keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung

nochdigger · 12.02.2009, 18:29

Hallo

Zitat:

Hm, du meinst also ich kann mir das ganze Gescanne und Gefixe eigentlich stecken, weil immer das Restrisiko besteht, dass sich irgendwo doch nochwas versteckt?

Fast, ich hab damit gemeint, ich würde dem System mein Geld nicht mehr anvertrauen und ja, es kann immer etwas unentdecktes zurückbleiben.
Wenn ihr/du keine Bankgeschäfte über den Rechner macht und es keine Hochsensiblen Daten auf dem System gibt, kann man eine Bereinigung überlegen, deine Entscheidung.

Zitat:

Ich schreckte bisher vor der schnurstracksen Neuaufsetzung zurück, da ich nicht sicher war, inwiefern sämtliche Backups Malware enthalten können und somit das System von Beginn an verseuchen.

das kann man evtl. anhand eines Combofix Logs ersehen.
Wenn du weiter bereinigen möchtest, kommt es eh zum Einsatz.

Zitat:

Ich denke da an Lesezeichen, Emails, Bilder, Musik, Filme. Kann man diese Dateien denn sicher auf der externen Platte untersuchen, bevor man sie ins System zurückkopiert?

Ziemlich sicher da die Dateien dann ja inaktiv auf der Platte liegen, d.h. bei dem Rootkit z.B. ist der Treiber zum "verstecken" nicht geladen.
Ein aktuelles Antivirenprogramm und ein zweiter Scanner ohne Hintergrundwächter z.B.
BitDefender 10 Free Edition
oder
Kaspersky - AVP Tool
so würde ich es machen, man kann aber im Vorwege viele Probleme ausschließen in dem man keine ausführbaren Dateien
und Dateien aus unsicheren Quellen wie P2P mitsichert.

Zitat:

Kannst du außerdem einen Link oder eine Anleitung posten wie man in Zukunft ev. selbst mit den logs umgehen kann?

Es gibt zu HijackThis eine Onlineauswertung die einen groben Überblick verschafft, wenn man aber ungeübt ist, kann man sich, mit etwas Mühe, das gesamte System zerlegen.
HijackThis Logfileauswertung
im Zweifel bitte immer in einem der genannten Foren nachfragen.

MFG

sfc4 · 13.02.2009, 15:48

Ok, selbst wenn also alles sauber scheint, könnte irgendein Programm noch sensible Daten nach draußen übermitteln?
Kann das dann nicht eventuell durch eine Firewall verhindert werden? Oder ist das alles etwas zu blauäugig gedacht?
Wie lautet das weitere Vorgehen für einen Säuberungsversuch?

Falls es zum Zurücksetzen auf Auslieferungszustand kommt: Wie verfahre ich jetzt genau mit den Daten? Nach der Neuaufsetzung die externe Festplatte mit welchen Programmen scannen?
BitDefender und Kaspersky?
Was jetzt runterladen und per Stick o.ä. vor dem ersten Internetzugang installieren?

Danke vielmals!

Robert

nochdigger · 13.02.2009, 16:34

Hallo

das sind ne Menge Fragen

Zitat:

Zitat von sfc4

Ok, selbst wenn also alles sauber scheint, könnte irgendein Programm noch sensible Daten nach draußen übermitteln?

Die Wahrscheinlichkeit ist zwar gering, es könnte aber sein.

Zitat:

Zitat von sfc4

Kann das dann nicht eventuell durch eine Firewall verhindert werden? Oder ist das alles etwas zu blauäugig gedacht?

Auf einem vorgeschädigtem System macht die installation keinen wirklichen Sinn, da Systemdateien z.B. häufig Netzzugriff verlangen und diese Dateien Manipuliert sein könnten.

Zitat:

Zitat von sfc4

Wie lautet das weitere Vorgehen für einen Säuberungsversuch?

Zunächst sollte Combofix ins Rennen geschickt werden und einige andere Tools, dazu aber mehr wenn es soweit ist.

Zitat:

Zitat von sfc4

Falls es zum Zurücksetzen auf Auslieferungszustand kommt: Wie verfahre ich jetzt genau mit den Daten?

Zitat:

Zitat von sfc4

Ich denke da an Lesezeichen, Emails, Bilder, Musik, Filme.

Das alles kann gesichert werden, bei den E-Mails würde ich allerdings die Anhänge genauer unter die Lupe nehmen.

Zitat:

Zitat von sfc4

Nach der Neuaufsetzung die externe Festplatte mit welchen Programmen scannen?
BitDefender und Kaspersky?

Sind beide ähnlich gut, ich hätte den Kasper genommen.
Wenn die Wechseldatenträger (MP3-Player, USB-Stick, externe Festplatte und Handy) ans frische System angeschlossen werden, sollte die Shift-Taste gedrückt sein, um eine Neuinfektion über die Autorunfunktion zu verhindern.
Diese Datenträger müssen natürlich auch geprüft werden.

Zitat:

Zitat von sfc4

Was jetzt runterladen und per Stick o.ä. vor dem ersten Internetzugang installieren?

Aber bitte auf einen sauberen Rechner runterladen

- Antivirenprogramm
- Servicepack 3 -> Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- Treiber für die Hardware wenn nicht vorhanden -> http://www.trojaner-board.de/63543-a...ibersuche.html

Die erste Seite im Netz sollte zu erst und mit dem InternetExplorer angesteuert werden.
Microsoft Windows Update
alle verfügbaren Updates installieren.
Anschließend kann man bei Adobe und Java vorbeischauen.

Zitat:

Zitat von sfc4

Danke vielmals!

Robert

Bitte

Weiter mit Combofix?

