Tcom meckert das von diesem pc Massenmails geschickt werden?!!

SethGecko2 · 21.09.2009, 16:22

Und wie sehen meine log sonst so aus? ist der PC immernoch infiziert?

cosinus · 21.09.2009, 16:27

Mittlerweile rel. unauffällig, aber ich hab Dich gebeten, einige Dateien auszuwerten. Mach das bitte noch.

SethGecko2 · 23.09.2009, 15:50

Code:

ATTFilter

 Datei hpwins23.dat empfangen 2009.09.23 14:32:52 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.5.0.24	2009.09.23	-
AhnLab-V3	5.0.0.2	2009.09.23	-
AntiVir	7.9.1.23	2009.09.23	-
Antiy-AVL	2.0.3.7	2009.09.23	-
Authentium	5.1.2.4	2009.09.23	-
Avast	4.8.1351.0	2009.09.21	-
AVG	8.5.0.412	2009.09.23	-
BitDefender	7.2	2009.09.23	-
CAT-QuickHeal	10.00	2009.09.23	-
ClamAV	0.94.1	2009.09.23	-
Comodo	2414	2009.09.23	-
DrWeb	5.0.0.12182	2009.09.23	-
eSafe	7.0.17.0	2009.09.23	-
eTrust-Vet	31.6.6756	2009.09.23	-
F-Prot	4.5.1.85	2009.09.23	-
F-Secure	8.0.14470.0	2009.09.23	-
Fortinet	3.120.0.0	2009.09.23	-
GData	19	2009.09.23	-
Ikarus	T3.1.1.72.0	2009.09.23	-
Jiangmin	11.0.800	2009.09.23	-
K7AntiVirus	7.10.852	2009.09.23	-
Kaspersky	7.0.0.125	2009.09.23	-
McAfee	5749	2009.09.22	-
McAfee+Artemis	5749	2009.09.22	-
McAfee-GW-Edition	6.8.5	2009.09.23	-
Microsoft	1.5005	2009.09.23	-
NOD32	4450	2009.09.23	-
Norman	6.01.09	2009.09.23	-
nProtect	2009.1.8.0	2009.09.23	-
Panda	10.0.2.2	2009.09.23	-
PCTools	4.4.2.0	2009.09.23	-
Prevx	3.0	2009.09.23	-
Rising	21.48.24.00	2009.09.23	-
Sophos	4.45.0	2009.09.23	-
Sunbelt	3.2.1858.2	2009.09.23	-
Symantec	1.4.4.12	2009.09.23	-
TheHacker	6.5.0.2.015	2009.09.22	-
TrendMicro	8.950.0.1094	2009.09.23	-
VBA32	3.12.10.10	2009.09.23	-
ViRobot	2009.9.23.1950	2009.09.23	-
VirusBuster	4.6.5.0	2009.09.23	-
weitere Informationen
File size: 214534 bytes
MD5...: 7d6b4cdaf8088d85fe79f411ae49d488
SHA1..: fc0021bfdbd3f2d21a452ec8371f7a0495e58ca7
SHA256: e51fe7bb20cc8c72490d6b4011290c2e1ec183d1eb81dd16547375a18f49ce63
ssdeep: 3072:LQfqAVpyVDnAhh9xoJ03OxVacYbn+fn4vxo7HLSpY4TPj3sw/9cau:L6qAg
VacYbn+Ap3Vgwo
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

c:\windows\hpwmdl23.dat nich vorhanden

Code:

ATTFilter

 Datei nmwcdcocls.dll empfangen 2009.07.18 18:56:24 (UTC)
Status: Beendet
Ergebnis: 0/39 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.24 	2009.07.18 	-
AhnLab-V3 	5.0.0.2 	2009.07.18 	-
AntiVir 	7.9.0.220 	2009.07.17 	-
Antiy-AVL 	2.0.3.7 	2009.07.17 	-
Authentium 	5.1.2.4 	2009.07.18 	-
Avast 	4.8.1335.0 	2009.07.18 	-
BitDefender 	7.2 	2009.07.18 	-
CAT-QuickHeal 	10.00 	2009.07.17 	-
ClamAV 	0.94.1 	2009.07.18 	-
Comodo 	1694 	2009.07.18 	-
DrWeb 	5.0.0.12182 	2009.07.18 	-
eSafe 	7.0.17.0 	2009.07.16 	-
eTrust-Vet 	31.6.6623 	2009.07.18 	-
F-Prot 	4.4.4.56 	2009.07.17 	-
Fortinet 	3.120.0.0 	2009.07.18 	-
GData 	19 	2009.07.18 	-
Ikarus 	T3.1.1.64.0 	2009.07.18 	-
Jiangmin 	11.0.800 	2009.07.18 	-
K7AntiVirus 	7.10.796 	2009.07.18 	-
Kaspersky 	7.0.0.125 	2009.07.18 	-
McAfee 	5680 	2009.07.18 	-
McAfee+Artemis 	5680 	2009.07.18 	-
McAfee-GW-Edition 	6.8.5 	2009.07.18 	-
Microsoft 	1.4803 	2009.07.18 	-
NOD32 	4257 	2009.07.18 	-
Norman 	6.01.09 	2009.07.17 	-
nProtect 	2009.1.8.0 	2009.07.18 	-
Panda 	10.0.0.14 	2009.07.18 	-
PCTools 	4.4.2.0 	2009.07.18 	-
Prevx 	3.0 	2009.07.18 	-
Rising 	21.38.52.00 	2009.07.18 	-
Sophos 	4.43.0 	2009.07.18 	-
Sunbelt 	3.2.1858.2 	2009.07.18 	-
Symantec 	1.4.4.12 	2009.07.18 	-
TheHacker 	6.3.4.3.370 	2009.07.17 	-
TrendMicro 	8.950.0.1094 	2009.07.18 	-
VBA32 	3.12.10.8 	2009.07.17 	-
ViRobot 	2009.7.17.1841 	2009.07.17 	-
VirusBuster 	4.6.5.0 	2009.07.16 	-
weitere Informationen
File size: 659968 bytes
MD5   : 6ef20ce07704cae75b0600f2817d32bc
SHA1  : 12b63532f626766d059ebe2a354d8a1ff1a1fa3e
SHA256: 760ce4efe6f47de8e32df1ee7e55531a2f27f407713d56840965176e0dac42f0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5C11
timedatestamp.....: 0x498FC12B (Mon Feb 9 06:37:47 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12FE5 0x13000 6.60 9df1982c351a00768524e11669ae7f61
.data 0x14000 0x33A0 0x1600 3.38 f77c4a84d24d78605813579ef1575bf0
.rsrc 0x18000 0x89AC0 0x89C00 5.49 9e4d668bed29f654c5fcc8a6690711b6
.reloc 0xA2000 0x2B24 0x2C00 2.78 a6ef08d247e39d826d7a6d164483782b

( 5 imports )

> advapi32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueExW, RegCloseKey
> comctl32.dll: -
> kernel32.dll: WriteFile, GetTickCount, GetProcAddress, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, GetVersionExA, WideCharToMultiByte, GetLastError, HeapFree, HeapAlloc, LoadLibraryA, VirtualFree, VirtualAlloc, InterlockedIncrement, InterlockedDecrement, Sleep, GetCommandLineA, RtlUnwind, OutputDebugStringA, GetSystemTimeAsFileTime, HeapReAlloc, VirtualProtect, GetModuleHandleW, GetSystemInfo, VirtualQuery, LCMapStringW, GetCPInfo, GetStringTypeA, GetStringTypeW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, HeapDestroy, HeapCreate, QueryPerformanceCounter, GetCurrentProcessId, TerminateProcess, GetACP, GetOEMCP, HeapSize, GetLocaleInfoA, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, CloseHandle, GetVersionExW, SetLastError, GetCurrentThreadId, GetCurrentProcess, LeaveCriticalSection, EnterCriticalSection, RaiseException, DisableThreadLibraryCalls, LCMapStringA
> setupapi.dll: SetupDiSetDeviceRegistryPropertyW, CM_Get_Parent, CM_Get_Device_IDW, SetupDiOpenDeviceInfoW, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDevRegKey, CM_Get_Device_ID_Size, SetupDiCreateDeviceInfoList
> user32.dll: wsprintfW, UnregisterClassA

