporting
Microsoft AutoRoute v11.0
Microsoft Data Access Components KB870669
Microsoft Encarta Enzyklopädie 2004
Microsoft Office Excel Viewer 2003
Microsoft Office PowerPoint Viewer 2003
Microsoft Outlook 2002
Microsoft Picture It! Foto Premium 9
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (3.6)
MSN Messenger 6.0
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MUSICMATCH(R) Jukebox
MyFengShui
onlineTV 2
OpenOffice.org 3.1
optFOER
phonostar-Player Version 1.52.5
PowerCinema 2.0
PowerDirector
PowerDVD
PowerProducer
QuickTime
RealPlayer
RedMon - Redirection Port Monitor
ScanCraft CS-P
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956390)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958215)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960714)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB963027)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969897)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978706)
Ulead iPhoto Express 1.1
Update für Windows Internet Explorer 8 (KB971930)
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
USB Wireless Keyboard Driver Ver1.24M
Viewpoint Media Player
WEB.DE SmartSurfer AutoUpdate 3.1.1
WebFldrs XP
Windows-Sicherungsprogramm
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 8
Windows XP Service Pack 3
WISO Geld-Tipp Gehalt 2004
X10 Hardware(TM)

hat bisher ja alles prima geklappt - danke für die super Beschreibung...wie geht's nun weiter mit der Wurmbeseitigung?

[Petra]

===== Punkt 1 =====

1. Ist der Prodyne DSL Adapter (müsste von Alice sein) noch in Gebrauch?

2. Sind noch Produkte von CA installiert?
Falls nein, kannst Du CA Lincensing über Systemsteuerung => Software deinstallieren.

3. Wird dieses Programm noch benötigt?
WEB.DE SmartSurfer AutoUpdate 3.1.1

4. O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
Ist der Router noch in Gebrauch?

5. O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
Müsste auch irgendwas mit WLAN sein. Wird bei jeden Systemstart mitgestartet - ist das nötig?
Könnten auch zum D-Link gehören.




===== Punkt 2 =====

Unklar ist mir noch folgender Prozess, der beim Systemstart mitgestartet wird:
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START

Weißt Du, wozu der gehört? Falls nein, suchen wir die Datei und schauen sie uns näher an:

Scan mit SystemLook

Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks und Flash-Cards an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :filefind
  PRISMSTA.EXE
  
  :file
  C:\WINDOWS\system32\PRISMSTA.EXE

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

[bia]

zu Punkt 1: Diesen DSL Adapter (war von Alice) habe ich nicht mehr im Gebrauch
2. CA Produkte wußte ich gar nicht, dass sie installiert waren...geht auch nicht über Systemsteuerung -> Software zu deinstallieren...
3. Web.de smartsurfer brauche ich nicht
4. D-Link Router ist im Einsatz
5. Programm kenne ich auch nicht

hier noch das logfile von der datei prismsta, die ich auch nicht kenne...

Code:

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:30 on 12/02/2010 by Christian (Administrator - Elevation successful)

========== filefind ==========

Searching for "PRISMSTA.EXE"
C:\WINDOWS\system32\PRISMSTA.exe	--a--- 215552 bytes	[11:22 10/09/2003]	[13:54 04/08/2003] F7B5AD285E9A0E409A6E887E338B145E

========== file ==========

C:\WINDOWS\system32\PRISMSTA.EXE - File found and opened.
MD5: F7B5AD285E9A0E409A6E887E338B145E
Created at 11:22 on 10/09/2003
Modified at 13:54 on 04/08/2003
Size: 215552 bytes
Attributes: --a---
FileDescription: PRISM Status Tray Applet
FileVersion: 1.00.20
ProductVersion: 1.00.20.0083
OriginalFilename: PRISMSTA.exe
InternalName: PRISMSTA.exe
ProductName: PRISM Wireless LAN
CompanyName: Intersil Americas Inc.
LegalCopyright: Copyright © 2003, Intersil Americas Inc.
Comments: Developer build.		by : Administrator

-=End Of File=-

[Petra]

===== Punkt 1 =====

dann WEB.DE SmartSurfer AutoUpdate 3.1.1 über Systemsteuerung => Software deinstallieren.


===== Punkt 2 =====

CCleaner installieren und einstellen

• CCleaner ist ein Bereinigungstool, welches für Windows 98/NT4/ME/2000/XP/2003/Vista und Windows 7 geeignet ist.
• CCleaner löscht unnötige Dateien und säubert die Registrierung.
• Falls Du die aktuelle Version: 2.28.1091 schon hast, kannst Du den Download und die Installation natürlich überspringen.
• CCleaner (Slim ohne Toolbar) herunterladen und installieren.
• CCleaner starten und => unter options settings => german einstellen.
  