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

sfc4 · 13.02.2009, 18:17

Sehr ausführliche Antwort!
Habe erstmal bei der Säuberung weitergemacht, nach CCleaner spuckt Combofix folgendes aus:

Code:

ATTFilter

ComboFix 09-02-12.03 - Robert *** 2009-02-13 17:49:53.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3062.2327 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Robert ***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2009-01-13 bis 2009-02-13  ))))))))))))))))))))))))))))))
.

2009-02-13 17:28 . 2009-02-13 17:28	<DIR>	d--------	c:\programme\CCleaner
2009-02-12 14:17 . 2009-02-12 14:24	<DIR>	d--------	c:\programme\PC Security Test 2008
2009-02-12 11:21 . 2009-02-12 11:21	118	--a------	c:\windows\system32\MRT.INI
2009-02-12 01:20 . 2009-02-12 01:20	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-05 17:38 . 2009-02-12 00:47	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 17:38 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-05 14:31 . 2009-02-05 14:31	<DIR>	d--------	c:\programme\ClearProg
2009-02-03 14:01 . 2009-02-12 12:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-03 14:01 . 2009-01-18 22:30	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\programme\Avira
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-15 12:51 . 2009-01-15 12:51	410,984	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-13 16:54	0	----a-w	c:\windows\system32\drivers\lvuvc.hs
2009-02-13 16:54	0	----a-w	c:\windows\system32\drivers\logiflt.iad
2009-02-13 16:41	---------	d-----w	c:\programme\Trillian
2009-02-13 16:41	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Skype
2009-02-13 16:39	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\uTorrent
2009-02-13 15:09	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\skypePM
2009-02-13 13:03	---------	d-----w	c:\programme\LingoPad
2009-02-12 11:29	---------	d-----w	c:\programme\Lavasoft
2009-02-11 18:01	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 10:42	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-20 20:31	---------	d-----w	c:\programme\Cisco Systems VPN Client
2009-01-15 11:51	---------	d-----w	c:\programme\Java
2009-01-10 13:14	---------	d-----w	c:\programme\PokerStars
2009-01-09 19:37	---------	d-----w	c:\programme\Valve
2009-01-09 03:24	---------	d-----w	c:\programme\RegCleaner
2009-01-09 02:19	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Hamachi
2009-01-09 01:36	25,280	----a-w	c:\windows\system32\drivers\hamachi.sys
2009-01-04 16:24	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular
2009-01-04 15:41	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-01-04 15:41	---------	d-----w	c:\programme\ElsterFormular
2008-12-29 15:23	---------	d-----w	c:\programme\Gemeinsame Dateien\Logitech
2008-12-25 13:12	---------	d-----w	c:\programme\Unreal Tournament
2008-12-24 22:47	---------	d-----w	c:\programme\Quake III Arena
2008-12-24 22:13	---------	d-----w	c:\programme\Mplayer
2008-12-16 18:36	---------	d-----w	c:\programme\MediaMonkey
2003-06-26 10:19	6,598,656	----a-w	c:\programme\SAM.exe
2003-06-24 20:38	727,552	----a-w	c:\programme\mp3cutter.exe
2003-04-03 11:23	386,870	-c--a-w	c:\programme\SAM_Help_.chm
2003-04-02 14:21	905,216	-c--a-w	c:\programme\LocADO.dll
2003-04-02 13:39	641,536	-c--a-w	c:\programme\AOHikerdb.dll
2008-09-02 13:31	32,768	-csha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090220080903\index.dat
.

------- Sigcheck -------

2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\explorer.exe
2007-06-13 14:10  1036288  331ed93570baf3cfe30340298762cd56	c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6	c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-04 12:00  1035264  22fe1be02eadde1632e478e4125639e0	c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TabletWizard"="c:\windows\help\SplshWrp.exe" [2008-04-14 16384]
"TabletTip"="c:\programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" [2008-04-14 271872]
"TrackPointSrv"="c:\programme\Lenovo\TrackPoint\tp4serv.exe" [2008-03-04 92960]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]
"GzSndExePath"="c:\program files\Gunze\GZTP_Pack\GzSnd.exe" [2006-09-12 237568]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"IBMTBCTL"="c:\program files\ThinkPad\Tablet Shortcut\IBMTBCTL.EXE" [2007-10-29 782336]
"TSMResident"="c:\program files\ThinkPad\Tablet Shortcut\TSMRESIDENT.EXE" [2007-10-29 45056]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2008-06-09 165208]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 487424]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-08-15 143360]
"Snippet"="c:\programme\Microsoft Enhancement Pack\Snipping Tool\SnippingTool.exe" [2005-10-31 68312]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2008-07-31 60192]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-08-15 425984]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"LPMailChecker"="c:\progra~1\THINKV~2\PrdCtr\LPMLCHK.exe" [2008-06-09 124248]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-09-25 331776]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-09-25 208896]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-05 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-05 137752]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"openvpn-gui"="c:\programme\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-10-17 c:\windows\system32\TP4EX.exe]
"WD Button Manager"="WDBtnMgr.exe" [2008-04-02 c:\windows\system32\WDBtnMgr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-08-18 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-02-15 50688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EnableAutoTray"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-08-16 18:07 49152 c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]
2008-04-14 03:22 47104 c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\loginkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 15:54 89600 c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 16:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 19:14 28672 c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]
2002-08-29 03:43 11776 c:\windows\system32\tabbtnwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]
2008-04-14 03:22 32256 c:\windows\system32\tpgwlnot.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli ACGina psqlpwd

