Tcom meckert das von diesem pc Massenmails geschickt werden?!!

SethGecko2 · 18.09.2009, 11:34

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:48, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rohos] E:\Rohos\agent.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\Software\..\Telephony: DomainName = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = avorga.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19773 bytes

Metallica · 18.09.2009, 11:50

Hallo Seth,
bin zwar kein offizieller Helfer, hab aber trotzdem mal drübergeschaut.

Ich konnte in dem Log nix auffässiges entdecken (hoffe ich täusch mich nicht^^)

Arbeite bitte hier Punkt 2 ab und poste die logfiles

€dit: mir ist noch aufgefallen, dass du den Internet explorer noch in der Version 6 benutzt, aktuell ist Version 8

SethGecko2 · 18.09.2009, 12:25

Zitat:

Zitat von Metallica

Hallo Seth,
bin zwar kein offizieller Helfer, hab aber trotzdem mal drübergeschaut.

Ich konnte in dem Log nix auffässiges entdecken (hoffe ich täusch mich nicht^^)

Arbeite bitte hier Punkt 2 ab und poste die logfiles

€dit: mir ist noch aufgefallen, dass du den Internet explorer noch in der Version 6 benutzt, aktuell ist Version 8

Arbeite gerade punkt 2 ab.

Internetexplorer ist alt weil ich ihn nicht benutze. Arbeite nur mit firefox.

MightyMarc · 18.09.2009, 12:29

Beantworte bitte die Frage, ob wir es hier mit einem Firmenrechner zu tun haben und wer bei Euch dafür zuständig ist.

Marc

cosinus · 18.09.2009, 12:04

Hallo und

Code:

ATTFilter

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = avorga.de

Ist das so rein zufällig ein Bürorechner, Domänenmitglied?

Wenn ja, tätest Du gut daran, das schnell und freundlich Deiner EDV-Abteilung das mitzuteilen...

MightyMarc · 18.09.2009, 12:12

Zitat:

Zitat von cosinus

Wenn ja, tätest Du gut daran, das schnell und freundlich Deiner EDV-Abteilung das mitzuteilen...

Sieht nicht so aus, als hätte die alles fest im Griff...
...aber stimmt schon, das ist die Zuständigkeit der IT-Abteilung.

Marc

SethGecko2 · 18.09.2009, 12:29

Zitat:

Zitat von MightyMarc

Sieht nicht so aus, als hätte die alles fest im Griff...
...aber stimmt schon, das ist die Zuständigkeit der IT-Abteilung.

Marc

stimmt, ist n firmenrechner.
Ist etwas kompliziert, momentan ist keiner da, der das Netzwerk betreut.
Ich habe mal It-Systemelektroniker gelernt, deswegn möchte ich es gerne selber fixen, bevor ich damit jetzt n externen betreue, den ich noch net kenne.
gretzeee

MightyMarc · 18.09.2009, 12:32

Hast Du einen offiziellen Auftrag? Wie kommst Du darauf, dass genau von diesem Rechner Spam versendet wird? Habt Ihr einen Mail-Server der als offenes Relay konfiguriert ist?

Bist Du Dir/Dein Chef sich sicher, dass ein externer Dienstleister nicht betriebswirschaftlich sinnvoller wäre?

Marc

SethGecko2 · 18.09.2009, 12:40

Zitat:

Zitat von MightyMarc

1. Hast Du einen offiziellen Auftrag? 2. Wie kommst Du darauf, dass genau von diesem Rechner Spam versendet wird? Habt Ihr einen Mail-Server der als offenes Relay konfiguriert ist?

3. Bist Du Dir/Dein Chef sich sicher, dass ein externer Dienstleister nicht betriebswirschaftlich sinnvoller wäre?

Marc

1. als stellvertretender Geschäftsführer brauche ich keinen Auftrag.
Laut Tcom ist der Rechner dafür verantwortlich von dem ich euch den log schon gepostet habe.
2. Tcom hat mich schriftlich darauf aufmerksam gemacht dass hier Massenmails geschickt werden. Nach Rücksprache mit Tcom ist dieser eine Rechner dafür verantwortich.
3. Ja

SethGecko2 · 18.09.2009, 16:34

So hier die logs...
hat ja ewig gedauert..

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:34
mbam-log-2009-09-18 (17-32-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken.

Nummer 2

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:43
mbam-log-2009-09-18 (17-32-43).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

SethGecko2 · 18.09.2009, 16:40

und Hier nochmal der log txt vom rsit.... teil 1

Logfile of random's system information tool 1.06 (written by random/random)
Run by SethGecko2 at 2009-09-18 17:36:00
Microsoft Windows XP Professional Service Pack 3
System drive C: has 29 GB (37%) free of 78 GB
Total RAM: 2527 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:22, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Toooor\RSIT.exe
C:\Programme\Trend Micro\HijackThis\xxx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19715 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-06-09 171208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347c33e-8762-4905-bf09-768834316c61}]
HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-10-16 322864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6f74-2d53-2644-206d7942484f}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74A0AC27-3753-4080-B94E-557CC43E9E8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