  
• Gehe auf den Button links oben Cleaner
  Reiter Windows => setze Häkchen wie folgt: alle anhaken außer Formulardaten
  und beim Unterpunkt Erweitert nur Haken bei Alte Prefetchdaten und Benutzerdefinierte Dateien und Ordner setzen.
  
• Wechsel zum Reiter Anwendungen =>
  dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) Gespeicherte Formulardaten.

Bestimmte Cookies von der Bereinigung ausschließen

Einstellungen => Cookies => Cookies, die Du behalten möchtest, mit dem Pfeilbutton in der Mitte nach rechts befördern. Auf diese Weise ist gesichert, dass wichtige Cookies bei der Bereinigung mit CCleaner nicht verloren gehen.


Temporäre Dateien und zusätzliche Ordner bereinigen lassen

Bitte sorgfältig darauf achten, dass die richtigen Ordner hinzugefügt werden!
Einstellungen => Benutzerdefiniert => Zu bereinigende Dateien und Ordner => Ordner hinzufügen =>

Code:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\*.* (falls vorhanden)
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\DeinBenutzername\Lokale Einstellungen\Temp\*.*
C:\Windows\Temp\*.*

Solltest Du die Ordner nicht finden, überprüfe, ob folgende Einstellungen zum Sichtbarmachen von Systemordnern und -Dateien richtig gesetzt sind.
Anstelle von "DeinBenutzername" nimmst Du den Usernamen, mit welchem Du Dich auf Deinem Rechner einloggst.

Starte nun die Bereinigung, indem Du auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". Achte hier mal darauf, wie viele MB bei der Bereinigung entfernt wurden und teile uns das mit.


Registry mit CCleaner bereinigen

Gehe links auf den Button "Einstellungen" und kontrolliere, ob bei "Erweitert" ein Haken bei "Zeige Aufforderung für ein Backup der Registry" vorhanden ist, falls nicht, bitte anhaken. Zur Registry-Bereinigung klicke links auf "Registry", setze alle Häkchen und starte die Suche unten mit dem Button "nach Fehlern suchen". Die gefundenen Fehler kannst Du durch den Button "Fehler beheben" entfernen lassen. Diesen Vorgang wiederholen, bis keine Fehler mehr gefunden werden. Den Rechner neu starten. Teile uns hier mit, wie viele Fehler bereinigt wurden.


Systemwiederherstellung mit CCleaner leeren

CCleaner starten => Extras => Systemwiederherstellung => Markiere alle Systemwiederherstellungspunkte bis auf den Neuesten (der ist grau hinterlegt, damit er nicht aus Versehen gelöscht werden kann) und drücke auf den Button entfernen. Damit werden alle alten Systemwiederherstellungspunkte gelöscht.

Alten Uninstall-Eintrag mit CCleaner entfernen

Vorischt: Mit dieser Funktion dürfen nur alte Uninstall-Einträge von Programmen entfernen werden, die bereits vorher ordentlich über Systemsteuerung => Software deinstalliert wurden, aber aus irgendeinem Grund einen nicht mehr nutzbaren Uninstall-Eintrag hinterlassen haben.

CCleaner starten => Extras => Programme deinstallieren => CA Licensing => Eintrag entfernen.
Wiederhole das mit dem WEB.DE SmartSurfer AutoUpdate 3.1.1


Uninstall-Liste mit CCleaner erstellen

Gehen wir zusammen die auf Deinem Rechner installierten Programme durch, fange wie folgt an:
Deinstalliere über Systemsteuerung => Software => Programme, die Du nicht mehr brauchst.
CCleaner starten => Extras => Programme deinstallieren => Als Textdatei speichern => diese Datei hier posten. Schreibe bitte "OK" bei den Programmen dahinter, die Dir bekannt sind und die Du selbst installiert hast. Schreibe "unbekannt" bei Programmen, die Dir gar nichts sagen.



===== Punkt 3 =====

Scan mit SystemLook

Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks und Flash-Cards an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind.

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
  Vista- und Windows 7-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
  
  
  Code:

  :dir
  C:\Dokumente und Einstellungen

• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

===== Punkt 4 =====

Combofix mit Skript laufen lassen

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code:

   Driver::
   PDDSLADP
   PDNETCTL
   PDDSLHND
   
   Folder::
   C:\Programme\CA

2. Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
   .
   
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
   Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
   Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

[bia]

Habe schon bei 1 . ein Problem, da der web.de smartsurfer nicht in der Software-Liste zu Deinstallation erscheint....kommt das wie CA dann in Combofix?

[Petra]

Versuche mal folgendes: Doppelklick auf die C:\Programme\WEBDE\SmartSurfer3.0\SmurfUpd.exe - was passiert? Gibt es so die Möglichkeit der Deinstallation?