( 1 exports )

> WMCCoClassInstaller
TrID  : File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 12288:wE7y6eNa4DuP6m2zrYsGW8vPryGrgziPVgXT+udHXspmUTjiRQ7NDiTZ4p5juFYw:wsheNa4DuP6m2zrYsGW8vPuGrgziPVgB
PEiD  : -
RDS   : NSRL Reference Data Set

Code:

ATTFilter

 Datei ccdcmb.sys empfangen 2009.09.21 10:58:23 (UTC)
Status: Beendet
Ergebnis: 0/41 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.24 	2009.09.21 	-
AhnLab-V3 	5.0.0.2 	2009.09.19 	-
AntiVir 	7.9.1.19 	2009.09.21 	-
Antiy-AVL 	2.0.3.7 	2009.09.21 	-
Authentium 	5.1.2.4 	2009.09.21 	-
Avast 	4.8.1351.0 	2009.09.20 	-
AVG 	8.5.0.412 	2009.09.21 	-
BitDefender 	7.2 	2009.09.21 	-
CAT-QuickHeal 	10.00 	2009.09.21 	-
ClamAV 	0.94.1 	2009.09.21 	-
Comodo 	2390 	2009.09.21 	-
DrWeb 	5.0.0.12182 	2009.09.21 	-
eSafe 	7.0.17.0 	2009.09.17 	-
eTrust-Vet 	31.6.6750 	2009.09.21 	-
F-Prot 	4.5.1.85 	2009.09.21 	-
F-Secure 	8.0.14470.0 	2009.09.21 	-
Fortinet 	3.120.0.0 	2009.09.21 	-
GData 	19 	2009.09.21 	-
Ikarus 	T3.1.1.72.0 	2009.09.21 	-
Jiangmin 	11.0.800 	2009.09.21 	-
K7AntiVirus 	7.10.849 	2009.09.19 	-
Kaspersky 	7.0.0.125 	2009.09.21 	-
McAfee 	5747 	2009.09.20 	-
McAfee+Artemis 	5747 	2009.09.20 	-
McAfee-GW-Edition 	6.8.5 	2009.09.21 	-
Microsoft 	1.5005 	2009.09.21 	-
NOD32 	4442 	2009.09.21 	-
Norman 	6.01.09 	2009.09.18 	-
nProtect 	2009.1.8.0 	2009.09.21 	-
Panda 	10.0.2.2 	2009.09.21 	-
PCTools 	4.4.2.0 	2009.09.20 	-
Prevx 	3.0 	2009.09.21 	-
Rising 	21.48.02.00 	2009.09.21 	-
Sophos 	4.45.0 	2009.09.21 	-
Sunbelt 	3.2.1858.2 	2009.09.20 	-
Symantec 	1.4.4.12 	2009.09.21 	-
TheHacker 	6.5.0.2.012 	2009.09.18 	-
TrendMicro 	8.950.0.1094 	2009.09.21 	-
VBA32 	3.12.10.10 	2009.09.20 	-
ViRobot 	2009.9.21.1944 	2009.09.21 	-
VirusBuster 	4.6.5.0 	2009.09.20 	-
weitere Informationen
File size: 17664 bytes
MD5   : 4a8a2aa0706b659175169decf198e9d7
SHA1  : dc3e0f50efb5f0e007fb58ccdb9ce331e67188be
SHA256: af43d63652aa0545fd790476e3efa448d0328575d2443d6f9983ffa9e169657f
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15E0
timedatestamp.....: 0x498FC129 (Mon Feb 9 06:37:45 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x20E2 0x2100 6.36 9a87210540f4ad798c15c60f45ec992f
.rdata 0x2580 0x20B 0x280 4.58 744bf7f814d217d98249cde9de1a573b
.data 0x2800 0x8C0 0x900 0.25 8bd9b8829c15e55e486958f4fa4a606e
PAGE 0x3100 0x90C 0x980 5.60 c26795c9ff05f468e6e05ce877f0663c
INIT 0x3A80 0x298 0x300 4.99 39ad5ccdc61a0920bc6e87251b303af0
.rsrc 0x3D80 0x328 0x380 3.07 5a4cb4bfe8d41f7e68dd388ab35f9cd9
.reloc 0x4100 0x3A2 0x400 4.67 5b578f45d6e13c901a74354f6b5fb54d

