Tcom meckert das von diesem pc Massenmails geschickt werden?!!

cosinus · 18.09.2009, 13:24

Ich meine, im Mailheader der (Junk-)Mail steht auch die lokale IP-Adresse des Senders mit drin. Bin ich mir aber jetzt nicht ganz sicher, nur wie soll die TCom sonst den spammenden Rechner ermittelt haben? Da der über einen NAT-Router ins Netz geht, kann man das nicht mal eben so...ist aber auch egal jetzt.

@SethGecko2: Acker wie hier schon von metallica gepostet wurde die Liste ab, biste schon bei oder? Die Logfiles sind von großem Interesse!

MightyMarc · 18.09.2009, 13:26

Zitat:

Zitat von SethGecko2

Wie im header? wie meinst du das?

Im Emailheader. Da steht dann vermutlich zB

Zitat:

Received: from rechnerX.avorga.de (EHLO rechnerX.avorga.de) [12.130.139.52] by mx0.gmx.net (mx071) with SMTP; 12 Sep 2009 21:13:38 +0200

Somit könnte rechnerX als Server/Spamquelle identifiziert werden.

Marc

SethGecko2 · 18.09.2009, 13:27

Zitat:

Zitat von cosinus

1. Ich meine, im Mailheader der (Junk-)Mail steht auch die lokale IP-Adresse des Senders mit drin. Bin ich mir aber jetzt nicht ganz sicher, nur wie soll die TCom sonst den spammenden Rechner ermittelt haben? Da der über einen NAT-Router ins Netz geht, kann man das nicht mal eben so...ist aber auch egal jetzt.

@SethGecko2: 2. Acker wie hier schon von metallica gepostet wurde die Liste ab, biste schon bei oder? Die Logfiles sind von großem Interesse!

1. Das würde es erklären....

2. Bin dabei... malewarebites läuft und läuft und läuft (schon seid über eine Stunde)

SethGecko2 · 18.09.2009, 13:29

Zitat:

Zitat von MightyMarc

Im Emailheader. Da steht dann zB

Somit kann rechnerX als Server/Spamquelle identifiziert werden.

Marc

Ah interessant, danke für die Info....

SethGecko2 · 18.09.2009, 16:34

So hier die logs...
hat ja ewig gedauert..

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:34
mbam-log-2009-09-18 (17-32-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken.

Nummer 2

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:43
mbam-log-2009-09-18 (17-32-43).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

SethGecko2 · 18.09.2009, 16:40

und Hier nochmal der log txt vom rsit.... teil 1

Logfile of random's system information tool 1.06 (written by random/random)
Run by SethGecko2 at 2009-09-18 17:36:00
Microsoft Windows XP Professional Service Pack 3
System drive C: has 29 GB (37%) free of 78 GB
Total RAM: 2527 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:22, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Toooor\RSIT.exe
C:\Programme\Trend Micro\HijackThis\xxx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19715 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-06-09 171208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347c33e-8762-4905-bf09-768834316c61}]
HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-10-16 322864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6f74-2d53-2644-206d7942484f}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74A0AC27-3753-4080-B94E-557CC43E9E8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

SethGecko2 · 18.09.2009, 16:42

teil 2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-cf4e-4f2b-bdc2-0e72e116a856}]
HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-10-16 505136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2009-06-09 662648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-09 136600]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]
"KMCONFIG"=C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe [2007-03-06 212992]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe [2002-06-05 188416]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-05-29 282624]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2007-10-14 49152]
"hpqSRMon"=C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe [2007-08-22 80896]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA601"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingC3298"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingA4995"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingC5201"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingA455"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingC8557"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingA5945"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingC5640"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingA7546"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingC1313"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingA1540"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingC5420"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingA8710"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingC6816"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingA6293"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingC9151"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingA4201"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingC6661"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingA2380"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingC1754"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingA1450"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingC720"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat

[]
"SpybotDeletingA168"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingC481"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingA4742"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingC917"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingA9616"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingC1050"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingA3178"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingC9969"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingA3171"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingC4135"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-09-10 420176]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB9600"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingD6047"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingB934"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingD6223"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingB426"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingD7238"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingB9153"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingD7697"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingB9303"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingD1581"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingB7136"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingD81"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingB1390"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingD3183"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingB3681"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingD9218"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingB5497"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingD1643"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingB6720"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingD3767"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingB8275"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingD390"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingB4036"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingD4357"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingB2908"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingD7405"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingB7305"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingD3818"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingB1593"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingD1300"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingB9288"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingD8194"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Task"=C:\DOKUME~1\MONIEN~1.000\taskmgr.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2008-10-17 2323680]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-08-30 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
C:\PROGRA~1\Nokia\Ovi\Suite\RUNLAU~1.EXE [2008-11-11 946176]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-03-11 315392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"disablecad"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe"="C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe:*:Enabled:Treiber herunterladen"
"C:\Windows\system32\ZoneLabs\vsmon.exe"="C:\Windows\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"
"C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe"="C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe:*:Enabled:CorelDRW"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe"="C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client"
"C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe"="C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\ACSPMonitor\ASMonitor.exe"="C:\Programme\ACSPMonitor\ASMonitor.exe:*:Enabled:System"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{207a2bd4-6b90-11de-89db-000d1801596c}]
shell\shell00\command - E:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29e9642a-4bf8-11dc-8cfb-0011d8db7c06}]
shell\AutoRun\command - H:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cbc7c95-56d6-11dc-8d0a-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bcaaf0c-3dfc-11de-aee7-000d1801596c}]
shell\autorun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ANdRé.eXe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95411a41-9809-11dc-966e-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ecf37-54c6-11de-92db-000d1801596c}]
shell\AutoRun\command - E:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad10ca4a-8d18-11dc-8d44-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