SethGecko2 · 18.09.2009, 16:42

teil 2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-cf4e-4f2b-bdc2-0e72e116a856}]
HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-10-16 505136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2009-06-09 662648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-09 136600]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]
"KMCONFIG"=C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe [2007-03-06 212992]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe [2002-06-05 188416]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-05-29 282624]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2007-10-14 49152]
"hpqSRMon"=C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe [2007-08-22 80896]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA601"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingC3298"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingA4995"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingC5201"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingA455"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingC8557"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingA5945"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingC5640"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingA7546"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingC1313"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingA1540"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingC5420"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingA8710"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingC6816"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingA6293"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingC9151"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingA4201"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingC6661"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingA2380"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingC1754"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingA1450"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingC720"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat

[]
"SpybotDeletingA168"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingC481"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingA4742"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingC917"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingA9616"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingC1050"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingA3178"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingC9969"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingA3171"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingC4135"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-09-10 420176]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB9600"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingD6047"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingB934"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingD6223"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingB426"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingD7238"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingB9153"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingD7697"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingB9303"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingD1581"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingB7136"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingD81"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingB1390"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingD3183"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingB3681"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingD9218"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingB5497"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingD1643"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingB6720"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingD3767"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingB8275"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingD390"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingB4036"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingD4357"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingB2908"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingD7405"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingB7305"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingD3818"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingB1593"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingD1300"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingB9288"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingD8194"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Task"=C:\DOKUME~1\MONIEN~1.000\taskmgr.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2008-10-17 2323680]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-08-30 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
C:\PROGRA~1\Nokia\Ovi\Suite\RUNLAU~1.EXE [2008-11-11 946176]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-03-11 315392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"disablecad"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe"="C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe:*:Enabled:Treiber herunterladen"
"C:\Windows\system32\ZoneLabs\vsmon.exe"="C:\Windows\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"
"C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe"="C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe:*:Enabled:CorelDRW"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe"="C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client"
"C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe"="C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\ACSPMonitor\ASMonitor.exe"="C:\Programme\ACSPMonitor\ASMonitor.exe:*:Enabled:System"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{207a2bd4-6b90-11de-89db-000d1801596c}]
shell\shell00\command - E:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29e9642a-4bf8-11dc-8cfb-0011d8db7c06}]
shell\AutoRun\command - H:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cbc7c95-56d6-11dc-8d0a-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bcaaf0c-3dfc-11de-aee7-000d1801596c}]
shell\autorun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ANdRé.eXe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95411a41-9809-11dc-966e-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ecf37-54c6-11de-92db-000d1801596c}]
shell\AutoRun\command - E:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad10ca4a-8d18-11dc-8d44-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

SethGecko2 · 18.09.2009, 16:43

teil 3

======File associations======

.js - edit -
.js - open -
.txt - open -

======List of files/folders created in the last 1 months======

2009-09-18 17:36:00 ----D---- C:\rsit
2009-09-18 13:17:53 ----D---- C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\Malwarebytes
2009-09-18 13:17:43 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-18 13:17:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-18 12:59:36 ----D---- C:\Programme\CCleaner
2009-09-18 12:22:09 ----D---- C:\Programme\Trend Micro
2009-09-18 11:11:22 ----A---- C:\WINDOWS\wininit.ini
2009-09-18 09:52:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-18 09:52:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-16 11:07:21 ----A---- C:\WINDOWS\ModemLog_Nokia 5800 XpressMusic Bluetooth Modem #3.txt
2009-09-16 11:06:56 ----A---- C:\WINDOWS\ModemLog_Nokia 6220 classic Bluetooth Modem #3.txt
2009-09-14 12:27:23 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\Opera
2009-09-11 17:04:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-09-11 15:13:28 ----D---- C:\WINDOWS\hpoj6500e709
2009-09-11 15:11:00 ----A---- C:\WINDOWS\system32\hpf3l082.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwwiax5.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwtiop4.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpovst11.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\wdfcoinstaller01007.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\nmwcdcocls.dll