( 3 imports )

> ntoskrnl.exe: KeTickCount, KeBugCheckEx, wcsstr, memcpy, ExAllocatePoolWithTag, RtlCopyUnicodeString, DbgPrint, RtlAnsiCharToUnicodeChar, RtlInitUnicodeString, ExFreePoolWithTag, memset
> usbd.sys: _USBD_ParseConfigurationDescriptorEx@28, _USBD_CreateConfigurationRequestEx@8
> wdfldr.sys: WdfVersionUnbind, WdfVersionBind

( 0 exports )
TrID  : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 384:2Z4fLTTDYFIs8CIGIZP6Phf0rk1tD4xtJJ0Hh:22LvunXfX1R438Hh
PEiD  : -
PDFiD : ['-', None, None]
RDS   : NSRL Reference Data Set
-

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Code:

ATTFilter

 Datei ccdcmb.sys empfangen 2009.09.21 10:58:23 (UTC)
Status: Beendet
Ergebnis: 0/41 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.24 	2009.09.21 	-
AhnLab-V3 	5.0.0.2 	2009.09.19 	-
AntiVir 	7.9.1.19 	2009.09.21 	-
Antiy-AVL 	2.0.3.7 	2009.09.21 	-
Authentium 	5.1.2.4 	2009.09.21 	-
Avast 	4.8.1351.0 	2009.09.20 	-
AVG 	8.5.0.412 	2009.09.21 	-
BitDefender 	7.2 	2009.09.21 	-
CAT-QuickHeal 	10.00 	2009.09.21 	-
ClamAV 	0.94.1 	2009.09.21 	-
Comodo 	2390 	2009.09.21 	-
DrWeb 	5.0.0.12182 	2009.09.21 	-
eSafe 	7.0.17.0 	2009.09.17 	-
eTrust-Vet 	31.6.6750 	2009.09.21 	-
F-Prot 	4.5.1.85 	2009.09.21 	-
F-Secure 	8.0.14470.0 	2009.09.21 	-
Fortinet 	3.120.0.0 	2009.09.21 	-
GData 	19 	2009.09.21 	-
Ikarus 	T3.1.1.72.0 	2009.09.21 	-
Jiangmin 	11.0.800 	2009.09.21 	-
K7AntiVirus 	7.10.849 	2009.09.19 	-
Kaspersky 	7.0.0.125 	2009.09.21 	-
McAfee 	5747 	2009.09.20 	-
McAfee+Artemis 	5747 	2009.09.20 	-
McAfee-GW-Edition 	6.8.5 	2009.09.21 	-
Microsoft 	1.5005 	2009.09.21 	-
NOD32 	4442 	2009.09.21 	-
Norman 	6.01.09 	2009.09.18 	-
nProtect 	2009.1.8.0 	2009.09.21 	-
Panda 	10.0.2.2 	2009.09.21 	-
PCTools 	4.4.2.0 	2009.09.20 	-
Prevx 	3.0 	2009.09.21 	-
Rising 	21.48.02.00 	2009.09.21 	-
Sophos 	4.45.0 	2009.09.21 	-
Sunbelt 	3.2.1858.2 	2009.09.20 	-
Symantec 	1.4.4.12 	2009.09.21 	-
TheHacker 	6.5.0.2.012 	2009.09.18 	-
TrendMicro 	8.950.0.1094 	2009.09.21 	-
VBA32 	3.12.10.10 	2009.09.20 	-
ViRobot 	2009.9.21.1944 	2009.09.21 	-
VirusBuster 	4.6.5.0 	2009.09.20 	-
weitere Informationen
File size: 17664 bytes
MD5   : 4a8a2aa0706b659175169decf198e9d7
SHA1  : dc3e0f50efb5f0e007fb58ccdb9ce331e67188be
SHA256: af43d63652aa0545fd790476e3efa448d0328575d2443d6f9983ffa9e169657f
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15E0
timedatestamp.....: 0x498FC129 (Mon Feb 9 06:37:45 2009)
machinetype.......: 0x14C (Intel I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x20E2 0x2100 6.36 9a87210540f4ad798c15c60f45ec992f
.rdata 0x2580 0x20B 0x280 4.58 744bf7f814d217d98249cde9de1a573b
.data 0x2800 0x8C0 0x900 0.25 8bd9b8829c15e55e486958f4fa4a606e
PAGE 0x3100 0x90C 0x980 5.60 c26795c9ff05f468e6e05ce877f0663c
INIT 0x3A80 0x298 0x300 4.99 39ad5ccdc61a0920bc6e87251b303af0
.rsrc 0x3D80 0x328 0x380 3.07 5a4cb4bfe8d41f7e68dd388ab35f9cd9
.reloc 0x4100 0x3A2 0x400 4.67 5b578f45d6e13c901a74354f6b5fb54d