SethGecko2 · 18.09.2009, 16:43

teil 3

======File associations======

.js - edit -
.js - open -
.txt - open -

======List of files/folders created in the last 1 months======

2009-09-18 17:36:00 ----D---- C:\rsit
2009-09-18 13:17:53 ----D---- C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\Malwarebytes
2009-09-18 13:17:43 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-18 13:17:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-18 12:59:36 ----D---- C:\Programme\CCleaner
2009-09-18 12:22:09 ----D---- C:\Programme\Trend Micro
2009-09-18 11:11:22 ----A---- C:\WINDOWS\wininit.ini
2009-09-18 09:52:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-18 09:52:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-16 11:07:21 ----A---- C:\WINDOWS\ModemLog_Nokia 5800 XpressMusic Bluetooth Modem #3.txt
2009-09-16 11:06:56 ----A---- C:\WINDOWS\ModemLog_Nokia 6220 classic Bluetooth Modem #3.txt
2009-09-14 12:27:23 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\Opera
2009-09-11 17:04:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-09-11 15:13:28 ----D---- C:\WINDOWS\hpoj6500e709
2009-09-11 15:11:00 ----A---- C:\WINDOWS\system32\hpf3l082.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwwiax5.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwtiop4.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpovst11.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\wdfcoinstaller01007.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\nmwcdcocls.dll

======List of files/folders modified in the last 1 months======

2009-09-18 17:36:12 ----D---- C:\WINDOWS\Prefetch
2009-09-18 17:36:10 ----D---- C:\WINDOWS\Internet Logs
2009-09-18 17:35:53 ----D---- C:\Toooor
2009-09-18 17:32:43 ----D---- C:\WINDOWS\system32
2009-09-18 13:17:46 ----D---- C:\WINDOWS\system32\drivers
2009-09-18 13:17:43 ----D---- C:\Programme
2009-09-18 13:14:08 ----D---- C:\Programme\Mozilla Firefox
2009-09-18 13:07:22 ----D---- C:\WINDOWS\Debug
2009-09-18 13:07:22 ----D---- C:\Windows
2009-09-18 13:07:21 ----D---- C:\WINDOWS\Minidump
2009-09-18 13:04:52 ----D---- C:\WINDOWS\Temp
2009-09-18 09:36:51 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-18 09:28:09 ----SHD---- C:\WINDOWS\Installer
2009-09-18 09:28:05 ----HD---- C:\Config.Msi
2009-09-18 09:11:27 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Orbit
2009-09-18 08:54:50 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-17 17:22:21 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-16 17:00:17 ----D---- C:\Downloads
2009-09-16 11:05:38 ----D---- C:\WINDOWS\security
2009-09-14 17:17:37 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-14 12:27:24 ----A---- C:\WINDOWS\win.ini
2009-09-11 15:35:56 ----D---- C:\WINDOWS\WinSxS
2009-09-11 15:29:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2009-09-11 15:23:23 ----D---- C:\Programme\HP
2009-09-11 15:10:45 ----D---- C:\WINDOWS\twain_32
2009-09-11 15:10:08 ----HD---- C:\WINDOWS\inf
2009-09-11 15:02:14 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-09-11 11:23:34 ----SHD---- C:\WINDOWS\CSC
2009-09-11 11:19:29 ----D---- C:\Dokumente und Einstellungen
2009-09-09 14:47:53 ----D---- C:\Programme\Orbitdownloader
2009-09-09 14:41:15 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\HPAppData
2009-09-08 10:43:52 ----SHD---- C:\RECYCLER
2009-09-08 09:37:32 ----A---- C:\WINDOWS\ODBC.INI
2009-08-28 14:39:04 ----A---- C:\WINDOWS\APDatabaseUI.INI
2009-08-27 17:02:31 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\EurekaLog
2009-08-26 13:30:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2009-08-26 13:29:27 ----D---- C:\Programme\Nokia
2009-08-26 13:27:06 ----D---- C:\Programme\Gemeinsame Dateien\Nokia
2009-08-26 13:19:13 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Nokia
2009-08-26 13:17:05 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\PC Suite
2009-08-24 14:58:02 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-03-13 112288]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-03-13 78496]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-03-31 4816]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
R3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888]
R3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-04 18944]
R3 btusbflt;Bluetooth USB Filter; C:\WINDOWS\system32\drivers\btusbflt.sys [2008-02-25 37296]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-11-22 176128]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2003-03-13 90395]
R3 mbamswissarmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-12-19 539008]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 KMWDFilter;KMWDFilter; \??\C:\WINDOWS\System32\Drivers\KMWDFilter.SYS []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 pmxscan;USB Flatbed Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 PRODIGY;PRODIGY; C:\WINDOWS\System32\Drivers\PRODIGY.SYS [2006-08-29 32377]
S3 s116bus;Sony Ericsson Device 116 driver (WDM); C:\WINDOWS\system32\DRIVERS\s116bus.sys [2007-04-03 83336]
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s116mdfl.sys [2007-04-03 15112]
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s116mdm.sys [2007-04-03 108680]
S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s116mgmt.sys [2007-04-03 100488]
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS); C:\WINDOWS\system32\DRIVERS\s116nd5.sys [2007-04-03 23176]
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s116obex.sys [2007-04-03 98696]
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM); C:\WINDOWS\system32\DRIVERS\s116unic.sys [2007-04-03 99080]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\Sandra.sys []
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Cache_c-_cachesys;Caché Controller für CACHE; c:\cachesys\bin\cservice.exe [2003-09-25 40960]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 HPSLPSVC;HP Network Devices Support; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service; C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe [2007-04-05 208896]
R2 net driver hpz12;net driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 pml driver hpz12;pml driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 PSI_SVC_2;Protexis Licensing V2; c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S2 LIVESRV;BitDefender Desktop Update Service; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe [2007-05-15 237568]
S2 TwonkyMedia;TwonkyMedia; C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe [2008-10-20 102400]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-05-17 72704]
S3 APUpdService;APUpdService; C:\WINDOWS\system32\APUpdService.exe [2005-02-15 106496]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [2004-11-10 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

