Hallo zusammen,

habe soeben mit großem Schrecken festgestellt, dass ich mir anscheinend ntos.exe eingefangen habe, hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 19:57:28, on 04.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgttry.exe
C:\WINDOWS\TEMP\162.tmp
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Rootkit_Detective.exe
C:\Programme\McAfee\Managed VirusScan\Agent\MyUsrSrv4.7.0.538.exe
C:\Marion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.domain.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.domain.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.domain.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.domain.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.domain.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"
O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v902/Navigram.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programme\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.538.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - Unknown owner - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


Habe verzweifelt gegoogelt, weil ich bitte, bitte bitte nicht das System neu aufsetzten will , und die Sparkasse meint folgendes zur Hilfe:
"Installation des kostenlosen Tools "McAfee Rootkit Detective 1.0". Dieses Tool erkennt die "WSNPOEM"-Variante und benennt die Datei "ntos.exe" und den wsnpoem-Ordner im laufenden System um. Nach einem System-Neustart ist die Datei ntos.exe nicht mehr aktiv und kann durch einen Virenscanner gelöscht werden."

Was meint ihr dazu? Der Detective hat in \system32 sowohl ntos.exe als auch wsnpoem.exe gefunden, und bietet mir an, sie umzubenennen. Also einfach umbenennen, und dann löschen?

Vielen lieben Dank im voraus,

Mala

Du hast einen Z-Bot auf dem Rechner und noch andere Schadsoftware.
Man kann hier eine Bereigung versuchen, das hängt von Dir ab. Ansonsten wäre der "saubere" Weg eine Neuinstallation des Systems.
Wie auch immer solltest Du von einem anderen Rechner aus

• Alle auf Deinem Rechner benutzten Kennwörter ändern!
• Falls Du OnlineBanking betreibst, die Kontobewegungen prüfen
• Für alle Spiele Accounts, Kreditkarten etc. die Zugangsdaten ändern oder das Konto auf Veränderungen prüfen.

Wie willst Du vorgehen?

Noch mehr? Auf die automatische Auswertung bei hijackthis.de kann man sich wohl nicht verlassen, der hat nur den ntos gefunden... verdammt!

Hab leider nur den einen Rechner mit Internetzugang hier, von daher werd ich wohl erst säubern (oder neu aufsetzen) müssen, und schau mir dann an, wie groß die Katastrophe ist?

Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du (Sie? Kenne die Etikette hier nicht ), ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?

Oh je... mir ist schon ganz schlecht.

Zitat:

Zitat von Malachyt

Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du (Sie? Kenne die Etikette hier nicht ), ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?

Ich misch mich mal ein

Zeitaufwand bei einer Bereinigung wäre enorm, und die Chancen auf ein vollständig sauberes System gering.

Zeitaufwand bei einer Neuinstallation ist mäßig, Chancen auf ein saubers System 99.9%.

Außerdem wäre für eine "nicht-Fachfrau" es deutlich einfacher neuaufzusetzen, da man keine 20 Anleitungen für irgendwelche Programme durchackern muss.

lg

Darf sich jeder gerne einmischen, bin um jede Hilfe froh! Auch wenn's genau die Antwort war, die ich nicht haben wollte ... :-)

Hoffe ja, dass mir jemand sagen kann, dass der Detective für den ntos.exe idiotensicher und schnell funktioniert, und dass das mit dem z-bot (was das ist, werd ich gleich mal googeln) mit weniger als 20 Programmen lösbar sein könnte!

Wenn nicht, werd ich wohl in den saueren Apfel beißen müssen. Ohjemmine.

Zitat:

Zitat von Malachyt

Also, wenn ich irgendwie um die Neuinstallation rumkommen würde, wäre schon toll. Funktioniert denn der McAfee-Detective für den ntos? Und was schätzt du, ist der Zeitaufwand/Komplikationsgrad (bin nicht gerade Fachfrau, falls das noch nicht rübergekomme ist) für Neuaufsetzen oder Säubern höher?

Weißt Du, gerade für Leute wie Dich ist eine Neuinstallation der bessere Weg, weil Du eben nicht beurteilen kannst, was letztlich auf Deinem System passiert.

ComboFix

• Download ComboFix von hier oder hier auf Deinen Desktop.
• Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
  (Auch Guards von Ad-, Spyware Programmen!)
  
