|
Log-Analyse und Auswertung: Smitfraud-C. & Virtumonde & Virtumonde.genericWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.11.2008, 14:34 | #1 |
| Smitfraud-C. & Virtumonde & Virtumonde.generic Hallo, ich habe laut Spybot und AdAware die Malware Smitfraud-C. sowie Virtumonde. Ich bekomme beides nicht herunter von meinem System. Ich habe mich schon versucht schlau zu machen, aber mit den bisherigen Anleitungen bin ich bisher gescheitert. Die Smitfraudfix.exe sowie die von Symantec angebotene virtumondfix.exe funktionieren jedenfalls nicht. Da ich mein System gerade neu aufgesetzt habe, möchte ich nicht unbedingt wieder eine Neuinstallation durchführen. Ich hoffe hier kann mir jemand helfen. Das wäre super. Hier kommt mein HijackThis logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:21:21, on 28.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\TpShocks.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\Programme\Lenovo\HOTKEY\TPONSCR.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Lenovo\Zoom\TpScrex.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\System32\TPHDEXLG.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe C:\Programme\Lenovo\System Update\SUService.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/ O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Bar] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226961314428 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB35D719-E31A-470B-B05B-C067DC58F210}: NameServer = 134.147.222.4,134.147.32.40 O20 - AppInit_DLLs: jjjftm.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - C:\Programme\Lenovo\System Update\SUService.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe -- End of file - 10817 bytes Danke! |
28.11.2008, 15:07 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud-C. & Virtumonde & Virtumonde.generic Hallo,
__________________Was heußt "gerade" aufgesetzt? Wie lang ist das her und wie hast Du es geschafft Dir wieder die Pest ins System zu holen? Wenn man neu aufsetzt, schmeißt man logischerweise alle ausführbaren Dateien aus dem versifften System weg (z.B. von anderen Partionen). hast Du das auch gemacht? Code:
ATTFilter C:\Programme\Spybot - Search & Destroy\TeaTimer.exe Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!! 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
28.11.2008, 17:38 | #3 |
| Smitfraud-C. & Virtumonde & Virtumonde.generic Hallo,
__________________vielen Dank für die schnelle Antwort. Ich habe alles soweit abgearbeitet und alle erstellten files gezippt und hochgeladen. Könntest Du oder jemand anders sich vielleicht noch einmal alles anschauen? Das wäre wirklich sehr nett! Danke! http://www.file-upload.net/download-1282564/Logifles.zip.html |
28.11.2008, 18:20 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud-C. & Virtumonde & Virtumonde.generic Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=- Collect:: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cmwwexowcr.tmp C:\WINDOWS\system32\xxyxWqoP.dll C:\WINDOWS\Tasks\PMTask.job C:\WINDOWS\Tasks\SA.DAT c:\windows\qfe7.tmp c:\windows\qfe8.tmp c:\windows\system32\drivers\Tppwrif.sys Dirlook:: c:\dokumente und einstellungen\Administrator\(null) 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
28.11.2008, 23:02 | #5 |
| Smitfraud-C. & Virtumonde & Virtumonde.generic Hallo, Ich habe den AdAware Prozess im TaskManager gelöscht, sowie Antivir und Spybot und die Windows Firewall beendet. Diesen blöden TeaTimer habe ich nicht beendet, da ich den im TaskManager nicht gefunden habe. Ehrlich gesagt,, weiß ich auch nicht so genau wie ich den De-Installieren kann ohne Spybot komplett zu deinstallieren. Über die Systemsteuerung geht es jedenfalls nicht. Hier kommt das neue logfile in 2 Teilen Code:
ATTFilter ComboFix 08-11-27.07 - Administrator 2008-11-28 22:46:10.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1562 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\qfe7.tmp c:\windows\qfe8.tmp c:\windows\system32\drivers\Tppwrif.sys c:\windows\Tasks\PMTask.job c:\windows\Tasks\SA.DAT . ((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-28 )))))))))))))))))))))))))))))) . 2008-11-28 17:15 . 2008-11-28 17:15 <DIR> d-------- c:\programme\CCleaner 2008-11-28 15:36 . 2008-11-28 15:36 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-11-28 15:36 . 2008-11-28 15:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-11-28 15:36 . 2008-11-28 15:36 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2008-11-28 15:36 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-28 15:36 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-28 14:43 . 2008-11-28 14:43 <DIR> d-------- c:\windows\Content.IE5 2008-11-28 14:20 . 2008-11-28 14:20 <DIR> d-------- c:\programme\Trend Micro 2008-11-28 11:53 . 2008-11-28 12:39 3,936 --a------ c:\windows\system32\tmp.reg 2008-11-28 10:34 . 2008-11-28 10:34 <DIR> d-------- c:\programme\Lavasoft 2008-11-28 10:34 . 2008-11-28 10:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-11-28 10:12 . 2008-11-28 10:12 95 --a------ c:\windows\wininit.ini 2008-11-28 09:59 . 2008-11-28 10:18 <DIR> d-------- c:\programme\Spybot - Search & Destroy 2008-11-28 09:59 . 2008-11-28 17:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-11-27 21:00 . 2008-11-27 21:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations 2008-11-27 00:35 . 2008-11-27 00:35 69 --a------ c:\windows\NeroDigital.ini 2008-11-27 00:06 . 2008-11-27 00:06 <DIR> d-------- C:\Temp 2008-11-27 00:06 . 2008-11-27 00:06 115,016 --a------ c:\windows\system32\MSINET.OCX 2008-11-27 00:06 . 2008-11-27 00:06 29,184 --a------ c:\windows\system32\MSINET.oca 2008-11-27 00:06 . 2008-11-27 00:06 2,407 --a------ c:\windows\system32\MSINET.DEP 2008-11-26 23:59 . 2008-11-26 23:59 <DIR> d-------- c:\windows\Sun 2008-11-26 23:33 . 2008-11-26 23:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\(null) 2008-11-26 15:19 . 2008-11-26 15:19 26,648 --a------ c:\windows\FontData.fdb 2008-11-26 15:18 . 2008-11-26 15:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Corel 2008-11-25 13:43 . 2001-08-17 13:56 7,552 --a------ c:\windows\system32\drivers\SONYPVU1.SYS 2008-11-25 13:43 . 2001-08-17 13:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys 2008-11-19 22:26 . 2008-11-19 22:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM 2008-11-19 22:25 . 2008-04-14 00:17 25,856 --a------ c:\windows\system32\drivers\usbprint.sys 2008-11-19 22:25 . 2008-04-14 00:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys 2008-11-19 22:25 . 2008-04-14 00:15 15,104 --a------ c:\windows\system32\drivers\usbscan.sys 2008-11-19 22:25 . 2008-04-14 00:15 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys 2008-11-19 22:24 . 2008-11-19 22:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\CANON 2008-11-19 22:21 . 2008-11-19 22:21 <DIR> d--h----- c:\windows\system32\CanonIJ Uninstaller Information 2008-11-19 22:21 . 2008-11-19 22:21 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2008-11-19 22:21 . 2007-03-23 08:30 1,400,832 --a------ c:\windows\system32\CNC610C.DLL 2008-11-19 22:21 . 2007-04-15 21:00 215,040 --a------ c:\windows\system32\CNMLM93.DLL 2008-11-19 22:21 . 2007-04-13 06:46 200,704 --a------ c:\windows\system32\CNC610L.DLL 2008-11-19 22:21 . 2007-03-15 06:12 188,416 --a------ c:\windows\system32\CNC610O.DLL 2008-11-19 22:21 . 2007-03-23 08:29 98,304 --a------ c:\windows\system32\CNC610I.DLL 2008-11-19 22:20 . 2008-11-19 22:20 <DIR> d--h----- c:\programme\CanonBJ 2008-11-19 22:19 . 2008-11-19 22:26 <DIR> d-------- c:\programme\Canon 2008-11-19 22:09 . 2008-11-19 22:09 26 --a------ C:\UpdaterforApp.ini 2008-11-19 22:08 . 2008-11-19 22:09 <DIR> d-------- c:\programme\Gemeinsame Dateien\ArcSoft 2008-11-19 22:08 . 2005-04-27 16:36 245,408 --a------ c:\windows\system32\unicows.dll 2008-11-19 22:08 . 2007-03-07 16:05 126,976 --a------ c:\windows\system32\MediaImpression Slideshow.scr 2008-11-19 22:08 . 