cosinus · 18.09.2009, 17:59

Da ist aber ne Menge an Unsinn drauf!

A. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
C:\WINDOWS\system32\hpf3l082.dll
C:\WINDOWS\system32\hpwwiax5.dll
C:\WINDOWS\system32\hpwtiop4.dll
C:\WINDOWS\system32\hpovst11.dll

B. Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
C:\WINDOWS\system32\hpf3l082.dll
C:\WINDOWS\system32\hpwwiax5.dll
C:\WINDOWS\system32\hpwtiop4.dll
C:\WINDOWS\system32\hpovst11.dll

folders to delete:
C:\WINDOWS\hpoj6500e709

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

C. ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

SethGecko2 · 21.09.2009, 08:43

ZU A:
B folgt

C:\DOKUME~1\MONIEN~1.000\taskmgr.exe

Nicht vorhanden.

C:\WINDOWS\system32\hpf3l082.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 118272 bytes
MD5...: 0a0c8331e26f1ec7741cce6a91e9167d
SHA1..: ff258352f54df7ed8681932837898361339ae345
SHA256: 302b38ab143c8172c43ee551ba7ad7ecd76142b737ced6bd3d20daf9a018ec12
ssdeep: 1536:Q+28+HboAaa9TstTlxj6HK/nOUHb9I2m0Dsikgm5gws0SWoCXX5gFaP:Q+2
4AaGstZxNOqgsWdX5gFaP
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc1ca
timedatestamp.....: 0x48a11f73 (Tue Aug 12 05:28:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19729 0x19800 6.39 e74c05ecd0a7ec4e0cb32d09d6c5519c
.data 0x1b000 0x2ce4 0x1200 2.30 2e8e066765937832fd16b8f3eb20a7f2
.rsrc 0x1e000 0x3a0 0x400 3.06 84531d25d1040855286854537a932b0e
.reloc 0x1f000 0x1b14 0x1c00 4.86 5ee352f138bade228a25462b67e5df3a

( 4 imports )
> KERNEL32.dll: GetUserDefaultUILanguage, LoadLibraryExW, CreateThread, OpenEventW, CreateEventW, CloseHandle, GetExitCodeThread, SetEvent, LoadResource, FindResourceExW, EnumResourceTypesW, EnumResourceNamesW, EnumResourceLanguagesW, SetLastError, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, GlobalFree, GlobalAlloc, DeleteCriticalSection, LoadLibraryW, DisableThreadLibraryCalls, InitializeCriticalSection, Sleep, lstrlenW, CompareStringW, SetThreadPriority, GetThreadPriority, GetCurrentThread, GetCommandLineA, GetVersionExA, RtlUnwind, HeapFree, HeapAlloc, RaiseException, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, InterlockedDecrement, GetCurrentThreadId, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, FreeLibrary, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualAlloc, HeapReAlloc, WriteFile, GetCPInfo, GetACP, GetOEMCP, OutputDebugStringA, HeapSize, LoadLibraryA, GetModuleHandleW, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode, VirtualProtect, GetSystemInfo, VirtualQuery, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, WaitForSingleObject, ResetEvent, GetProcAddress, GetLastError, GetEnvironmentStringsW, GetVersionExW, LocalAlloc, GetPrivateProfileStringW, LocalFree
> ADVAPI32.dll: RegQueryValueExW, RegSetValueExW, RegCloseKey, RegCreateKeyExW
> USER32.dll: IsCharAlphaNumericW
> WINSPOOL.DRV: SetJobW, ClosePrinter, OpenPrinterW, GetPrinterDriverW