• Doppelklicke die combofix.exe.
• Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:

• Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
  Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
• Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
• Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
• Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
• Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
• Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Zitat:

Darf sich jeder gerne einmischen, bin um jede Hilfe froh! Auch wenn's genau die Antwort war, die ich nicht haben wollte ... :-)

Zitat:

Hoffe ja, dass mir jemand sagen kann, dass der Detective für den ntos.exe idiotensicher und schnell funktioniert, und dass das mit dem z-bot (was das ist, werd ich gleich mal googeln) mit weniger als 20 Programmen lösbar sein könnte!

Dieser ZBot ist eine sogenannter Backdoor. Dieser baut wie der Name schon sagt eine Hintertür in deinen Rechner ein. Durch diese Hintertür hat er die volle Kontrolle über deinen Rechner. Dieser Rechner ist dann kompromittiert.
Diese Rechner werden zu Botnetzen zusammengefasst, und für DDoS, Spam, weiterverbreitung von Viren, weiterverbreitung von Pornographie, usw. genutzt. Dies macht dich auch strafbar, da du für dein System verantwortlich bist.

Ich hoffe ich habs verständlich formuliert

lg

@BataAlexander:
Vielen lieben Dank für den Ansatz mit ComboFix. Ich hab jetzt wirklich lange überlegt, was ich tun soll, und mich schlussendlich doch zum Neuaufsetzen entschieden, auch wenn mir das eine Heidenangst macht. Sorry, falls ich Dich viel Zeit/Nerven gekostet habe.

@SkY/Heike:
Auch Euch Dankeschön - werd dann mal mein Bestes geben... Oh je.

Die bessere Entscheidung!

Drucke dir am besten wie Anleitung aus, dürfte schonmal Nervern sparen

Mir zittern dermaßen die Nerven, das glaubt ihr nicht...

(Jetzt bin ich auch noch am hysterisch werden, ob ich nicht am besten gleich bei der hotline anrufen soll, und meine Konten sperren lasse.
Und wenn ich dann noch so Sachen wie das hier lese, will ich am liebsten gar nicht mehr ins Internet:
hxxp://www.viruslist.com/de/viruses/encyclopedia?virusid=164339#doc3 )

Das wird 'ne lange Nacht werden... jetzt erst mal alle Daten sichern.

hey, nur Mut, ist gar nicht so schwierig viel Erfolg

Konto sperren lassen ist eine sehr gute Idee. Vermutlich werden Daten für dein Konto bereits gehandelt. Minimum: Mit der Bank sprechen: Die sollten genauer sagen können, was zu tun ist um das Konto zu sichern.

Hallo zusammen,

also: gestern Daten gesichert, todmüde ins Bett gefallen. Heute, mehr oder minder gewappnet für Neuinstallation, aus Neugier den Detective von McAfee nochmal rüberlaufen lassen - der hat die ntos.exe nicht mehr gefunden. Ist auch nicht mehr im systems32-Ordner zu sehen. Was noch da ist, ist der wsnpoem-Ordner mit audio.dll, audio.dll.cla, und video.dll. Neues Log gemacht, und im Vergleich zum gestrigen hat sich auffälligerweise diese Zeile verändert:
von
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
zu
F2 - REG:system.ini: UserInit=userinit.exe

Heißt das jetzt, dass der Trojaner verschwunden ist? Auch wenn ich mir nicht erklären kann, warum? Oder versteckt er sich jetzt woanders? Hier mal das komplette log nochmal von heute morgen:


Logfile of HijackThis v1.99.1
Scan saved at 10:46:22, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtTry.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\McAfee\Managed VirusScan\Agent\HtmlDlg.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Marion\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"
O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'spacklsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://*.mcafee.com
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - http://www.navigram.com/engine/v902/Navigram.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - https://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Programme\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.538.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - Unknown owner - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" /ServiceStart (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



Hab McAfee auch nochmal scannen lassen, und der fand noch:
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\7svehqo5.default\Cache\C2152591d01\PSEXEC.CFEXE RemAdm-ProcLaunch!171 Bedrohung erkannt
bzw.
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\7svehqo5.default\Cache\C2152591d01 RemAdm-ProcLaunch!171 Bedrohung erkannt

Sind das Überreste von ComboFix?


Sehr, sehr verwirrend das ganze. Was meint ihr dazu?