( 3 imports )

> ntoskrnl.exe: KeTickCount, KeBugCheckEx, wcsstr, memcpy, ExAllocatePoolWithTag, RtlCopyUnicodeString, DbgPrint, RtlAnsiCharToUnicodeChar, RtlInitUnicodeString, ExFreePoolWithTag, memset
> usbd.sys: _USBD_ParseConfigurationDescriptorEx@28, _USBD_CreateConfigurationRequestEx@8
> wdfldr.sys: WdfVersionUnbind, WdfVersionBind

( 0 exports )
TrID  : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 384:2Z4fLTTDYFIs8CIGIZP6Phf0rk1tD4xtJJ0Hh:22LvunXfX1R438Hh
PEiD  : -
PDFiD : ['-', None, None]
RDS   : NSRL Reference Data Set

c:\windows\bthservsdp.dat ist nicht vorhanden

cosinus · 23.09.2009, 16:22

Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind.

Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile.

SethGecko2 · 29.09.2009, 13:32

Zitat:

Zitat von cosinus

Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind.

Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile.

Fu** immer noch das gleiche Problem, ich habe gerade mal Tcom angerufen und die haben mir mitgeteilt das lustig weiter spam von diesem rechner verschickt wird.

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by xxx at 2009-09-29 14:24:06
Microsoft Windows XP Professional Service Pack 3
System drive C: has 24 GB (31%) free of 78 GB
Total RAM: 2527 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:38, on 29.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\Programme\Java\jre6\bin\jqs.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\MsiExec.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe
C:\Lexware\faktura\Pcfk32.exe
C:\WINDOWS\system32\W32MKDE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Toooor\RSIT(2).exe
C:\Programme\Trend Micro\HijackThis\xxx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 13753 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-06-09 171208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347c33e-8762-4905-bf09-768834316c61}]
HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-10-16 322864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6f74-2d53-2644-206d7942484f}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74A0AC27-3753-4080-B94E-557CC43E9E8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-cf4e-4f2b-bdc2-0e72e116a856}]
HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-10-16 505136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2009-06-09 662648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-09 136600]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]
"KMCONFIG"=C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe [2007-03-06 212992]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe [2002-06-05 188416]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-05-29 282624]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2007-10-14 49152]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]
" Malwarebytes Anti-Malware  (reboot)"=C:\Programme\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2008-10-17 2323680]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-08-30 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
C:\PROGRA~1\Nokia\Ovi\Suite\RUNLAU~1.EXE [2008-11-11 946176]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-03-11 315392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pevsystemstart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\pevsystemstart]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"disablecad"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Windows\system32\ZoneLabs\vsmon.exe"="C:\Windows\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"
"C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe"="C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe:*:Enabled:CorelDRW"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"
"D:\setup\hpznui01.exe"="D:\setup\hpznui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

Da wird man doch bekloppt.