2005-02-23 14:58 11,776 --a------ c:\windows\system32\drivers\afc.sys 2008-11-19 22:07 . 2008-11-19 22:08 <DIR> d-------- c:\windows\system32\MediaImpression Slideshow 2008-11-19 22:07 . 2008-11-19 22:07 <DIR> d-------- c:\programme\ArcSoft 2008-11-19 22:07 . 2008-11-19 22:07 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Panasonic 2008-11-19 22:01 . 2008-11-27 00:30 <DIR> d-------- c:\programme\Jdownloader 2008-11-19 21:55 . 2008-11-19 21:55 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-11-19 21:55 . 2005-03-07 19:44 45,056 --a------ c:\windows\system32\PhDi2.sys 2008-11-19 21:53 . 2008-11-19 21:53 <DIR> d-------- c:\programme\Java 2008-11-19 21:53 . 2008-11-19 21:53 410,976 --a------ c:\windows\system32\deploytk.dll 2008-11-19 21:53 . 2008-11-19 21:53 73,728 --a------ c:\windows\system32\javacpl.cpl 2008-11-19 21:51 . 2008-11-19 21:55 <DIR> d-------- c:\programme\Panasonic 2008-11-19 16:48 . 2008-11-26 15:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Corel 2008-11-19 16:46 . 2008-11-19 16:46 <DIR> d-------- c:\programme\Gemeinsame Dateien\Corel 2008-11-19 16:45 . 2008-11-19 16:45 <DIR> d-------- c:\programme\Corel 2008-11-19 15:43 . 2008-11-20 14:53 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\EndNote 2008-11-19 15:21 . 2008-11-19 15:21 <DIR> d-------- c:\programme\Formosoft 2008-11-19 15:21 . 2007-12-14 14:30 1,024,000 --a------ c:\windows\AquaReal2.scr 2008-11-19 15:21 . 2007-10-16 11:33 282,624 --a------ c:\windows\system32\AquaReal2.ocx 2008-11-19 15:21 . 2002-10-21 12:47 28,672 --a------ c:\windows\SNVerifyDLL.dll 2008-11-19 13:32 . 2008-11-19 13:32 <DIR> d-------- c:\programme\Activision 2008-11-19 13:27 . 2008-11-19 13:27 <DIR> d--hs---- c:\windows\ftpcache 2008-11-19 12:39 . 2003-06-25 16:05 266,360 --a------ c:\windows\system32\TweakUI.exe 2008-11-19 12:39 . 2002-06-21 15:09 160,217 --a------ c:\windows\system32\PowerToysLicense.rtf 2008-11-19 12:30 . 2008-11-19 12:30 <DIR> d-------- c:\dokumente und einstellungen\TCad\test 2008-11-19 12:20 . 2008-11-17 23:00 <DIR> d--h----- c:\dokumente und einstellungen\TCad\Vorlagen 2008-11-19 12:20 . 2008-11-17 22:54 <DIR> dr------- c:\dokumente und einstellungen\TCad\Startmenü 2008-11-19 12:20 . 2008-11-17 22:54 <DIR> d--h----- c:\dokumente und einstellungen\TCad\Netzwerkumgebung 2008-11-19 12:20 . 2008-11-28 17:29 <DIR> d--h----- c:\dokumente und einstellungen\TCad\Lokale Einstellungen 2008-11-19 12:20 . 2008-11-19 12:20 <DIR> dr------- c:\dokumente und einstellungen\TCad\Favoriten 2008-11-19 12:20 . 2008-11-19 12:20 <DIR> dr------- c:\dokumente und einstellungen\TCad\Eigene Dateien 2008-11-19 12:20 . 2008-11-17 22:54 <DIR> d--h----- c:\dokumente und einstellungen\TCad\Druckumgebung 2008-11-19 12:20 . 2008-11-19 12:20 <DIR> dr-h----- c:\dokumente und einstellungen\TCad\Anwendungsdaten 2008-11-19 12:20 . 2008-11-19 12:30 <DIR> d-------- c:\dokumente und einstellungen\TCad 2008-11-18 23:32 . 2008-11-18 23:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc 2008-11-18 19:15 . 2008-11-18 19:15 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Intel 2008-11-18 19:15 . 2008-11-18 19:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Intel 2008-11-18 15:38 . 2008-11-18 15:38 <DIR> d-------- c:\programme\MSXML 4.0 2008-11-18 15:33 . 2008-01-21 17:43 4,244,744 --a------ c:\windows\system32\qtp-mt334.dll 2008-11-18 15:33 . 2008-01-21 17:43 247,560 --a------ c:\windows\system32\prgiso.dll 2008-11-18 15:33 . 2007-11-06 09:06 131,672 --a------ c:\windows\system32\drivers\Uim_IM.sys 2008-11-18 15:33 . 2007-11-06 09:06 39,472 --a------ c:\windows\system32\drivers\hotcore3.sys 2008-11-18 15:33 . 2007-11-06 09:06 32,080 --a------ c:\windows\system32\drivers\UimBus.sys 2008-11-18 15:33 . 2008-01-21 17:43 13,576 --a------ c:\windows\system32\wnaspi32.dll 2008-11-18 15:33 . 2007-11-06 09:06 11,568 --a------ c:\windows\system32\drivers\UimFIO.sys 2008-11-18 15:32 . 2008-11-18 15:33 <DIR> d-------- c:\programme\Paragon Software 2008-11-18 15:26 . 