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HotSync Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HotSync Manager.lnk
backup=c:\windows\pss\HotSync Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Robert ***^Startmenü^Programme^Autostart^WD Anywhere Backup Launcher.lnk]
path=c:\dokumente und einstellungen\Robert ***\Startmenü\Programme\Autostart\WD Anywhere Backup Launcher.lnk
backup=c:\windows\pss\WD Anywhere Backup Launcher.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--------- 2006-11-12 11:48 157592 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"c:\\Programme\\uTorrent\\utorrent.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ThinkPad\\ConnectUtilities\\ACMainGUI.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Quake III Arena\\quake3.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Unreal Tournament\\System\\UnrealTournament.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Eigene Dateien\\Downloads\\ChickenTournament\\CT.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-03 64160]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [2008-05-14 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [2008-05-14 19496]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.sys [2007-03-22 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.sys [2007-03-22 4224]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [2007-03-22 4442]
R1 TSMSMI;Lenovo System Interface Driver;c:\windows\system32\drivers\TSMSMI32.sys [2007-03-22 6656]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-04-13 110304]
R2 ASRSVC;ASR Service;c:\program files\ThinkPad\Tablet Shortcut\ASR\ASRSVC.exe [2008-01-12 73728]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-08-27 94208]
R2 smihlp2;SMI Helper Driver (smihlp2);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2007-08-14 10896]
R2 TabletSVC;TABLET Service;c:\program files\ThinkPad\Tablet Shortcut\TSMService.exe [2008-01-12 69632]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [2007-02-08 569344]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 GzTpHid;Touch Panel Filter Driver;c:\windows\system32\drivers\GzTpHid.sys [2006-10-30 27008]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [2006-10-01 26624]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [2007-03-22 22568]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [2006-09-13 30336]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2006-09-24 3584]
R3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\drivers\wisdpen.sys [2006-10-30 28544]
S3 CpqPjb;Personal Jukebox USB Device Driver;c:\windows\system32\drivers\CPQPJB.SYS [2005-02-27 61444]
S3 palmusb;USB COM-Treiber (WDM);c:\windows\system32\drivers\palmusb.sys [2008-09-17 72800]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2008-03-06 10112]
S4 Messagcr;Messagcr;c:\temp\svchost.exe --> c:\temp\svchost.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc7767ed-bc6f-11dd-8b2f-00059a3c7800}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-02-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-02-13 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-09-25 01:47]

2007-03-22 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-04-11 17:38]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-NavLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.lenovo.com/welcome/thinkpad
uInternet Settings,ProxyServer = 35.9.27.26:3127
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Mozilla\Firefox\Profiles\9qj8xdqw.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Robert ***\Lokale Einstellungen\Anwendungsdaten\myVRnpapi\npmyvr.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 17:59:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

sfc4 · 13.02.2009, 18:20

und hier der Rest:

Code:

ATTFilter

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll
c:\windows\system32\netprovcredman.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll

- - - - - - - > 'lsass.exe'(804)
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACON.dll
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\keyboardsurrogate.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Cisco Systems VPN Client\cvpnd.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wisptis.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\tabbtnu.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\tcserver.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\ZOOM\TpScrex.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\UltraMon\UltraMonTaskbar.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-13 18:05:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-02-13 17:05:05

Vor Suchlauf: 31 Verzeichnis(se), 18.720.882.688 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 18,619,432,960 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
405	--- E O F ---	2009-02-12 10:21:17

Du bist dran!

Robert

nochdigger · 14.02.2009, 05:55

Moin

lass bitte diese Dateien (Pfad beachten!)

c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\drivers\logiflt.iad
c:\programme\LocADO.dll
c:\programme\AOHikerdb.dll
c:\windows\system32\netprovcredman.dll
c:\temp\svchost.exe <- falls noch vorhanden

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG

EDIT: Handelt es sich hier um einen Arbeits- oder privates System?

sfc4 · 15.02.2009, 17:31

Also, sowohl

Zitat:

c:\windows\system32\drivers\lvuvc.hs

als auch

Zitat:

c:\windows\system32\drivers\logiflt.iad

werden von keiner der Seiten empfangen. Es wird jeweils angezeigt, dass die Datei 0 byte groß ist. Auf einer Seite erscheint der Hinweis, dass der Upload wahrscheinlich von Malware geblockt wird...

Zitat:

c:\programme\LocADO.dll

wird hier ausgewertet
und

Zitat:

c:\programme\AOHikerdb.dll

hier.

Zitat:

c:\temp\svchost.exe <- falls noch vorhanden

ist, wie vermutet, nicht mehr vorhanden.

Zitat:

c:\windows\system32\netprovcredman.dll

wird hier ausgewertet.
virscan.org war im für mich die einzige Seite, die zuverlässig funktionierte.
Das System ist ein privates.
Was ist wegen der 0 byte-Dateien zu tun?

Danke!

Robert

nochdigger · 15.02.2009, 21:40

Hallo

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

File::
c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\drivers\logiflt.iad

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Anschließend poste bitte auch ein frisches HijackThis Log.

MFG

sfc4 · 15.02.2009, 23:14

Ok, soweit sogut. Beim automatischen Herunterfahren kam eine Meldung, dass catchmefc.exe nicht initialisiert werden konnte da die Arbeitststation gerade heruntergefahren wird. Das Programm ist trotzdem durchgelaufen.
Hier also das Combofix-Log Teil 1:

Code:

ATTFilter

ComboFix 09-02-15.01 - Robert *** 2009-02-15 22:49:33.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3062.2250 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Robert ***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Robert ***\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs

.
(((((((((((((((((((((((   Dateien erstellt von 2009-01-15 bis 2009-02-15  ))))))))))))))))))))))))))))))
.