SethGecko2 · 29.09.2009, 13:33

2ter teil

Code:

ATTFilter

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe"="C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client"
"C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe"="C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Dokumente und Einstellungen\xxx.xxx.000\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.AVORGA.000\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\xxx.xxx.000\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.AVORGA.000\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\ACSPMonitor\ASMonitor.exe"="C:\Programme\ACSPMonitor\ASMonitor.exe:*:Enabled:System"
"D:\setup\hpznui01.exe"="D:\setup\hpznui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bcaaf0c-3dfc-11de-aee7-000d1801596c}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ANdRé.eXe
.js - edit - "C:\Programme\Macromedia\Dreamweaver 8\dreamweaver.exe" "%1"
.txt - open - 

======List of files/folders created in the last 1 months======

2009-09-29 09:43:37 ----D---- C:\illu
2009-09-23 10:58:01 ----D---- C:\Testbilder
2009-09-23 10:57:48 ----D---- C:\Programme\K-Lab
2009-09-22 12:02:24 ----SHD---- C:\RECYCLER
2009-09-22 10:53:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-09-22 10:50:59 ----D---- C:\WINDOWS\hpoj6500e709
2009-09-22 10:49:38 ----RA---- C:\WINDOWS\system32\hpzids01.dll
2009-09-21 17:15:53 ----D---- C:\Programme\uMark Lite
2009-09-21 17:10:53 ----A---- C:\WINDOWS\system32\hpf3l082.dll
2009-09-21 17:09:37 ----RA---- C:\WINDOWS\system32\hppldcoi.dll
2009-09-21 17:09:37 ----RA---- C:\WINDOWS\system32\difxapi.dll
2009-09-21 17:09:36 ----RA---- C:\WINDOWS\system32\hpwtiop4.dll
2009-09-21 17:09:36 ----RA---- C:\WINDOWS\system32\hpovst11.dll
2009-09-21 17:09:35 ----RA---- C:\WINDOWS\system32\hpwwiax5.dll
2009-09-21 11:49:28 ----D---- C:\WINDOWS\WBEM
2009-09-21 11:47:10 ----HDC---- C:\WINDOWS\ie8
2009-09-21 10:50:47 ----A---- C:\ComboFix.txt
2009-09-21 10:05:33 ----A---- C:\Boot.bak
2009-09-21 10:05:24 ----RASHD---- C:\cmdcons
2009-09-21 10:02:25 ----A---- C:\WINDOWS\zip.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\SWSC.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\SWREG.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\sed.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\PEV.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-21 10:02:25 ----A---- C:\WINDOWS\grep.exe
2009-09-21 10:02:13 ----D---- C:\WINDOWS\ERDNT
2009-09-21 10:01:33 ----D---- C:\Qoobox
2009-09-21 09:48:19 ----D---- C:\Avenger
2009-09-21 09:48:18 ----A---- C:\avenger.txt
2009-09-21 09:46:49 ----A---- C:\zip.exe
2009-09-21 09:46:49 ----A---- C:\cleanup.bat
2009-09-18 17:36:00 ----D---- C:\rsit
2009-09-18 13:17:53 ----D---- C:\Dokumente und Einstellungen\xxx.AVORGA.000\Anwendungsdaten\Malwarebytes
2009-09-18 13:17:43 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-18 13:17:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-18 12:59:36 ----D---- C:\Programme\CCleaner
2009-09-18 12:22:09 ----D---- C:\Programme\Trend Micro
2009-09-18 11:11:22 ----A---- C:\WINDOWS\wininit.ini
2009-09-18 09:52:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-18 09:52:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-16 11:07:21 ----A---- C:\WINDOWS\ModemLog_Nokia 5800 XpressMusic Bluetooth Modem #3.txt
2009-09-16 11:06:56 ----A---- C:\WINDOWS\ModemLog_Nokia 6220 classic Bluetooth Modem #3.txt
2009-09-14 12:27:23 ----D---- C:\Dokumente und Einstellungen\xxx.AVORGA.000\Anwendungsdaten\Opera