( 2 exports )
DllMain, InitializePrintMonitor2
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Hewlett-Packard Company
copyright....: Copyright (C) 1999
product......: Language Monitor
description..: LanguageMonitor
original name: n/a
internal name: LanguageMonitor
file version.: 70.082.15.00
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\hpwwiax5.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 741376 bytes
MD5...: 986f5143b56b8e4889cac91ea81583dd
SHA1..: 93ce85111871bfd8cddf76e1653ae6c5a9eae967
SHA256: 0cab0c6ef7e58c8140868587d58872a97766dc3e5918e2776b684f234e64a773
ssdeep: 12288:1PoSPD/o5BYJ9vJ4abMzQI1FdyYlKTp0wgG8CPSFMdQ2vF1vWQ:13o5BYJ
9v2aCfQOw0c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x590f3
timedatestamp.....: 0x48e5bed3 (Fri Oct 03 06:42:27 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x74702 0x75000 6.71 b695750ad9364eec63c4552d17a63893
.rdata 0x76000 0x21d55 0x22000 5.84 fb6478c4f7e44c909c588bced9db9a9f
.data 0x98000 0x5900 0x4000 4.59 9d8362390d33d490590ddcad604758df
TulipLog 0x9e000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x9f000 0xf1e8 0x10000 6.11 e7a259ce82f3b85ea1d34d7c6a1cb6ad
.reloc 0xaf000 0x7f16 0x8000 5.96 f90c8f684bf9e4dcdb35f9caa4c8e744

( 7 imports )
> wiaservc.dll: wiasGetChangedValueGuid, wiasWritePropStr, wiasSetValidRangeLong, wiasSetItemPropNames, wiasWriteMultiple, wiasSetItemPropAttribs, wiasWritePropGuid, wiasReadPropBin, wiasReadPropGuid, wiasCreateDrvItem, wiasCreatePropContext, wiasGetChangedValueLong, wiasUpdateValidFormat, wiasReadPropStr, wiasFreePropContext, wiasValidateItemProperties, wiasSendEndOfPage, wiasGetImageInformation, wiasWriteBufToFile, wiasGetRootItem, wiasReadPropLong, wiasGetContextFromName, wiasSetPropChanged, wiasGetItemType, wiasGetDrvItem, wiasWritePropLong, wiasReadMultiple
> KERNEL32.dll: GetStringTypeW, GetStringTypeA, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetTimeZoneInformation, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStartupInfoA, MultiByteToWideChar, WideCharToMultiByte, lstrlenW, RaiseException, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrlenA, lstrcmpiA, DisableThreadLibraryCalls, GetModuleFileNameA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, ResetEvent, SetEvent, WriteFile, ReadFile, WaitForSingleObject, CloseHandle, GetTempPathA, GetTempFileNameA, EnumSystemLocalesA, LoadLibraryA, GetCurrentProcessId, ReleaseSemaphore, LocalFree, CreateFileA, SetFilePointer, GlobalUnlock, GlobalLock, GlobalAlloc, InterlockedExchange, GetTickCount, DeleteFileA, GetLocalTime, GetFileSize, MapViewOfFile, CreateFileMappingA, UnmapViewOfFile, GetCurrentThreadId, LocalAlloc, FreeResource, LockResource, SetErrorMode, CreateEventA, SetEndOfFile, OutputDebugStringA, InterlockedExchangeAdd, GetOverlappedResult, WaitForMultipleObjects, DeviceIoControl, Sleep, GetVersionExA, CancelIo, HeapDestroy, VirtualFree, ExitProcess, GetCPInfo, LCMapStringW, LCMapStringA, GetProcessHeap, GetCommandLineA, GetSystemTimeAsFileTime, CreateSemaphoreA, GetUserDefaultLCID, IsValidLocale, CreateThread, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileW, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProcAddress, ExitThread, IsDebuggerPresent, GetFileType, SetHandleCount, IsValidCodePage, GetOEMCP, HeapSize, SetLastError, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, HeapReAlloc, RtlUnwind, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, HeapFree, HeapAlloc, GetACP, GetLocaleInfoA, GetThreadLocale, HeapCreate
> USER32.dll: MessageBoxA, TranslateMessage, GetDC, UnregisterClassA, MsgWaitForMultipleObjects, DispatchMessageA, PeekMessageA, PostQuitMessage, CharNextA, ReleaseDC
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegCloseKey, RegOpenKeyA, RegQueryValueExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegDeleteValueA, RegDeleteKeyA
> ole32.dll: CLSIDFromString, CoGetClassObject, StringFromIID, CreateStreamOnHGlobal, PropVariantClear, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
sigcheck:
publisher....: Hewlett-Packard
copyright....: (c) Copyright 2000-2005 Hewlett-Packard Company
product......: hpwwiax5.dll
description..: Hewlett-Packard WIA minidriver.
original name: hpwwiax5.dll
internal name: hpwwiax5.dll
file version.: 12.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\hpwtiop4.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 966656 bytes
MD5...: 2276e4695748f2902f971b6fe9816e46
SHA1..: 97aa3e3e42c1a71d048a6b72c78c837a98648805
SHA256: ee66e2d64b22cb25d0643321bf51f2faaf110cca6f183af284739b9f2564fcdb
ssdeep: 12288:0q1yEjZkO0IyIAm06xIxtqEBdeDCvxBnYSSv99mfQ2y3xaQQC9DQ03RWyE
i9b:0q1yCXv7extVBxAL2y3lQ03wdq
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x69e6c
timedatestamp.....: 0x48e9c849 (Mon Oct 06 08:11:53 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x96cbd 0x97000 6.73 c9ade3bd7c14f09e154c2c1294c5df01
.rdata 0x98000 0x357b5 0x36000 5.64 9bd0cf00d99d51a55cf9019cbf47d3e4
.data 0xce000 0x117e4 0x6000 4.87 65dfd572739cbbb5538b74c7919ba853
TulipLog 0xe0000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xe1000 0x6b90 0x7000 4.57 7f53a07facacaf0e0d222ab021c18364
.reloc 0xe8000 0xf3c0 0x10000 6.19 2c24af4afad54dc3c77a91a24f343d5a