2009-02-13 17:28 . 2009-02-13 17:28	<DIR>	d--------	c:\programme\CCleaner
2009-02-12 14:17 . 2009-02-12 14:24	<DIR>	d--------	c:\programme\PC Security Test 2008
2009-02-12 11:21 . 2009-02-12 11:21	118	--a------	c:\windows\system32\MRT.INI
2009-02-12 01:20 . 2009-02-12 01:20	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-05 17:38 . 2009-02-12 00:47	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 17:38 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-05 14:31 . 2009-02-05 14:31	<DIR>	d--------	c:\programme\ClearProg
2009-02-03 14:01 . 2009-02-12 12:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-03 14:01 . 2009-01-18 22:30	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\programme\Avira
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-15 12:51 . 2009-01-15 12:51	410,984	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-15 21:46	---------	d-----w	c:\programme\Trillian
2009-02-15 21:46	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Skype
2009-02-15 20:06	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\uTorrent
2009-02-15 15:09	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\skypePM
2009-02-14 13:28	---------	d-----w	c:\programme\LingoPad
2009-02-12 11:29	---------	d-----w	c:\programme\Lavasoft
2009-02-11 18:01	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 10:42	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-20 20:31	---------	d-----w	c:\programme\Cisco Systems VPN Client
2009-01-15 11:51	---------	d-----w	c:\programme\Java
2009-01-10 13:14	---------	d-----w	c:\programme\PokerStars
2009-01-09 19:37	---------	d-----w	c:\programme\Valve
2009-01-09 03:24	---------	d-----w	c:\programme\RegCleaner
2009-01-09 02:19	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Hamachi
2009-01-09 01:36	25,280	----a-w	c:\windows\system32\drivers\hamachi.sys
2009-01-04 16:24	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular
2009-01-04 15:41	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-01-04 15:41	---------	d-----w	c:\programme\ElsterFormular
2008-12-29 15:23	---------	d-----w	c:\programme\Gemeinsame Dateien\Logitech
2008-12-25 13:12	---------	d-----w	c:\programme\Unreal Tournament
2008-12-24 22:47	---------	d-----w	c:\programme\Quake III Arena
2008-12-24 22:13	---------	d-----w	c:\programme\Mplayer
2008-12-16 18:36	---------	d-----w	c:\programme\MediaMonkey
2003-06-26 10:19	6,598,656	----a-w	c:\programme\SAM.exe
2003-06-24 20:38	727,552	----a-w	c:\programme\mp3cutter.exe
2003-04-03 11:23	386,870	-c--a-w	c:\programme\SAM_Help_.chm
2003-04-02 14:21	905,216	-c--a-w	c:\programme\LocADO.dll
2003-04-02 13:39	641,536	-c--a-w	c:\programme\AOHikerdb.dll
2008-09-02 13:31	32,768	-csha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090220080903\index.dat
.

------- Sigcheck -------

2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\explorer.exe
2007-06-13 14:10  1036288  331ed93570baf3cfe30340298762cd56	c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6	c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-04 12:00  1035264  22fe1be02eadde1632e478e4125639e0	c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\ServicePackFiles\i386\explorer.exe
.
(((((((((((((((((((((((((((((   SnapShot@2009-02-13_18.04.15.21   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-02-15 21:58:26	16,384	----atw	c:\windows\Temp\Perflib_Perfdata_6cc.dat
+ 2009-02-15 21:58:29	16,384	----atw	c:\windows\Temp\Perflib_Perfdata_6f4.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TabletWizard"="c:\windows\help\SplshWrp.exe" [2008-04-14 16384]
"TabletTip"="c:\programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" [2008-04-14 271872]
"TrackPointSrv"="c:\programme\Lenovo\TrackPoint\tp4serv.exe" [2008-03-04 92960]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]
"GzSndExePath"="c:\program files\Gunze\GZTP_Pack\GzSnd.exe" [2006-09-12 237568]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"IBMTBCTL"="c:\program files\ThinkPad\Tablet Shortcut\IBMTBCTL.EXE" [2007-10-29 782336]
"TSMResident"="c:\program files\ThinkPad\Tablet Shortcut\TSMRESIDENT.EXE" [2007-10-29 45056]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2008-06-09 165208]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 487424]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-08-15 143360]
"Snippet"="c:\programme\Microsoft Enhancement Pack\Snipping Tool\SnippingTool.exe" [2005-10-31 68312]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2008-07-31 60192]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-08-15 425984]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"LPMailChecker"="c:\progra~1\THINKV~2\PrdCtr\LPMLCHK.exe" [2008-06-09 124248]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-09-25 331776]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-09-25 208896]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-05 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-05 137752]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"openvpn-gui"="c:\programme\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-10-17 c:\windows\system32\TP4EX.exe]
"WD Button Manager"="WDBtnMgr.exe" [2008-04-02 c:\windows\system32\WDBtnMgr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-08-18 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-02-15 50688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EnableAutoTray"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-08-16 18:07 49152 c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]
2008-04-14 03:22 47104 c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\loginkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 15:54 89600 c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 16:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 19:14 28672 c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]
2002-08-29 03:43 11776 c:\windows\system32\tabbtnwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]
2008-04-14 03:22 32256 c:\windows\system32\tpgwlnot.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli ACGina psqlpwd