======List of files/folders modified in the last 1 months======

2009-09-18 17:36:12 ----D---- C:\WINDOWS\Prefetch
2009-09-18 17:36:10 ----D---- C:\WINDOWS\Internet Logs
2009-09-18 17:35:53 ----D---- C:\Toooor
2009-09-18 17:32:43 ----D---- C:\WINDOWS\system32
2009-09-18 13:17:46 ----D---- C:\WINDOWS\system32\drivers
2009-09-18 13:17:43 ----D---- C:\Programme
2009-09-18 13:14:08 ----D---- C:\Programme\Mozilla Firefox
2009-09-18 13:07:22 ----D---- C:\WINDOWS\Debug
2009-09-18 13:07:22 ----D---- C:\Windows
2009-09-18 13:07:21 ----D---- C:\WINDOWS\Minidump
2009-09-18 13:04:52 ----D---- C:\WINDOWS\Temp
2009-09-18 09:36:51 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-18 09:28:09 ----SHD---- C:\WINDOWS\Installer
2009-09-18 09:28:05 ----HD---- C:\Config.Msi
2009-09-18 09:11:27 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Orbit
2009-09-18 08:54:50 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-17 17:22:21 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-16 17:00:17 ----D---- C:\Downloads
2009-09-16 11:05:38 ----D---- C:\WINDOWS\security
2009-09-14 17:17:37 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-14 12:27:24 ----A---- C:\WINDOWS\win.ini
2009-09-11 15:35:56 ----D---- C:\WINDOWS\WinSxS
2009-09-11 15:29:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2009-09-11 15:23:23 ----D---- C:\Programme\HP
2009-09-11 15:10:45 ----D---- C:\WINDOWS\twain_32
2009-09-11 15:10:08 ----HD---- C:\WINDOWS\inf
2009-09-11 15:02:14 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-09-11 11:23:34 ----SHD---- C:\WINDOWS\CSC
2009-09-11 11:19:29 ----D---- C:\Dokumente und Einstellungen
2009-09-09 14:47:53 ----D---- C:\Programme\Orbitdownloader
2009-09-09 14:41:15 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\HPAppData
2009-09-08 10:43:52 ----SHD---- C:\RECYCLER
2009-09-08 09:37:32 ----A---- C:\WINDOWS\ODBC.INI
2009-08-28 14:39:04 ----A---- C:\WINDOWS\APDatabaseUI.INI
2009-08-27 17:02:31 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\EurekaLog
2009-08-26 13:30:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2009-08-26 13:29:27 ----D---- C:\Programme\Nokia
2009-08-26 13:27:06 ----D---- C:\Programme\Gemeinsame Dateien\Nokia
2009-08-26 13:19:13 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Nokia
2009-08-26 13:17:05 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\PC Suite
2009-08-24 14:58:02 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-03-13 112288]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-03-13 78496]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-03-31 4816]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
R3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888]
R3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-04 18944]
R3 btusbflt;Bluetooth USB Filter; C:\WINDOWS\system32\drivers\btusbflt.sys [2008-02-25 37296]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-11-22 176128]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2003-03-13 90395]
R3 mbamswissarmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-12-19 539008]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 KMWDFilter;KMWDFilter; \??\C:\WINDOWS\System32\Drivers\KMWDFilter.SYS []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 pmxscan;USB Flatbed Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 PRODIGY;PRODIGY; C:\WINDOWS\System32\Drivers\PRODIGY.SYS [2006-08-29 32377]
S3 s116bus;Sony Ericsson Device 116 driver (WDM); C:\WINDOWS\system32\DRIVERS\s116bus.sys [2007-04-03 83336]
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s116mdfl.sys [2007-04-03 15112]
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s116mdm.sys [2007-04-03 108680]
S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s116mgmt.sys [2007-04-03 100488]
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS); C:\WINDOWS\system32\DRIVERS\s116nd5.sys [2007-04-03 23176]
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s116obex.sys [2007-04-03 98696]
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM); C:\WINDOWS\system32\DRIVERS\s116unic.sys [2007-04-03 99080]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\Sandra.sys []
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Cache_c-_cachesys;Caché Controller für CACHE; c:\cachesys\bin\cservice.exe [2003-09-25 40960]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 HPSLPSVC;HP Network Devices Support; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service; C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe [2007-04-05 208896]
R2 net driver hpz12;net driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 pml driver hpz12;pml driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 PSI_SVC_2;Protexis Licensing V2; c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S2 LIVESRV;BitDefender Desktop Update Service; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe [2007-05-15 237568]
S2 TwonkyMedia;TwonkyMedia; C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe [2008-10-20 102400]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-05-17 72704]
S3 APUpdService;APUpdService; C:\WINDOWS\system32\APUpdService.exe [2005-02-15 106496]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [2004-11-10 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

cosinus · 18.09.2009, 17:59

Da ist aber ne Menge an Unsinn drauf!

A. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
C:\WINDOWS\system32\hpf3l082.dll
C:\WINDOWS\system32\hpwwiax5.dll
C:\WINDOWS\system32\hpwtiop4.dll
C:\WINDOWS\system32\hpovst11.dll

B. Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

files to delete:
C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
C:\WINDOWS\system32\hpf3l082.dll
C:\WINDOWS\system32\hpwwiax5.dll
C:\WINDOWS\system32\hpwtiop4.dll
C:\WINDOWS\system32\hpovst11.dll

folders to delete:
C:\WINDOWS\hpoj6500e709

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

C. ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

cosinus · 23.09.2009, 16:22

Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind.

Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile.

23.09.2009, 16:22	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Tcom meckert das von diesem pc Massenmails geschickt werden?!! Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind. Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile. __________________ Logfiles bitte immer in CODE-Tags posten

Tcom meckert das von diesem pc Massenmails geschickt werden?!!

Log-Analyse und Auswertung: Tcom meckert das von diesem pc Massenmails geschickt werden?!!