======List of files/folders modified in the last 1 months======

2009-09-29 14:24:26 ----D---- C:\WINDOWS\Prefetch
2009-09-29 14:23:46 ----D---- C:\Toooor
2009-09-29 13:05:17 ----D---- C:\WINDOWS\Internet Logs
2009-09-29 11:09:47 ----D---- C:\Programme\Mozilla Firefox
2009-09-29 10:02:37 ----D---- C:\Dokumente und Einstellungen\xxx.AVORGA.000\Anwendungsdaten\HPAppData
2009-09-29 09:57:32 ----D---- C:\Programme\Orbitdownloader
2009-09-29 09:56:43 ----D---- C:\WINDOWS\Temp
2009-09-29 09:47:44 ----SHD---- C:\WINDOWS\Installer
2009-09-29 09:42:22 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-29 09:41:31 ----D---- C:\WINDOWS\system32
2009-09-29 09:41:31 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-29 09:40:19 ----D---- C:\Dokumente und Einstellungen\xxx.AVORGA.000\Anwendungsdaten\Orbit
2009-09-29 09:35:30 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-28 15:01:22 ----D---- C:\Config.Msi
2009-09-28 10:19:22 ----D---- C:\Windows
2009-09-25 16:54:50 ----D---- C:\Downloads
2009-09-23 10:57:48 ----D---- C:\Programme
2009-09-23 10:12:24 ----D---- C:\Dokumente und Einstellungen
2009-09-22 10:55:39 ----A---- C:\WINDOWS\win.ini
2009-09-22 10:54:13 ----D---- C:\WINDOWS\WinSxS
2009-09-22 10:53:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2009-09-22 10:49:21 ----D---- C:\WINDOWS\twain_32
2009-09-22 10:48:45 ----HD---- C:\WINDOWS\inf
2009-09-22 10:46:36 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-09-22 10:46:00 ----RSHD---- C:\WINDOWS\system32\dllcache
2009-09-22 10:45:55 ----D---- C:\WINDOWS\system32\drivers
2009-09-21 15:27:19 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-21 12:01:31 ----D---- C:\WINDOWS\system32\de-de
2009-09-21 12:01:29 ----D---- C:\WINDOWS\Help
2009-09-21 12:01:29 ----D---- C:\Programme\Internet Explorer
2009-09-21 11:49:38 ----D---- C:\WINDOWS\system32\config
2009-09-21 11:49:18 ----D---- C:\WINDOWS\Media
2009-09-21 11:30:41 ----D---- C:\WINDOWS\Debug
2009-09-21 10:40:27 ----A---- C:\WINDOWS\system.ini
2009-09-21 10:18:19 ----D---- C:\WINDOWS\AppPatch
2009-09-21 10:18:12 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-21 10:05:34 ----RASH---- C:\boot.ini
2009-09-18 13:07:21 ----D---- C:\WINDOWS\Minidump
2009-09-16 11:05:38 ----D---- C:\WINDOWS\security
2009-09-11 15:23:23 ----D---- C:\Programme\HP
2009-09-11 11:23:34 ----SHD---- C:\WINDOWS\CSC
2009-09-08 09:37:32 ----A---- C:\WINDOWS\ODBC.INI

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-03-13 112288]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-03-13 78496]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-03-31 4816]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
R3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888]
R3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-04 18944]
R3 btusbflt;Bluetooth USB Filter; C:\WINDOWS\system32\drivers\btusbflt.sys [2008-02-25 37296]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-11-22 176128]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2003-03-13 90395]
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-12-19 539008]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 KMWDFilter;KMWDFilter; \??\C:\WINDOWS\System32\Drivers\KMWDFilter.SYS []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 pmxscan;USB Flatbed Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 PRODIGY;PRODIGY; C:\WINDOWS\System32\Drivers\PRODIGY.SYS [2006-08-29 32377]
S3 s116bus;Sony Ericsson Device 116 driver (WDM); C:\WINDOWS\system32\DRIVERS\s116bus.sys [2007-04-03 83336]
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s116mdfl.sys [2007-04-03 15112]
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s116mdm.sys [2007-04-03 108680]
S3 s116mgmt;Sony Ericsson Device 116  USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s116mgmt.sys [2007-04-03 100488]
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS); C:\WINDOWS\system32\DRIVERS\s116nd5.sys [2007-04-03 23176]
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s116obex.sys [2007-04-03 98696]
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM); C:\WINDOWS\system32\DRIVERS\s116unic.sys [2007-04-03 99080]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\Sandra.sys []
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Cache_c-_cachesys;Caché Controller für CACHE; c:\cachesys\bin\cservice.exe [2003-09-25 40960]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 HPSLPSVC;HP Network Devices Support; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service; C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe [2007-04-05 208896]
R2 net driver hpz12;net driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 pml driver hpz12;pml driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 PSI_SVC_2;Protexis Licensing V2; c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-05-17 72704]
R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S2 LIVESRV;BitDefender Desktop Update Service; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe [2007-05-15 237568]
S2 TwonkyMedia;TwonkyMedia; C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe [2008-10-20 102400]
S3 APUpdService;APUpdService; C:\WINDOWS\system32\APUpdService.exe [2005-02-15 106496]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [2004-11-10 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