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HotSync Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HotSync Manager.lnk
backup=c:\windows\pss\HotSync Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Robert ***^Startmenü^Programme^Autostart^WD Anywhere Backup Launcher.lnk]
path=c:\dokumente und einstellungen\Robert ***\Startmenü\Programme\Autostart\WD Anywhere Backup Launcher.lnk
backup=c:\windows\pss\WD Anywhere Backup Launcher.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--------- 2006-11-12 11:48 157592 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"c:\\Programme\\uTorrent\\utorrent.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ThinkPad\\ConnectUtilities\\ACMainGUI.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Quake III Arena\\quake3.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Unreal Tournament\\System\\UnrealTournament.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Eigene Dateien\\Downloads\\ChickenTournament\\CT.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-03 64160]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [2008-05-14 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [2008-05-14 19496]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.sys [2007-03-22 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.sys [2007-03-22 4224]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [2007-03-22 4442]
R1 TSMSMI;Lenovo System Interface Driver;c:\windows\system32\drivers\TSMSMI32.sys [2007-03-22 6656]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-04-13 110304]
R2 ASRSVC;ASR Service;c:\program files\ThinkPad\Tablet Shortcut\ASR\ASRSVC.exe [2008-01-12 73728]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-08-27 94208]
R2 smihlp2;SMI Helper Driver (smihlp2);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2007-08-14 10896]
R2 TabletSVC;TABLET Service;c:\program files\ThinkPad\Tablet Shortcut\TSMService.exe [2008-01-12 69632]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [2007-02-08 569344]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 GzTpHid;Touch Panel Filter Driver;c:\windows\system32\drivers\GzTpHid.sys [2006-10-30 27008]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [2006-10-01 26624]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [2007-03-22 22568]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [2006-09-13 30336]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2006-09-24 3584]
R3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\drivers\wisdpen.sys [2006-10-30 28544]
S3 CpqPjb;Personal Jukebox USB Device Driver;c:\windows\system32\drivers\CPQPJB.SYS [2005-02-27 61444]
S3 palmusb;USB COM-Treiber (WDM);c:\windows\system32\drivers\palmusb.sys [2008-09-17 72800]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2008-03-06 10112]
S4 Messagcr;Messagcr;c:\temp\svchost.exe --> c:\temp\svchost.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc7767ed-bc6f-11dd-8b2f-00059a3c7800}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-02-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-02-15 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-09-25 01:47]

2007-03-22 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-04-11 17:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.lenovo.com/welcome/thinkpad
uInternet Settings,ProxyServer = 35.9.27.26:3127
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Mozilla\Firefox\Profiles\9qj8xdqw.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Robert ***\Lokale Einstellungen\Anwendungsdaten\myVRnpapi\npmyvr.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 23:02:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

sfc4 · 15.02.2009, 23:16

und hier der 2. Teil vom Combofix_Log:

Code:

ATTFilter

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
c:\programme\ThinkVantage Fingerprint Software\homepass.dll
c:\programme\ThinkVantage Fingerprint Software\bio.dll
c:\programme\ThinkVantage Fingerprint Software\ps2css.dll
c:\programme\ThinkVantage Fingerprint Software\remote.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\programme\ThinkVantage Fingerprint Software\pscssint.dll
c:\programme\ThinkVantage Fingerprint Software\crypto.dll
c:\windows\system32\netprovcredman.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll

- - - - - - - > 'lsass.exe'(788)
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACON.dll
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll
c:\windows\system32\psqlpwd.dll
c:\programme\ThinkVantage Fingerprint Software\homefus2.dll
c:\programme\ThinkVantage Fingerprint Software\infra.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\keyboardsurrogate.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\IPSSVC.EXE
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Cisco Systems VPN Client\cvpnd.exe
c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\windows\system32\wisptis.exe
c:\windows\system32\tabbtnu.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\tcserver.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\ZOOM\TpScrex.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\UltraMon\UltraMonTaskbar.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-15 23:08:55 - PC wurde neu gestartet [Robert ***]
ComboFix-quarantined-files.txt  2009-02-15 22:08:52
ComboFix2.txt  2009-02-13 17:05:10

Vor Suchlauf: 31 Verzeichnis(se), 17.810.337.792 Bytes frei
Nach Suchlauf: 31 Verzeichnis(se), 17,789,317,120 Bytes frei

Current=2 Default=2 Failed=3 LastKnownGood=5 Sets=1,2,3,4,5
409	--- E O F ---	2009-02-12 10:21:17

sowie das aktuelle HijackThis-Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:02, on 15.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Ink\KeyboardSurrogate.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ThinkPad\Tablet Shortcut\ASR\ASRSVC.exe
C:\Programme\Cisco Systems VPN Client\cvpnd.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ThinkPad\Tablet Shortcut\TSMService.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\adm\IUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Ink\TCServer.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Lenovo\TrackPoint\tp4serv.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Ink\TabTip.exe
C:\Program Files\Gunze\GZTP_Pack\GzSnd.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\Tablet Shortcut\TSMRESIDENT.EXE
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMLCHK.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lenovo.com/welcome/thinkpad
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 35.9.27.26:3127
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TabletWizard] C:\WINDOWS\help\SplshWrp.exe
O4 - HKLM\..\Run: [TabletTip] "C:\Programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [TrackPointSrv] C:\Programme\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [GzSndExePath] C:\Program Files\Gunze\GZTP_Pack\GzSnd.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [IBMTBCTL] "C:\Program Files\ThinkPad\Tablet Shortcut\IBMTBCTL.EXE" /r
O4 - HKLM\..\Run: [TSMResident] "C:\Program Files\ThinkPad\Tablet Shortcut\TSMRESIDENT.EXE" /r
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [Snippet] "C:\Programme\Microsoft Enhancement Pack\Snipping Tool\SnippingTool.exe" /i
O4 - HKLM\..\Run: [TPFNF7] C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe /r
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\THINKV~2\PrdCtr\LPMLCHK.exe
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User 'Default user')
O4 - .DEFAULT Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User 'Default user')
O4 - .DEFAULT Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Program Files\Digital Line Detect\DLG.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/thinkpad
O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASR Service (ASRSVC) - Lenovo Group Limited - C:\Program Files\ThinkPad\Tablet Shortcut\ASR\ASRSVC.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems VPN Client\cvpnd.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: TABLET Service (TabletSVC) - Lenovo Group Limited - C:\Program Files\ThinkPad\Tablet Shortcut\TSMService.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: tvtnetwk - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\adm\IUService.exe

--
End of file - 18408 bytes

Danke!

Robert

nochdigger · 16.02.2009, 06:24

Moin

Zitat:

EDIT: Handelt es sich hier um einen Arbeits- oder privates System?

OpenVPN hast du mit Absicht installiert?