2008-11-18 15:26 <DIR> d-------- c:\windows\system32\XPSViewer 2008-11-18 15:26 . 2008-11-18 15:26 <DIR> d-------- c:\programme\Reference Assemblies 2008-11-18 15:26 . 2008-11-18 15:26 <DIR> d-------- c:\programme\MSBuild 2008-11-18 15:25 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2008-11-18 15:22 . 2008-11-18 15:23 <DIR> d-------- c:\programme\Winamp 2008-11-18 15:22 . 2008-11-27 00:09 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp 2008-11-18 15:14 . 2008-11-18 15:14 <DIR> d-------- c:\programme\RSA SecurID Token Common 2008-11-18 15:14 . 2008-11-18 15:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software 2008-11-18 15:14 . 2008-11-18 15:14 <DIR> d-------- c:\programme\Gemeinsame Dateien\SPBA 2008-11-18 15:13 . 2008-11-18 15:15 <DIR> d-------- c:\programme\ThinkVantage Fingerprint Software 2008-11-18 15:13 . 2008-11-18 15:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\UIB 2008-11-18 15:02 . 2008-11-18 15:02 <DIR> d-------- c:\programme\WiQuest 2008-11-18 14:56 . 2008-08-19 21:15 991,656 --a------ c:\windows\system32\drivers\btkrnl.sys 2008-11-18 14:56 . 2007-09-20 11:59 106,557 --a------ c:\windows\system32\btw_ci.dll 2008-11-18 14:32 . 2008-11-18 14:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero 2008-11-18 14:19 . 2008-11-18 14:19 4,767 --a------ c:\windows\Irremote.ini 2008-11-18 14:17 . 2008-11-18 14:17 <DIR> d-------- c:\programme\Windows Sidebar 2008-11-18 14:07 . 2008-11-18 14:18 <DIR> d-------- c:\programme\Nero 2008-11-18 14:07 . 2008-11-18 14:26 <DIR> d-------- c:\programme\Gemeinsame Dateien\Nero 2008-11-18 14:07 . 2008-11-18 14:12 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2008-11-18 12:31 . 2008-11-18 12:31 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SecuROM 2008-11-18 12:31 . 2008-11-18 12:32 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Bioshock 2008-11-18 12:30 . 2008-11-18 12:30 108,144 --a------ c:\windows\system32\CmdLineExt.dll 2008-11-18 12:20 . 2008-11-18 12:30 <DIR> d-------- c:\programme\2K Games 2008-11-18 12:07 . 2008-11-18 12:07 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Leadertech 2008-11-18 12:01 . 2008-11-18 12:01 <DIR> d-------- c:\programme\EA Sports 2008-11-18 11:50 . 2008-08-15 20:12 11,520 --a------ c:\windows\system32\drivers\ANC.sys 2008-11-18 11:50 . 2008-08-15 20:12 4,224 --a------ c:\windows\system32\drivers\IBMBLDID.sys 2008-11-18 09:20 . 2008-11-18 09:20 <DIR> d-------- c:\programme\Skype 2008-11-18 09:20 . 2008-11-18 09:22 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2008-11-18 09:16 . 2008-11-18 09:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-11-18 09:09 . 2008-11-18 09:09 <DIR> d-------- c:\windows\Logs 2008-11-18 09:09 . 2008-11-18 09:09 <DIR> d-------- c:\programme\Electronic Arts 2008-11-18 09:09 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll 2008-11-18 09:09 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-19 21:07 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-18 13:57 --------- d-----w c:\programme\Lenovo 2008-11-18 13:56 --------- d-----w c:\programme\ThinkPad 2008-11-17 23:39 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2008-11-17 23:00 --------- d-----w c:\programme\Intel 2008-11-17 22:59 21,361 ----a-w c:\windows\system32\drivers\AegisP.sys 2008-11-17 22:59 21,361 ----a-w c:\windows\AegisP.sys 2008-11-17 22:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel 2008-11-17 22:38 --------- d-----w c:\programme\Gemeinsame Dateien\Lenovo 2008-11-17 22:28 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avaya 2008-11-17 22:28 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avaya 2008-11-17 22:14 --------- d-----w c:\programme\Avira 2008-11-17 22:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-11-17 22:05 --------- d-----w c:\programme\microsoft frontpage 2008-11-17 22:03 --------- d-----w c:\programme\Online-Dienste 2008-11-17 22:02 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2008-11-17 21:58 --------- d-----w c:\programme\CONEXANT 2008-11-17 21:58 --------- d-----w c:\programme\Analog Devices 2008-11-17 21:57 --------- d-----w c:\programme\Synaptics 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-09-25 00:47 16,384 ------w c:\windows\PWMBTHLP.EXE . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\dokumente und einstellungen\Administrator\(null) ---- 2008-11-26 23:33 127 --a------ c:\dokumente und einstellungen\Administrator\(null)\tvtsched.log ((((((((((((((((((((((((((((( snapshot@2008-11-28_17.28.47.81 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-28 21:49:13 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_280.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-16 13537280] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-07-03 1323008] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-04-24 1036288] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464] "PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-09-25 331776] "BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-09-25 208896] "TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352] "ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-08-15 425984] "ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-08-15 143360] "Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-19 136600] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-16 86016] "nwiz"="nwiz.exe" [2008-07-16 c:\windows\system32\nwiz.exe] "TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] 2008-06-24 17:31 95496 c:\windows\system32\psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2006-09-06 16:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2008-03-17 16:02 34080 c:\programme\Lenovo\HOTKEY\tphklock.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify] 2008-08-15 21:37 32768 c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnmkJyV] [BU] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli ACGina psqlpwd [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PHOTOfunSTUDIO -viewer-.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO -viewer-.lnk backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Wireless USB Control Center.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Wireless USB Control Center.lnk backup=c:\windows\pss\Wireless USB Control Center.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0] --a------ 2006-10-22 23:24 620152 c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD] --a------ 2008-11-18 02:01 454144 c:\programme\SlySoft\AnyDVD\AnyDVD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service] --a------ 2007-10-11 08:45 31232 c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter] --a------ 2007-04-03 17:50 1603152 c:\programme\Canon\MyPrinter\BJMYPRT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu] --a------ 2007-05-14 17:01 644696 c:\programme\Canon\SolutionMenu\CNSLMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-08-08 13:11 490952 c:\programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSQLLauncher] --a------ 2008-06-24 16:46 49928 c:\programme\ThinkVantage Fingerprint Software\launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 15:09 413696 c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-08-04 00:02 36352 c:\programme\Winamp\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\CambridgeSoft\\ChemOffice2005\\ChemDraw\\ChemDraw.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"= "c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2008-11-18 39472] R0 Shockprf;Shockprf;c:\windows\system32\DRIVERS\Apsx86.sys [2008-05-14 114728] R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\DRIVERS\ApsHM86.sys [2008-05-14 19496] R1 ANC;ANC;c:\windows\system32\drivers\ANC.SYS [2008-11-18 11520] R1 IBMTPCHK;IBMTPCHK;\??