( 9 imports )
> SETUPAPI.dll: SetupDiOpenClassRegKey
> KERNEL32.dll: lstrcmpiA, GetModuleFileNameA, DisableThreadLibraryCalls, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, CreateSemaphoreA, GetProcAddress, LoadLibraryA, GetCurrentProcessId, WaitForSingleObject, ReleaseSemaphore, CloseHandle, GetCurrentThreadId, GetTempPathA, GetTickCount, InterlockedExchangeAdd, OutputDebugStringA, InterlockedExchange, GetLocalTime, GetVersionExA, lstrlenA, GetTempFileNameA, WriteFile, SetFilePointer, CreateFileA, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, CreateEventA, SetThreadPriority, CreateThread, CreateMutexA, ReleaseMutex, WaitForMultipleObjects, FindNextChangeNotification, ResetEvent, SetEvent, DeviceIoControl, GetThreadLocale, InterlockedDecrement, InterlockedIncrement, GetLastError, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, CreateFileW, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetOverlappedResult, Sleep, SetEndOfFile, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, IsValidLocale, EnumSystemLocalesA, GetConsoleMode, SetConsoleCtrlHandler, ExitProcess, GetProcessHeap, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoW, GetLocaleInfoA, SetStdHandle, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, ReadFile, FlushFileBuffers, GetConsoleCP, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, HeapSize, SetLastError, GetStdHandle, HeapCreate, HeapDestroy, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, GetCommandLineA, VirtualFree
> USER32.dll: CharNextA, UnregisterClassA, wsprintfA
> ADVAPI32.dll: SetSecurityDescriptorDacl, RegEnumKeyA, RegOpenKeyA, RegQueryValueExA, InitializeSecurityDescriptor, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA
> SHELL32.dll: SHGetFolderPathA
> ole32.dll: CoTaskMemRealloc, CoTaskMemFree, StringFromGUID2, CoCreateInstance, StringFromIID, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> RPCRT4.dll: UuidCreate
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, WSACloseEvent, -, WSAEventSelect, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
trid..: DirectShow filter (50.8%)
Windows OCX File (31.1%)
Win32 Executable MS Visual C++ (generic) (9.5%)
Windows Screen Saver (3.3%)
Win32 Executable Generic (2.1%)
pdfid.: -
sigcheck:
publisher....: Hewlett-Packard Co.
copyright....: Copyright (C) Hewlett-Packard Co. 1995-2004
product......: hp digital imaging - hp all-in-one series
description..: HP AiO Scan Driver - iop
original name: hpwtiop4.DLL
internal name: hpwtiop4
file version.: 51.0.113.000
comments.....: HP AiO Scan Driver - hpwtiop4
signers......: -
signing date.: -
verified.....: Unsigned

C:\WINDOWS\system32\hpovst11.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 294912 bytes
MD5...: ab8ec24792cceeb92e2d372fc98f159d
SHA1..: 88cd30b719f768c2d7444204c4a9714f5b9bada0
SHA256: 1870c75d652caa0deae182ca5d4ec242938643607ece3f78377f05e10b1ed744
ssdeep: 3072:RmSyISNSbhPBc8ZHWdCKLiraNEgb75Be6Lxl+R/yPK5Ar7GAb5u8JxcKWrm
xxtxz:gTYpZDWHn52ryrtb3cK1u7w
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13b62
timedatestamp.....: 0x4573c9cf (Mon Dec 04 07:10:07 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34543 0x35000 6.68 51f72b2ca034b34a3b5f288657d51449
.rdata 0x36000 0xa9f5 0xb000 5.49 8b6752c00f7bb26be5564ee5e56d8410
.data 0x41000 0x39ac 0x2000 3.60 91625ae366e4fffdbee83aad399d9cd9
TulipLog 0x45000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x46000 0x620 0x1000 3.98 c9261d7ad9c4fe00c4254c2f3174819d
.reloc 0x47000 0x2b4e 0x3000 6.38 5f106ec3e8eb4eac526f64b1441a538d

( 5 imports )
> SETUPAPI.dll: SetupDiGetSelectedDriverA, SetupDiOpenDevRegKey, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiGetDeviceRegistryPropertyA, SetupCloseInfFile, SetupInstallFromInfSectionA, SetupDiGetDeviceInstanceIdA, SetupDiOpenClassRegKey, SetupDiDestroyDeviceInfoList, SetupDiGetDriverInfoDetailA, SetupOpenInfFileA, SetupDiGetActualSectionToInstallA
> KERNEL32.dll: WriteConsoleA, CreateFileA, ReadFile, SetConsoleCtrlHandler, lstrlenA, GetLastError, GetVersionExA, RemoveDirectoryA, DeleteFileA, GetWindowsDirectoryA, GetPrivateProfileStringA, GetUserDefaultLangID, CopyFileA, CreateDirectoryA, GetFileAttributesA, OutputDebugStringA, lstrcpyA, lstrcatA, lstrcpynA, CreateSemaphoreA, GetCurrentProcessId, GetConsoleOutputCP, ReleaseSemaphore, InterlockedDecrement, WideCharToMultiByte, CloseHandle, GetCurrentThreadId, InterlockedIncrement, GetTempPathA, FreeResource, LockResource, LoadResource, SizeofResource, FindResourceA, GetModuleFileNameA, FreeLibrary, GetProcAddress, LoadLibraryA, InterlockedExchangeAdd, InterlockedExchange, IsValidCodePage, IsValidLocale, EnumSystemLocalesA, WriteConsoleW, SetStdHandle, GetLocaleInfoW, GetTimeZoneInformation, CreateFileW, SetEndOfFile, CompareStringA, CompareStringW, WaitForSingleObject, EnterCriticalSection, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, InterlockedCompareExchange, MultiByteToWideChar, Sleep, InitializeCriticalSection, DeleteCriticalSection, SetEnvironmentVariableA, LeaveCriticalSection, GetACP, GetLocaleInfoA, GetThreadLocale, RtlUnwind, RaiseException, HeapFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, HeapAlloc, GetProcessHeap, LCMapStringA, LCMapStringW, GetCPInfo, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, HeapSize, GetOEMCP, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, FatalAppExitA, VirtualAlloc, HeapReAlloc, WriteFile, GetConsoleCP, GetConsoleMode, FlushFileBuffers, SetFilePointer, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetStringTypeA
> USER32.dll: wvsprintfA, wsprintfA
> ADVAPI32.dll: RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegOpenKeyExA, RegOpenKeyA, RegQueryValueExA, RegCloseKey, RegSetValueExA, RegDeleteValueA
> ole32.dll: CoTaskMemFree, StringFromIID, CoCreateInstance

( 5 exports )
_DllEntryPoint@@YGHPAUHINSTANCE__@@KPAX@Z, HPScannerCoInstaller, InstallScanJetSoftware, RemoveTWAIN32Subdirectories, _DllMain@12
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Hewlett-Packard Co.
copyright....: Copyright (C) Hewlett-Packard Co. 1995-2005
product......: hp digital imaging - hp all-in-one series
description..: HP Scan VendorSetup/Co-Installer
original name: HPOVST11.DLL
internal name: HPOVST11
file version.: 82.0.168.000
comments.....: HP Scan VendorSetup/Co-Installer
signers......: -
signing date.: -
verified.....: Unsigned

SethGecko2 · 21.09.2009, 08:54

ZU B:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\DOKUME~1\MONIEN~1.000\taskmgr.exe" not found!
Deletion of file "C:\DOKUME~1\MONIEN~1.000\taskmgr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\hpf3l082.dll" deleted successfully.
File "C:\WINDOWS\system32\hpwwiax5.dll" deleted successfully.
File "C:\WINDOWS\system32\hpwtiop4.dll" deleted successfully.
File "C:\WINDOWS\system32\hpovst11.dll" deleted successfully.
Folder "C:\WINDOWS\hpoj6500e709" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SethGecko2 · 21.09.2009, 09:58

ZU C:

Code:

ATTFilter

 ComboFix 09-09-20.01 - xxx 21.09.2009 10:11.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2527.2018 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx.xxx.000\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\cleanup.exe
c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\EurekaLog
c:\dokumente und einstellungen\xxx.xxx.000\Eigene Dateien\ZbThumbnail.info
c:\programme\INSTALL.LOG
c:\windows\Installer\14fd3a.msp
c:\windows\Installer\WMEncoder.msi
c:\windows\system32\AutoRun.inf
c:\windows\system32\config.dat
c:\windows\system32\drivers\5fd64cc8.sys
c:\windows\system32\NTSVc.ocx

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_5fd64cc8


(((((((((((((((((((((((   Dateien erstellt von 2009-08-21 bis 2009-09-21  ))))))))))))))))))))))))))))))
.

2009-09-21 07:46 . 2009-09-21 07:46	574	----a-w-	C:\cleanup.bat
2009-09-21 07:46 . 2009-09-21 07:46	135168	----a-w-	C:\zip.exe
2009-09-18 15:36 . 2009-09-18 15:36	--------	d-----w-	C:\rsit
2009-09-18 11:17 . 2009-09-18 11:17	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\Malwarebytes
2009-09-18 11:17 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-18 11:17 . 2009-09-18 11:17	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-09-18 11:17 . 2009-09-18 11:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-18 11:17 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-18 10:59 . 2009-09-18 10:59	--------	d-----w-	c:\programme\CCleaner
2009-09-18 10:22 . 2009-09-18 10:22	--------	d-----w-	c:\programme\Trend Micro
2009-09-18 07:52 . 2009-09-18 11:49	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-18 07:52 . 2009-09-18 07:54	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2009-09-11 15:04 . 2009-09-11 15:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-09-11 12:55 . 2009-09-11 13:46	214534	----a-w-	c:\windows\hpwins23.dat
2009-09-11 12:55 . 2008-10-25 09:30	1847	------w-	c:\windows\hpwmdl23.dat
2009-09-11 09:21 . 2009-09-11 09:21	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
2009-09-11 09:21 . 2009-09-11 09:21	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Lokale Einstellungen
2009-09-11 09:21 . 2008-09-29 07:49	795149	----a-w-	c:\dokumente und einstellungen\xxx.xxx\clamwin-update-0.93.1-0.94.exe
2009-09-11 09:21 . 2008-09-25 09:10	6279642	----a-w-	c:\dokumente und einstellungen\xxx.xxx\ATI_Rage.exe
2009-09-11 09:21 . 2008-08-25 12:02	37813072	----a-w-	c:\dokumente und einstellungen\xxx.xxx\bitdefender_antivirus_2008_32b.exe
2009-09-11 09:21 . 2008-08-12 12:35	21946299	----a-w-	c:\dokumente und einstellungen\xxx.xxx\clamwin-0.93.1-setup.exe
2009-09-11 09:21 . 2008-08-19 08:04	23510720	----a-w-	c:\dokumente und einstellungen\xxx.xxx\dotnetfx.exe
2009-09-11 09:21 . 2008-08-19 08:01	2945816	----a-w-	c:\dokumente und einstellungen\xxx.xxx\dotnetfx3setup.exe
2009-09-11 09:21 . 2008-08-13 10:26	2196241	----a-w-	c:\dokumente und einstellungen\xxx.xxx\NetTime-2b7.exe
2009-09-11 09:21 . 2008-08-12 12:39	44783696	----a-w-	c:\dokumente und einstellungen\xxx.xxx\kav6.0.3.837_winwksde.exe
2009-09-11 09:21 . 2008-08-12 12:15	34213864	----a-w-	c:\dokumente und einstellungen\xxx.xxx\kav8.0.0.454de.exe
2009-09-08 10:22 . 2009-09-08 10:22	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\ScanSoft
2009-09-08 09:48 . 2009-09-11 09:28	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2009-09-08 09:48 . 2009-09-08 09:48	142	----a-w-	c:\dokumente und einstellungen\praktikus\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-08 09:22 . 2009-09-08 09:23	--------	d-----w-	c:\dokumente und einstellungen\rohde\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-08 09:21 . 2009-09-08 09:26	--------	d-----w-	c:\dokumente und einstellungen\rohde\Anwendungsdaten\HPAppData
2009-09-08 09:18 . 2009-09-08 09:18	138	----a-w-	c:\dokumente und einstellungen\rohde\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-08 09:18 . 2009-09-08 09:41	--------	d-----w-	c:\dokumente und einstellungen\rohde\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2009-09-08 09:15 . 2009-09-08 09:15	--------	d-----w-	c:\dokumente und einstellungen\rohde\Anwendungsdaten\PC Suite
2009-09-08 09:06 . 2009-09-08 09:06	--------	d-----w-	c:\dokumente und einstellungen\rohde\Anwendungsdaten\Genie-soft
2009-09-08 09:06 . 2009-09-08 09:44	--------	d-----w-	c:\dokumente und einstellungen\rohde\Anwendungsdaten\Orbit
2009-09-08 08:40 . 2009-09-08 08:40	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\PC Suite
2009-09-08 08:39 . 2009-09-08 08:39	--------	d-s---w-	c:\dokumente und einstellungen\praktikus\UserData
2009-09-08 08:36 . 2009-09-08 08:36	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-08 08:35 . 2009-09-08 08:35	415992	----a-w-	c:\dokumente und einstellungen\praktikus\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-08 08:35 . 2009-09-08 08:35	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\Corel
2009-09-08 08:09 . 2009-09-08 14:44	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\HPAppData
2009-09-08 07:34 . 2009-09-08 07:34	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\Genie-soft
2009-08-26 12:16 . 2009-08-26 12:16	605960	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-26 11:30 . 2009-02-09 06:37	659968	----a-w-	c:\windows\system32\nmwcdcocls.dll
2009-08-26 11:30 . 2009-02-09 06:37	17664	----a-w-	c:\windows\system32\drivers\ccdcmb.sys
2009-08-26 11:30 . 2009-02-09 06:32	1112288	----a-w-	c:\windows\system32\wdfcoinstaller01007.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-21 08:41 . 2007-11-14 08:32	43608096	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-09-21 08:39 . 2005-05-19 17:17	87620	----a-w-	c:\windows\system32\perfc007.dat
2009-09-21 08:39 . 2005-05-19 17:17	466986	----a-w-	c:\windows\system32\perfh007.dat
2009-09-21 08:33 . 2007-11-14 08:32	515168	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-09-21 08:33 . 2009-05-06 12:17	1660	----a-w-	c:\windows\bthservsdp.dat
2009-09-21 08:33 . 2009-06-18 13:12	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\Orbit
2009-09-15 13:13 . 2008-03-18 12:33	2568	--sha-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2009-09-11 13:29 . 2009-02-12 17:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-09-11 13:23 . 2007-12-27 14:07	--------	d-----w-	c:\programme\HP
2009-09-11 09:29 . 2009-06-29 07:27	--------	d-----w-	c:\dokumente und einstellungen\praktikus\Anwendungsdaten\Orbit
2009-09-10 10:44 . 2009-09-11 09:19	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Anwendungsdaten\Talkback
2009-09-10 10:44 . 2009-09-11 09:19	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Anwendungsdaten\Symantec
2009-09-10 10:44 . 2009-09-11 09:19	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Anwendungsdaten\Corel
2009-09-10 10:44 . 2009-09-11 09:19	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Anwendungsdaten\Bitdefender
2009-09-10 10:44 . 2009-09-11 09:19	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx\Anwendungsdaten\.clamwin
2009-09-09 12:47 . 2009-06-18 13:12	--------	d-----w-	c:\programme\Orbitdownloader
2009-09-09 12:41 . 2009-02-26 10:58	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\HPAppData
2009-08-26 11:30 . 2008-02-18 18:01	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-08-26 11:29 . 2009-03-05 09:53	--------	d-----w-	c:\programme\Nokia
2009-08-26 11:27 . 2009-03-05 09:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\Nokia
2009-08-26 11:19 . 2007-04-20 08:15	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\Nokia
2009-08-26 11:17 . 2007-04-20 08:14	--------	d-----w-	c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\PC Suite
2009-08-25 08:08 . 2006-10-13 08:55	415992	----a-w-	c:\windows\system32\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]
"GBMLite8AgentLaCie"="c:\programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe" [2008-08-26 189056]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-09 136600]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"KMCONFIG"="c:\programme\Keyboard & Mouse Driver\StartAutorun.exe" [2007-03-06 212992]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-06-05 188416]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-05-29 282624]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"hpqSRMon"="c:\programme\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"GBMLite8AgentLaCie"="c:\programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe" [2008-08-26 189056]
" Malwarebytes Anti-Malware  (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-04 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]
Orbit.lnk - c:\programme\Orbitdownloader\orbitdm.exe [2009-6-18 1719496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Nokia Ovi Suite.lnk
backup=c:\windows\pss\Nokia Ovi Suite.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CorelDRAW Graphics Suite 11b"=c:\programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092705 serial=DR12WEX-1537612-NGH lang=DE
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"FreePDF Assistant"=c:\programme\FreePDF_XP\fpassist.exe
"FreePDFAssistent"=c:\programme\FreePDF\FreePDFA.exe
"IgfxTray"=c:\windows\system32\igfxtray.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"IndexSearch"=c:\programme\ScanSoft\PaperPort\IndexSearch.exe
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Windows\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\Corel\\Corel Graphics 12\\Programs\\CorelDRW.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\programme\Keyboard & Mouse Driver\KMWDSrv.exe [05.04.2007 10:29 208896]
R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [06.05.2009 14:17 37296]
S2 Cache_c-_cachesys;Caché Controller für CACHE;c:\cachesys\Bin\cservice.exe [19.09.2005 10:52 40960]
S2 TwonkyMedia;TwonkyMedia;c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 --> c:\programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe -serviceversion 0 [?]
S3 APUpdService;APUpdService;c:\windows\system32\APUpdService.exe [15.02.2005 10:14 106496]
S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [12.10.2005 21:33 15104]
S3 PRODIGY;PRODIGY;c:\windows\system32\drivers\prodigy.sys [18.02.2008 20:05 32377]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
HPService	REG_MULTI_SZ   	HPSLPSVC
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-09-18 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 16:33]

2009-09-21 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-30 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.orbitdownloader.com
uInternet Connection Wizard,ShellNext = iexplore
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {8410CE13-CDFD-43AF-B6B4-963EB2D72099} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\xxx.xxx.000\Anwendungsdaten\Mozilla\Firefox\Profiles\r94qtn9u.default\
FF - prefs.js: browser.search.defaulturl - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-stage6&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-stage6&p=
FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Explorer_Run-Task - c:\dokume~1\xxx~1.000\taskmgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-21 10:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3472)
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\programme\WinSCP3\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\programme\Microsoft Office\Office10\msohev.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.DEU
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\Keyboard & Mouse Driver\KMCONFIG.exe
c:\windows\system32\rundll32.exe
c:\programme\Keyboard & Mouse Driver\KMProcess.exe
c:\programme\Orbitdownloader\orbitnet.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-21 10:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-09-21 08:50

Vor Suchlauf: 41 Verzeichnis(se), 30.423.990.272 Bytes frei
Nach Suchlauf: 43 Verzeichnis(se), 30.688.645.120 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

271	--- E O F ---	2009-06-10 16:02

cosinus · 21.09.2009, 10:22

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

c:\windows\hpwins23.dat
c:\windows\hpwmdl23.dat
c:\windows\system32\nmwcdcocls.dll
c:\windows\system32\drivers\ccdcmb.sys
c:\windows\system32\wdfcoinstaller01007.dll
c:\windows\bthservsdp.dat

Von ZoneAlarm solltest Du Dich trennen.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

SethGecko2 · 21.09.2009, 10:25

Klar kein ding, kann ich machen.
Kannst du mir ne gute Firewall empfehlen?

cosinus · 21.09.2009, 10:53

Windows-Firewall!!

21.09.2009, 10:53	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Windows-Firewall!! __________________ Logfiles bitte immer in CODE-Tags posten

Tcom meckert das von diesem pc Massenmails geschickt werden?!!

Log-Analyse und Auswertung: Tcom meckert das von diesem pc Massenmails geschickt werden?!!