======File associations======

cosinus · 29.09.2009, 15:27

Nimmt groteske Formen an, ich seh nicht wirklich was Schlimmes.

Lass mal evtl. Rootkits aufspüren => GMER - Anleitung

SethGecko2 · 30.09.2009, 09:22

Bin dabei, habe jetzt erstmal die netzwerk/internetverbindung von diesem pc getrennt. Die ergebnisse werde ich dann posten, sobald der test durch ist, ich nehme an dass das etwas dauert.

SethGecko2 · 30.09.2009, 13:57

nächstes problem, der pc wird automatisch neu gestartet wärend die analyse läuft. das heißt ich bekomme kein resultat.
was nu?

SethGecko2 · 30.09.2009, 14:04

Problemsignatur

BCCode : 10000050 BCP1 : FDD69000 BCP2 : 00000000 BCP3 : B09377E3
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

cosinus · 30.09.2009, 16:50

Schau mal ob Du mit der Windows-Suche (auch nach versteckten Dateien suchen lassen!) so eine Datei findest:

Code:

ATTFilter

ANdRé.eXe

Wenn ja, bitte auswerten lassen bei Virustotal!

Danach zumindest mal diesen hässlichen Eintrag entfernen, müssen wir scripten mit Combofix:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein:

Code:

ATTFilter

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bcaaf0c-3dfc-11de-aee7-000d1801596c}]

File::
c:\windows\system32\drivers\ANdRé.eXe
c:\windows\system32\ANdRé.eXe
c:\windows\ANdRé.eXe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Lucky · 30.09.2009, 17:12

Bei welcher Abteilung hast du denn angerufen?

cosinus · 30.09.2009, 17:29

Zitat:

Zitat von Lucky

Bei welcher Abteilung hast du denn angerufen?

Hoffentlich nicht die, die einem die gelbe Pest andrehen wollen

SethGecko2 · 01.10.2009, 09:33

Ich habe sone Datei nicht gefunden....

soll ich das Combofix dennoch ausführen?

gewarnt wurde ich von der abteilung produkmanagement und zurückgerufen von einer anderen abteilung (techniker).

Die konnten mir genaus sagen wann und wie oft sich andere provider beschwert haben....

cosinus · 01.10.2009, 09:45

Ja mach das mit Combofix.

21.09.2009, 16:27	#32
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Mittlerweile rel. unauffällig, aber ich hab Dich gebeten, einige Dateien auszuwerten. Mach das bitte noch. __________________ __________________

23.09.2009, 16:22	#34
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind. Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile. __________________ Logfiles bitte immer in CODE-Tags posten

29.09.2009, 15:27	#37
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Nimmt groteske Formen an, ich seh nicht wirklich was Schlimmes. Lass mal evtl. Rootkits aufspüren => GMER - Anleitung __________________ Logfiles bitte immer in CODE-Tags posten

30.09.2009, 17:12	#42
Lucky /// Helfer-Team	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Bei welcher Abteilung hast du denn angerufen? __________________ Kein Support per PM!

01.10.2009, 09:45	#45
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Ja mach das mit Combofix. __________________ Logfiles bitte immer in CODE-Tags posten

Tcom meckert das von diesem pc Massenmails geschickt werden?!!

Log-Analyse und Auswertung: Tcom meckert das von diesem pc Massenmails geschickt werden?!!