Combofix kann deinstalliert werden

Zitat:

Start --> Ausführen --> gib ein Combofix /u --> Enter

Ich hab weiter keine Verdächtigen mehr ausmachen können, was aber nix heißt.
Zum Schluss würde ich gern eine Filelist sehen

Zitat:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

außerdem empfehle ich dir einige Onlinescans durchzuführen
Free Virus Scan - Kaspersky Lab
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
Free Online Virus Scan - BitDefender Online Scanner

MFG

sfc4 · 16.02.2009, 10:09

OpenVPN nutze ich ich, um mich im Uni-Netzwerk einzuloggen. Das ist besonders aus dem Ausland praktisch um deutsche Dienste zu nutzen.
Während der Deinstallation von Combofix kam eine Fundmeldung von Antivir. Habe die Datei daraufhin in Quarantäne verschoben und nach der Deinstallation in einen separaten Ordner wiederhergestellt um sie bei virscan.org hochzuladen. Beim Upload selbst kam auch noch einmal die Fundmeldung, da entschied ich mich dann (vorschnell?) auf Ignorieren zu klicken, da ich die Datei ja nicht ausgeführt hatte.
Hier ist die Auswertung zu finden.
Nun zur Filelist.

C:\

Code:

ATTFilter

16.02.2009  09:40            25.089 Log.txt
15.02.2009  23:08            28.780 ComboFix.txt
15.02.2009  22:59            23.270 tracelog.txt
15.02.2009  22:58     3.211.186.176 hiberfil.sys
15.02.2009  22:58     1.598.029.824 pagefile.sys
13.02.2009  17:48               281 boot.ini
12.02.2009  11:44             2.428 aaw7boot.log
12.02.2009  11:08               211 Boot.bak

C:\WINDOWS\system32
Hier sind unglaublich viele Einträge am 14.04.2008 gemacht worden.

Code:

ATTFilter

16.02.2009  09:40           900.992 TPHDLOG0.LOG
15.02.2009  23:00            12.866 lvcoinst.log
15.02.2009  23:00             2.278 wpa.dbl
15.02.2009  22:58            25.261 PROCDB.INI
15.02.2009  22:58               380 IPSCtrl.INI
13.02.2009  08:36           308.864 TPAPSLOG.LOG
12.02.2009  11:21               118 MRT.INI
04.02.2009  00:21        21.244.864 MRT.exe
03.02.2009  15:24            63.862 perfc009.dat
03.02.2009  15:24            77.256 perfc007.dat
03.02.2009  15:24           422.136 perfh007.dat
03.02.2009  15:24           406.662 perfh009.dat
03.02.2009  15:24           980.618 PerfStringBackup.INI
16.01.2009  21:01         3.594.752 mshtml.dll
15.01.2009  12:51           148.888 javaws.exe
15.01.2009  12:51           144.792 javaw.exe
15.01.2009  12:51            73.728 javacpl.cpl
15.01.2009  12:51           144.792 java.exe
15.01.2009  12:51           410.984 deploytk.dll

C:\WINDOWS

Code:

ATTFilter

16.02.2009  09:40         1.080.825 WindowsUpdate.log
15.02.2009  23:02               253 system.ini
15.02.2009  23:00            15.893 setupapi.log
15.02.2009  22:58               159 wiadebug.log
15.02.2009  22:58                50 wiaservc.log
15.02.2009  22:58                 0 0.log
15.02.2009  22:58             2.048 bootstat.dat
15.02.2009  22:49            32.586 SchedLgU.Txt
15.02.2009  22:47               132 winamp.ini
12.02.2009  11:12         1.114.597 setupapi.log.1.old
12.02.2009  11:08               606 win.ini

C:\WINDOWS\Prefetch

Code:

ATTFilter

16.02.2009  09:53            12.574 FIND.EXE-0EC32F1E.pf
16.02.2009  09:53            12.952 CMD.EXE-087B4001.pf
16.02.2009  09:52            33.836 AVWSC.EXE-3AC95876.pf
16.02.2009  09:49            33.318 WMIPRVSE.EXE-28F301A9.pf
16.02.2009  09:49            22.246 NIRCMD.EXE-2C39EF53.pf
16.02.2009  09:49            10.276 NIRCMD.COM-323C21EC.pf
16.02.2009  09:49            15.472 REGEDIT.EXE-1B606482.pf
16.02.2009  09:49            22.058 WSCNTFY.EXE-1B24F5EB.pf
16.02.2009  09:49             9.076 SWREG.CFEXE-2BF4FFCD.pf
16.02.2009  09:49            57.586 FDSV.CFEXE-2F207127.pf
16.02.2009  09:49             8.236 WRP.CFEXE-216127FC.pf
16.02.2009  09:49             7.262 FINDSTR.CFEXE-38519B93.pf
16.02.2009  09:49            45.948 PV.CFEXE-0E6F2701.pf
16.02.2009  09:49             6.636 ATTRIB.CFEXE-07A4D3CF.pf
16.02.2009  09:49             7.364 GREP.CFEXE-20443039.pf
16.02.2009  09:49             6.722 SED.CFEXE-268D7E58.pf
16.02.2009  09:49             8.370 SWREG.EXE-3560BE42.pf
16.02.2009  09:49            11.014 NIRCMD.CFEXE-19FF4781.pf
16.02.2009  09:49            18.018 CMD.EXECF-27E83661.pf
16.02.2009  09:49            74.168 CSCRIPT.EXE-1C26180C.pf
16.02.2009  09:49            12.448 FINDSTR.EXE-0CA6274B.pf
16.02.2009  09:49             7.508 CHCP.COM-18156052.pf
16.02.2009  09:49             7.196 SED.CFEXE-238FCCA6.pf
16.02.2009  09:49             7.206 GREP.CFEXE-273BC5E1.pf
16.02.2009  09:49            12.432 ATTRIB.EXE-39EAFB02.pf
16.02.2009  09:49             9.614 NIRCMD.CFEXE-0E3F4BC2.pf
16.02.2009  09:49            47.412 PV.CFEXE-23E4A9A0.pf
16.02.2009  09:49             7.634 GSAR.CFEXE-0E6FCB31.pf
16.02.2009  09:49            25.820 VERCLSID.EXE-3667BD89.pf
16.02.2009  09:49            10.242 SWREG.EXE-0937BD77.pf
16.02.2009  09:49             5.696 HIDEC.EXE-3B166DB3.pf
16.02.2009  09:49            26.276 RUNDLL32.EXE-24FE0C44.pf
16.02.2009  09:49            25.654 RUNONCE.EXE-2803F297.pf
16.02.2009  09:49            13.224 GRPCONV.EXE-111CD845.pf
16.02.2009  09:49            21.752 NIRCMD.COM-10563DC3.pf
16.02.2009  09:44            65.336 AVNOTIFY.EXE-0B59FC42.pf
16.02.2009  09:44            70.328 COMBOFIX.EXE-11008F9F.pf
16.02.2009  09:41            83.204 WINAMP.EXE-08C38ED9.pf
16.02.2009  09:40            56.488 LASTFM.EXE-2B09628D.pf
16.02.2009  09:40            17.310 TPFNF2.EXE-2C4C680C.pf
16.02.2009  09:40            81.682 LOGONUI.EXE-0AF22957.pf
16.02.2009  09:40            18.620 IGFXSRVC.EXE-2FB63FE8.pf
16.02.2009  09:40            21.476 IGFXEXT.EXE-20973E2B.pf
16.02.2009  09:40            34.106 WUAUCLT.EXE-399A8E72.pf
16.02.2009  09:40            33.698 ACFNF5.EXE-2CB07E90.pf
16.02.2009  09:40             6.896 SCREENROTATION.EXE-195B20F2.pf
15.02.2009  23:40            47.900 LINGOPAD.EXE-2A7A2ED3.pf
15.02.2009  23:39            87.940 MSIMN.EXE-0B61806C.pf
15.02.2009  23:28            35.296 NOTEPAD.EXE-336351A9.pf
15.02.2009  23:09             8.614 JQSNOTIFY.EXE-1E60A522.pf
15.02.2009  23:09            96.206 FIREFOX.EXE-1D57670A.pf
15.02.2009  23:08            22.572 NIRCMDC.CFEXE-049E77E5.pf
15.02.2009  23:08            76.962 EXPLORER.EXE-082F38A9.pf
15.02.2009  23:08             4.632 GSAR.CFEXE-156760D9.pf
15.02.2009  23:08             2.594 VFIND.CFEXE-2033727F.pf
15.02.2009  23:08            12.472 REGT.CFEXE-15DB5DAE.pf
15.02.2009  23:08            12.462 SORT.EXE-194AE83C.pf
15.02.2009  23:08            43.258 CF21040.EXE-0C36B0DC.pf
15.02.2009  23:02             6.992 HIDEC.EXE-3818BC01.pf
15.02.2009  23:02            22.610 ULTRAMONDESKTOP.EXE-20D96F4F.pf
15.02.2009  23:01            55.624 AVGNT.EXE-18356F59.pf
15.02.2009  23:01            18.334 TPFNF7SP.EXE-1F80D9F2.pf
15.02.2009  23:01            16.436 CTFMON.EXE-0E17969B.pf
15.02.2009  23:01            13.670 DUMPREP.EXE-1B46F901.pf
15.02.2009  23:01            44.976 GZSND.EXE-142DF530.pf
15.02.2009  23:01             5.792 TP4EX.EXE-321A93B8.pf
15.02.2009  23:01            12.544 TPKMAPAP.EXE-0CD7090E.pf
15.02.2009  23:01             8.570 SPLSHWRP.EXE-10A74A72.pf
15.02.2009  23:01            42.328 TSVNCACHE.EXE-1ED867BB.pf
15.02.2009  23:01            32.664 TCSERVER.EXE-00DA1305.pf
15.02.2009  23:00            14.622 DKICON.EXE-091A0CA5.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-437C3A1D.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-1655DF58.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-1586E753.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-330B8C85.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-2586AB1A.pf
15.02.2009  23:00            19.256 RUNDLL32.EXE-2B8B23D4.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-3775BF93.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-29F0DE28.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-2FF556E2.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-2A0DDD9A.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-4A250B28.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-1449EFD1.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-2855CE4C.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-36A962EB.pf
15.02.2009  23:00            20.192 RUNDLL32.EXE-285569AC.pf
15.02.2009  23:00            20.192 RUNDLL32.EXE-3A47DF99.pf
15.02.2009  23:00            20.204 RUNDLL32.EXE-1C980510.pf
15.02.2009  23:00            19.268 RUNDLL32.EXE-20056AF4.pf
15.02.2009  23:00            17.988 RUNDLL32.EXE-2C703AED.pf
15.02.2009  23:00            17.988 RUNDLL32.EXE-14EC1EE8.pf
15.02.2009  23:00            18.146 RUNDLL32.EXE-4ABAF25B.pf
15.02.2009  23:00            21.734 RUNDLL32.EXE-3C808998.pf
15.02.2009  23:00            37.750 TABBTNU.EXE-15C8319C.pf
15.02.2009  23:00            15.238 USERINIT.EXE-30B18140.pf
15.02.2009  23:00            38.416 WGATRAY.EXE-0ED38BED.pf
15.02.2009  23:00            67.680 RUNDLL32.EXE-37E488ED.pf
15.02.2009  22:59            18.514 WISPTIS.EXE-0C21B942.pf
15.02.2009  22:59            12.194 MPNOTIFY.EXE-3631A846.pf
15.02.2009  22:59            27.198 BR_FUNCS.EXE-0C36811E.pf
15.02.2009  22:59            46.386 SVCGUIHLPR.EXE-0626329F.pf
15.02.2009  22:59           934.910 NTOSBOOT-B00DFAAD.pf
15.02.2009  22:48             6.816 BON.CFEXE-3049D6A6.pf
15.02.2009  22:48             7.942 SWSC.CFEXE-3B4FE4FE.pf
15.02.2009  22:48             9.008 COMBOFIX-DOWNLOAD.CFEXE-1D161D68.pf
15.02.2009  22:48            15.040 PING.EXE-31216D26.pf
15.02.2009  22:48            18.098 CF20942.EXE-278FB4C6.pf
15.02.2009  22:48             4.464 SED.EXE-0F4B402F.pf
15.02.2009  22:47            13.424 CF20720.EXE-2E5E2399.pf
15.02.2009  22:47             4.548 CF20717.EXE-3088BC1E.pf
15.02.2009  21:18            28.384 SNDVOL32.EXE-383480B7.pf
15.02.2009  21:17           155.960 VLC.EXE-29851A71.pf
15.02.2009  18:03            24.076 SOPADVER.EXE-168D7499.pf
15.02.2009  18:03            82.730 SOPCAST.EXE-3675B024.pf
15.02.2009  17:52            32.430 TASKMGR.EXE-20256C55.pf
15.02.2009  16:11            58.470 UTORRENT.EXE-393CAE21.pf
15.02.2009  15:32            60.276 UPDATE.EXE-3A80F1D2.pf
15.02.2009  15:31            13.940 IA.EXE-31D843B0.pf
15.02.2009  15:31             7.978 LAUNCHEG.EXE-1E70C1D8.pf
15.02.2009  15:31            18.146 PREUPD.EXE-18CBCD87.pf
14.02.2009  14:18            21.670 RUNDLL32.EXE-451FC2C0.pf
14.02.2009  14:01            58.450 DFRGNTFS.EXE-269967DF.pf
14.02.2009  14:01            16.702 DEFRAG.EXE-273F131E.pf
14.02.2009  14:01           257.156 Layout.ini
14.02.2009  13:46            54.178 HELPSVC.EXE-2878DDA2.pf
14.02.2009  10:37            85.652 ACRORD32.EXE-0EC716D9.pf
13.02.2009  14:16           151.202 ACRORD32INFO.EXE-30CEC19C.pf
13.02.2009  00:41            13.244 NET.EXE-01A53C2F.pf
13.02.2009  00:41            14.724 NET1.EXE-029B9DB4.pf
12.02.2009  00:47            21.438 REGSVR32.EXE-25EEFE2F.pf