\c:\windows\system32\Drivers\IBMBLDID.sys [2008-11-18 4224] R1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [2008-05-12 13480] R2 ACDaemon;ArcSoft Connect Daemon;c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe [2008-11-19 51712] R2 IJPLMSVC;PIXMA Extended Survey Program;c:\programme\Canon\IJPLM\IJPLMSVC.EXE [2008-11-19 101528] R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0;c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe [2008-09-24 935208] R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-11-17 94208] R2 smihlp;SMI Helper Driver (smihlp);\??\c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2008-06-24 12560] S1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\Tppwrif.sys [] S3 NETw5x32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit;c:\windows\system32\DRIVERS\NETw5x32.sys [2008-06-25 3630080] . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{314cdfc5-16f5-4619-bc55-c06cce53c372} - (no file) BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file) BHO-{75DCD274-641A-4BB5-B93A-EE521E015712} - (no file) BHO-{BAC3A09F-7577-483B-87D8-35016144662D} - (no file) ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-28 22:49:27 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(968) c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll c:\windows\system32\psqlpwd.dll c:\programme\ThinkVantage Fingerprint Software\homefus2.dll c:\programme\ThinkVantage Fingerprint Software\infql2.dll c:\programme\ThinkVantage Fingerprint Software\homepass.dll c:\programme\ThinkVantage Fingerprint Software\bio.dll c:\programme\ThinkVantage Fingerprint Software\qlbase.dll c:\programme\Lenovo\HOTKEY\tphklock.dll |
28.11.2008, 23:05 | #6 |
| Smitfraud-C. & Virtumonde & Virtumonde.generic Und hier der 2. Teil Code:
ATTFilter - - - - - - - > 'lsass.exe'(1024) c:\programme\ThinkPad\ConnectUtilities\ACGina.dll c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll c:\programme\ThinkPad\ConnectUtilities\ACON.dll c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll c:\windows\system32\psqlpwd.dll c:\programme\ThinkVantage Fingerprint Software\homefus2.dll c:\programme\ThinkVantage Fingerprint Software\infql2.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Lavasoft\Ad-Aware\aawservice.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe c:\windows\system32\nvsvc32.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\system32\TPHDEXLG.exe c:\windows\system32\TpKmpSvc.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\windows\system32\wdfmgr.exe c:\programme\Lenovo\System Update\SUService.exe c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe c:\windows\system32\rundll32.exe c:\programme\Synaptics\SynTP\SynTPLpr.exe c:\windows\system32\rundll32.exe c:\programme\Lenovo\HOTKEY\TPONSCR.exe c:\programme\Lenovo\ZOOM\TpScrex.exe c:\windows\system32\rundll32.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-11-28 22:51:41 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-11-28 21:51:39 ComboFix2.txt 2008-11-28 16:29:02 Vor Suchlauf: 13 Verzeichnis(se), 62.836.957.184 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 62,821,412,864 Bytes frei 354 --- E O F --- 2008-11-19 01:05:48 PS: Kurz nach dem Ausführen der ComboFix.exe öffnen sich immer ein paar Fenster von Programmen, die sich a) nicht schließen lassen oder b) nicht im Speicher ausgeführt werden können. Ich hoffe das hat nichts zu bedeuten... |
30.11.2008, 21:17 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Smitfraud-C. & Virtumonde & Virtumonde.genericZitat:
Gibts ansonsten noch Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
01.12.2008, 10:13 | #8 |
| Smitfraud-C. & Virtumonde & Virtumonde.generic Hi, vielen Dank nochmals für Deine Hilfe. Mein System scheint jetzt einwandfrei zu sein (bis auf ein agressives Doubleclick Cookie (iGoogle?)). Danke! |
Themen zu Smitfraud-C. & Virtumonde & Virtumonde.generic |
ad-aware, adobe, antivir, antivirus, avg, avira, canon, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, lenovo, malware, monitor, mozilla, neu aufgesetzt, object, pdf-datei, registry, rundll, senden, software, symantec, temp, thinkvantage registry monitor service, virtumonde, windows, windows xp, windows xp sp3, xp sp3 |