C:\WINDOWS\tasks

Code:

ATTFilter

15.02.2009  23:02               312 PMTask.job
15.02.2009  22:58                 6 SA.DAT
03.02.2009  14:02               470 Ad-Aware Update (Weekly).job
22.03.2007  14:40               350 Symantec NetDetect.job
04.08.2004  12:00                65 desktop.ini

C:\WINDOWS\Temp

Code:

ATTFilter

16.02.2009  09:40               255 WGAErrLog.txt
16.02.2009  09:40               318 libFNP_events.log
15.02.2009  22:58            16.384 Perflib_Perfdata_6f4.dat
15.02.2009  22:58            16.384 Perflib_Perfdata_6cc.dat

C:\DOCUME~1\Name\LOCALS~1\Temp

Code:

ATTFilter

16.02.2009  09:53           136.914 filelist.txt
16.02.2009  09:49           428.544 CF19383.exe
16.02.2009  09:41                 0 etilqs_QrjCBn6wa9N2cYn
16.02.2009  09:40               273 libFNP_events.log
15.02.2009  23:09                 0 etilqs_ccca8f8xlg4rcdM3pVv6
15.02.2009  23:02            16.384 Perflib_Perfdata_97c.dat

Onlinescans werden demnächst erledigt, was ist zunächst noch wegen der psexec.cfexe zu unternhemen?

Tausend Dank!

Robert

nochdigger · 16.02.2009, 21:50

Hallo

Zitat:

OpenVPN nutze ich ich, um mich im Uni-Netzwerk einzuloggen

OK

In der Filelist hab ich auch nichts ausmachen können, scheint mir i.O. zu sein.

Zitat:

was ist zunächst noch wegen der psexec.cfexe zu unternhemen?

nichts weiter, sollte Bestandteil von Combofix sein.

Zitat:

Onlinescans werden demnächst erledigt

OK, aber auch wenn nichts mehr gefunden wird, solltest du dich dazu durchringen, dass System in absehbarer Zeit neu aufzusetzen.
Nehme den nächsten Anlass für eine Neuinstallation war (is nur gut gemeint

).

MFG

sfc4 · 17.02.2009, 11:14

Der Onlinescan bei Kaspersky brachte folgendes Ergebnis:
Logfile
Wie ist damit jetzt umzugehen?
Auf ersteres kann ich verzichten, einfach löschen?
Zweiteres wird schon problematischer. Soll das bedeuten, dass da eventuell eine email in dem Ordner rumkraucht, die infiziert ist?
Werde dann wohl doch noch die anderen Scanner drüberlaufen lassen.

Neuaufsetzung ist auf den Plan geschrieben.

Danke,
Robert

nochdigger · 17.02.2009, 17:24

Moin

Zitat:

Auf ersteres kann ich verzichten, einfach löschen?

Unbedingt, ja

Zitat:

Zweiteres wird schon problematischer. Soll das bedeuten, dass da eventuell eine email in dem Ordner rumkraucht, die infiziert ist?

Ich denke schon, vermutlich ne sehr fragwürdige Mail.

Zitat:

Neuaufsetzung ist auf den Plan geschrieben.

Gut

MFG

keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung

Log-Analyse und Auswertung: keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung