Tcom meckert das von diesem pc Massenmails geschickt werden?!!
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:48, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\MONIEN~1.000\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rohos] E:\Rohos\agent.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\Software\..\Telephony: DomainName = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = avorga.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = avorga.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = avorga.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19773 bytes

Hallo Seth,
bin zwar kein offizieller Helfer, hab aber trotzdem mal drübergeschaut.

Ich konnte in dem Log nix auffässiges entdecken (hoffe ich täusch mich nicht^^)

Arbeite bitte hier Punkt 2 ab und poste die logfiles


€dit: mir ist noch aufgefallen, dass du den Internet explorer noch in der Version 6 benutzt, aktuell ist Version 8

Hallo und :hallo:

Ist das so rein zufällig ein Bürorechner, Domänenmitglied? :rolleyes:
Wenn ja, tätest Du gut daran, das schnell und freundlich Deiner EDV-Abteilung das mitzuteilen...

Sieht nicht so aus, als hätte die alles fest im Griff...
...aber stimmt schon, das ist die Zuständigkeit der IT-Abteilung.

Marc

Arbeite gerade punkt 2 ab.

Internetexplorer ist alt weil ich ihn nicht benutze. Arbeite nur mit firefox.

Beantworte bitte die Frage, ob wir es hier mit einem Firmenrechner zu tun haben und wer bei Euch dafür zuständig ist.

Marc

stimmt, ist n firmenrechner.
Ist etwas kompliziert, momentan ist keiner da, der das Netzwerk betreut.
Ich habe mal It-Systemelektroniker gelernt, deswegn möchte ich es gerne selber fixen, bevor ich damit jetzt n externen betreue, den ich noch net kenne.
gretzeee

Hast Du einen offiziellen Auftrag? Wie kommst Du darauf, dass genau von diesem Rechner Spam versendet wird? Habt Ihr einen Mail-Server der als offenes Relay konfiguriert ist?

Bist Du Dir/Dein Chef sich sicher, dass ein externer Dienstleister nicht betriebswirschaftlich sinnvoller wäre?

Marc

1. als stellvertretender Geschäftsführer brauche ich keinen Auftrag.
Laut Tcom ist der Rechner dafür verantwortlich von dem ich euch den log schon gepostet habe.
2. Tcom hat mich schriftlich darauf aufmerksam gemacht dass hier Massenmails geschickt werden. Nach Rücksprache mit Tcom ist dieser eine Rechner dafür verantwortich.
3. Ja

Ich will hier nur für die Malwarespezis etwas abklären bevor an der falschen Stelle gesucht wird:

Der Rechner ist in der Domäne und nutzt die Internetanbindung des Netzwerkes oder hat der Rechner einen separaten Zugang?
Ich frage mich nämlich, wie bei einem Rechner in der Domäne der idR über NAT ins Internet kommt, eine Spamquelle genau identifiziert werden kann. Wenn der Rechner einen extra Zugang hat ist das natürlich kein Problem, aber wenn der Rechner in einer Domäne ist und der Provider meldet sich wegen Spams ist meist ein falsch konfigurierter Mailserver schuld.

Marc

1. Der Rechner ist in der Domäne soweit ist das korrekt. Aber der Rechner greift nicht über den domain server aufs inet zu, sondern direkt über den inet router.

2. das habe ich mich auch gefragt, aber tcom ist da irgendwie nicht so gesprächig gewesen, nachdem ich gefragt habe woher die wissen welcher pc es ist. Und sie könnte sogar recht haben, denn spybot search und destroy hat ne menge gefunden, nur leider weiß ich nicht wie ich da ne logdatei rausbekomme die ich hier posten kann...

3. Dieser Rechner läuft nicht über einen maillserver.

gretzeeed

Und den Router nutzt das komplette Netzwerk, oder? Damit wäre mMn lediglich der spammende Anschluss zu ermitteln und das wären alle Rechner die diesen Router nutzen.
Habt Ihr einen Mailserver? Wenn ja, prüfe mal (zB Exchange > System Manager > Nachrichtenstatus) ob der Mailserver Spam versendet.

Ansonsten arbeite ab was Dir unsere Malwarespezis raten. Am sichersten und vermutlich auch ökonomischten wäre eine Neuinstallation des Clients, aber das bleibt Deine Entscheidung.

Marc

1. Ja. Aber Tcom muß doch irgendwie auf diesen rechner kommen, die sagen mir den PCnamen ja nicht einfach so.... die konnten mir genau sagen, wie der pc im netz heiß.

2. Haben wir schon, aber nur zum empfangen und verteilen der nahrichten, der Versand der emails findet über den jeweiligen pc statt.

3. Ja, werde ich tun, warte noch auf die ergebnisse von dem anti malware programm. Und mit einer Neuinstallation hätte ich nur in sofern ein problem, dass ich gerade die xp cd nicht finde. ;)

Dann steht der Rechner als Mailserver im Header. ;)

Wie im header? wie meinst du das?

Ich meine, im Mailheader der (Junk-)Mail steht auch die lokale IP-Adresse des Senders mit drin. Bin ich mir aber jetzt nicht ganz sicher, nur wie soll die TCom sonst den spammenden Rechner ermittelt haben? Da der über einen NAT-Router ins Netz geht, kann man das nicht mal eben so...ist aber auch egal jetzt.

@SethGecko2: Acker wie hier schon von metallica gepostet wurde die Liste ab, biste schon bei oder? Die Logfiles sind von großem Interesse!

Im Emailheader. Da steht dann vermutlich zB
Somit könnte rechnerX als Server/Spamquelle identifiziert werden.

Marc

1. Das würde es erklären....

2. Bin dabei... malewarebites läuft und läuft und läuft (schon seid über eine Stunde)

Ah interessant, danke für die Info....

So hier die logs...
hat ja ewig gedauert..

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:34
mbam-log-2009-09-18 (17-32-21).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> No action taken.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken.

Nummer 2

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2819
Windows 5.1.2600 Service Pack 3

18.09.2009 17:32:43
mbam-log-2009-09-18 (17-32-43).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 631053
Laufzeit: 4 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

und Hier nochmal der log txt vom rsit.... teil 1

Logfile of random's system information tool 1.06 (written by random/random)
Run by SethGecko2 at 2009-09-18 17:36:00
Microsoft Windows XP Professional Service Pack 3
System drive C: has 29 GB (37%) free of 78 GB
Total RAM: 2527 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:22, on 18.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\cachesys\bin\cservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\cachesys\bin\cache.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
c:\cachesys\bin\cache.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe
C:\Programme\Keyboard & Mouse Driver\KMConfig.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Keyboard & Mouse Driver\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Toooor\RSIT.exe
C:\Programme\Trend Micro\HijackThis\xxx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Enhancer - {0347c33e-8762-4905-bf09-768834316c61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA601] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3298] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4995] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5201] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA455] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8557] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKLM\..\RunOnce: [SpybotDeletingA5945] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5640] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKLM\..\RunOnce: [SpybotDeletingA7546] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1313] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1540] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5420] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8710] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6816] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6293] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9151] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4201] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6661] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2380] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1754] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKLM\..\RunOnce: [SpybotDeletingA1450] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC720] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA168] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC481] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingA4742] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC917] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9616] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1050] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3178] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9969] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3171] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4135] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [GBMLite8AgentLaCie] C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9600] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6047] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB934] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6223] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB426] command.com /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7238] cmd.exe /c del "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9153] command.com /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7697] cmd.exe /c del "C:\Programme\ACSPMonitor\ActualSpy.chm"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9303] command.com /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1581] cmd.exe /c del "C:\Programme\ACSPMonitor\asmonitor.exe.manifest"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7136] command.com /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD81] cmd.exe /c del "C:\Programme\ACSPMonitor\f.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1390] command.com /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3183] cmd.exe /c del "C:\Programme\ACSPMonitor\FILE_ID.DIZ"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3681] command.com /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9218] cmd.exe /c del "C:\Programme\ACSPMonitor\libeay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5497] command.com /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1643] cmd.exe /c del "C:\Programme\ACSPMonitor\license.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB6720] command.com /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3767] cmd.exe /c del "C:\Programme\ACSPMonitor\readme.txt"
O4 - HKCU\..\RunOnce: [SpybotDeletingB8275] command.com /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD390] cmd.exe /c del "C:\Programme\ACSPMonitor\rights.bat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4036] command.com /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4357] cmd.exe /c del "C:\Programme\ACSPMonitor\ssleay32.dll"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2908] command.com /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7405] cmd.exe /c del "C:\Programme\ACSPMonitor\unins000.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7305] command.com /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD3818] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\app.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1593] command.com /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1300] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\computer.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9288] command.com /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD8194] cmd.exe /c del "C:\Programme\ACSPMonitor\logs\key.dat"
O4 - HKCU\..\Policies\Explorer\Run: [Task] C:\DOKUME~1\MONIEN~1.000\taskmgr.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: HP Intelligente Auswahl - {dde87865-83c5-48c4-8357-2f5b1aa84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117453624937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1199462553390
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\Software\..\Telephony: DomainName = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: Domain = xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{8410CE13-CDFD-43AF-B6B4-963EB2D72099}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxx.de
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Caché Controller für CACHE (Cache_c-_cachesys) - Unknown owner - c:\cachesys\bin\cservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 19715 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\WGASetup.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - C:\Programme\Orbitdownloader\orbitcth.dll [2009-06-09 171208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347c33e-8762-4905-bf09-768834316c61}]
HP Print Enhancer - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll [2008-10-16 322864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6f74-2d53-2644-206d7942484f}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74A0AC27-3753-4080-B94E-557CC43E9E8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]
AcroIEToolbarHelper Class - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]

teil 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ffffffff-cf4e-4f2b-bdc2-0e72e116a856}]
HP Smart BHO Class - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll [2008-10-16 505136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll [2004-12-14 225280]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - C:\Programme\Orbitdownloader\GrabPro.dll [2009-06-09 662648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-01-09 136600]
"PaperPort PTD"=C:\Programme\ScanSoft\PaperPort\pptd40nt.exe [2004-03-09 57393]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-18 266497]
"UserFaultCheck"=C:\WINDOWS\system32\dumprep 0 -u []
"ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 919016]
"KMCONFIG"=C:\Programme\Keyboard & Mouse Driver\StartAutorun.exe [2007-03-06 212992]
"HPDJ Taskbar Utility"=C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe [2002-06-05 188416]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2006-05-29 282624]
"HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe [2007-10-14 49152]
"hpqSRMon"=C:\Programme\HP\Digital Imaging\bin\hpqSRMon.exe [2007-08-22 80896]
"BluetoothAuthenticationAgent"=bthprops.cpl,,BluetoothAuthenticationAgent []
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA601"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingC3298"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingA4995"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingC5201"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingA455"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingC8557"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingA5945"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingC5640"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingA7546"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingC1313"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingA1540"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingC5420"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingA8710"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingC6816"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingA6293"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingC9151"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingA4201"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingC6661"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingA2380"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingC1754"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingA1450"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingC720"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat

[]
"SpybotDeletingA168"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingC481"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingA4742"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingC917"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingA9616"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingC1050"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingA3178"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingC9969"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingA3171"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingC4135"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []
"Malwarebytes' Anti-Malware"=C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe [2009-09-10 420176]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"PC Suite Tray"=C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]
"GBMLite8AgentLaCie"=C:\Programme\Genie-Soft\GBALite8LaCie\GBMAgent.exe [2008-08-26 189056]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB9600"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingD6047"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Actual Spy Help.lnk []
"SpybotDeletingB934"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingD6223"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Readme.lnk []
"SpybotDeletingB426"=command.com /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingD7238"=cmd.exe /c del C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ActualSpy\Uninstall Actual Spy.lnk []
"SpybotDeletingB9153"=command.com /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingD7697"=cmd.exe /c del C:\Programme\ACSPMonitor\ActualSpy.chm []
"SpybotDeletingB9303"=command.com /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingD1581"=cmd.exe /c del C:\Programme\ACSPMonitor\asmonitor.exe.manifest []
"SpybotDeletingB7136"=command.com /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingD81"=cmd.exe /c del C:\Programme\ACSPMonitor\f.bat []
"SpybotDeletingB1390"=command.com /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingD3183"=cmd.exe /c del C:\Programme\ACSPMonitor\FILE_ID.DIZ []
"SpybotDeletingB3681"=command.com /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingD9218"=cmd.exe /c del C:\Programme\ACSPMonitor\libeay32.dll []
"SpybotDeletingB5497"=command.com /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingD1643"=cmd.exe /c del C:\Programme\ACSPMonitor\license.txt []
"SpybotDeletingB6720"=command.com /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingD3767"=cmd.exe /c del C:\Programme\ACSPMonitor\readme.txt []
"SpybotDeletingB8275"=command.com /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingD390"=cmd.exe /c del C:\Programme\ACSPMonitor\rights.bat []
"SpybotDeletingB4036"=command.com /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingD4357"=cmd.exe /c del C:\Programme\ACSPMonitor\ssleay32.dll []
"SpybotDeletingB2908"=command.com /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingD7405"=cmd.exe /c del C:\Programme\ACSPMonitor\unins000.exe []
"SpybotDeletingB7305"=command.com /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingD3818"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\app.dat []
"SpybotDeletingB1593"=command.com /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingD1300"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\computer.dat []
"SpybotDeletingB9288"=command.com /c del C:\Programme\ACSPMonitor\logs\key.dat []
"SpybotDeletingD8194"=cmd.exe /c del C:\Programme\ACSPMonitor\logs\key.dat []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Task"=C:\DOKUME~1\MONIEN~1.000\taskmgr.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia FastStart]
C:\Programme\Nokia\Nokia Music\NokiaMusic.exe [2008-10-17 2323680]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-08-30 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
C:\PROGRA~1\MICROS~2\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Nokia Ovi Suite.lnk]
C:\PROGRA~1\Nokia\Ovi\Suite\RUNLAU~1.EXE [2008-11-11 946176]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2003-03-11 315392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"disablecad"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe"="C:\Programme\Adobe\Acrobat 6.0\Reader\plug_ins\Printme\ConsoleApp.exe:*:Enabled:Treiber herunterladen"
"C:\Windows\system32\ZoneLabs\vsmon.exe"="C:\Windows\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service"
"C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe"="C:\Programme\Corel\Corel Graphics 12\Programs\CorelDRW.exe:*:Enabled:CorelDRW"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Orbitdownloader\orbitdm.exe"="C:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"C:\Programme\Orbitdownloader\orbitnet.exe"="C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe"="C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client"
"C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe"="C:\Windows\system32\ZoneLabs\avsys\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS340.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"%windir%\system32\pol32evt.exe"="%windir%\system32\pol32evt.exe:LocalSubNet:Enabled:Public ShareFolder - Client"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe"="C:\Dokumente und Einstellungen\xxx.xxx\Lokale Einstellungen\Temp\7zS29B.tmp\setup\HPZnui01.exe:*:Enabled:hpznui01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe"="C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe"="C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe"="C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe"="C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymedia.exe:*:Enabled:TwonkyMedia"
"C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe"="C:\Programme\Nokia\Nokia Home Media Server\Media Server\twonkymediaserver.exe:*:Enabled:TwonkyMediaServer"
"C:\Programme\ACSPMonitor\ASMonitor.exe"="C:\Programme\ACSPMonitor\ASMonitor.exe:*:Enabled:System"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{207a2bd4-6b90-11de-89db-000d1801596c}]
shell\shell00\command - E:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29e9642a-4bf8-11dc-8cfb-0011d8db7c06}]
shell\AutoRun\command - H:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cbc7c95-56d6-11dc-8d0a-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8bcaaf0c-3dfc-11de-aee7-000d1801596c}]
shell\autorun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ANdRé.eXe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95411a41-9809-11dc-966e-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f2ecf37-54c6-11de-92db-000d1801596c}]
shell\AutoRun\command - E:\Menu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad10ca4a-8d18-11dc-8d44-0011d8db7c06}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
shell\Open\command - E:\Boot.exe e

teil 3

======File associations======

.js - edit -
.js - open -
.txt - open -

======List of files/folders created in the last 1 months======

2009-09-18 17:36:00 ----D---- C:\rsit
2009-09-18 13:17:53 ----D---- C:\Dokumente und Einstellungen\xxx.xxx\Anwendungsdaten\Malwarebytes
2009-09-18 13:17:43 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-18 13:17:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-18 12:59:36 ----D---- C:\Programme\CCleaner
2009-09-18 12:22:09 ----D---- C:\Programme\Trend Micro
2009-09-18 11:11:22 ----A---- C:\WINDOWS\wininit.ini
2009-09-18 09:52:31 ----D---- C:\Programme\Spybot - Search & Destroy
2009-09-18 09:52:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-16 11:07:21 ----A---- C:\WINDOWS\ModemLog_Nokia 5800 XpressMusic Bluetooth Modem #3.txt
2009-09-16 11:06:56 ----A---- C:\WINDOWS\ModemLog_Nokia 6220 classic Bluetooth Modem #3.txt
2009-09-14 12:27:23 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\Opera
2009-09-11 17:04:42 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-09-11 15:13:28 ----D---- C:\WINDOWS\hpoj6500e709
2009-09-11 15:11:00 ----A---- C:\WINDOWS\system32\hpf3l082.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwwiax5.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpwtiop4.dll
2009-09-11 15:10:10 ----RA---- C:\WINDOWS\system32\hpovst11.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\wdfcoinstaller01007.dll
2009-08-26 13:30:02 ----A---- C:\WINDOWS\system32\nmwcdcocls.dll

======List of files/folders modified in the last 1 months======

2009-09-18 17:36:12 ----D---- C:\WINDOWS\Prefetch
2009-09-18 17:36:10 ----D---- C:\WINDOWS\Internet Logs
2009-09-18 17:35:53 ----D---- C:\Toooor
2009-09-18 17:32:43 ----D---- C:\WINDOWS\system32
2009-09-18 13:17:46 ----D---- C:\WINDOWS\system32\drivers
2009-09-18 13:17:43 ----D---- C:\Programme
2009-09-18 13:14:08 ----D---- C:\Programme\Mozilla Firefox
2009-09-18 13:07:22 ----D---- C:\WINDOWS\Debug
2009-09-18 13:07:22 ----D---- C:\Windows
2009-09-18 13:07:21 ----D---- C:\WINDOWS\Minidump
2009-09-18 13:04:52 ----D---- C:\WINDOWS\Temp
2009-09-18 09:36:51 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-18 09:28:09 ----SHD---- C:\WINDOWS\Installer
2009-09-18 09:28:05 ----HD---- C:\Config.Msi
2009-09-18 09:11:27 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Orbit
2009-09-18 08:54:50 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-09-17 17:22:21 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-09-16 17:00:17 ----D---- C:\Downloads
2009-09-16 11:05:38 ----D---- C:\WINDOWS\security
2009-09-14 17:17:37 ----A---- C:\WINDOWS\NeroDigital.ini
2009-09-14 12:27:24 ----A---- C:\WINDOWS\win.ini
2009-09-11 15:35:56 ----D---- C:\WINDOWS\WinSxS
2009-09-11 15:29:30 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2009-09-11 15:23:23 ----D---- C:\Programme\HP
2009-09-11 15:10:45 ----D---- C:\WINDOWS\twain_32
2009-09-11 15:10:08 ----HD---- C:\WINDOWS\inf
2009-09-11 15:02:14 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-09-11 11:23:34 ----SHD---- C:\WINDOWS\CSC
2009-09-11 11:19:29 ----D---- C:\Dokumente und Einstellungen
2009-09-09 14:47:53 ----D---- C:\Programme\Orbitdownloader
2009-09-09 14:41:15 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\HPAppData
2009-09-08 10:43:52 ----SHD---- C:\RECYCLER
2009-09-08 09:37:32 ----A---- C:\WINDOWS\ODBC.INI
2009-08-28 14:39:04 ----A---- C:\WINDOWS\APDatabaseUI.INI
2009-08-27 17:02:31 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\EurekaLog
2009-08-26 13:30:14 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2009-08-26 13:29:27 ----D---- C:\Programme\Nokia
2009-08-26 13:27:06 ----D---- C:\Programme\Gemeinsame Dateien\Nokia
2009-08-26 13:19:13 ----D---- C:\Dokumente und Einstellungen\xxxx.xxxx\Anwendungsdaten\Nokia
2009-08-26 13:17:05 ----D---- C:\Dokumente und Einstellungen\xxx.xxxx\Anwendungsdaten\PC Suite
2009-08-24 14:58:02 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-28 75096]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-18 21248]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2007-12-13 394952]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-04 12032]
R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2003-03-13 112288]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2003-03-13 78496]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-03-31 4816]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINDOWS\system32\DRIVERS\BthEnum.sys [2008-04-13 17024]
R3 BTHMODEM;Bluetooth-Modemkommunikationstreiber; C:\WINDOWS\system32\DRIVERS\bthmodem.sys [2008-04-13 37888]
R3 BthPan;Bluetooth-Gerät (PAN); C:\WINDOWS\system32\DRIVERS\bthpan.sys [2008-04-13 101120]
R3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINDOWS\System32\Drivers\BTHUSB.sys [2004-08-04 18944]
R3 btusbflt;Bluetooth USB Filter; C:\WINDOWS\system32\drivers\btusbflt.sys [2008-02-25 37296]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2004-11-22 176128]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2003-03-13 90395]
R3 mbamswissarmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINDOWS\system32\DRIVERS\rfcomm.sys [2008-04-13 59136]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-12-19 539008]
R3 StillCam;Treiber für serielle Digitalkamera; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-18 7040]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 BTHPORT;Bluetooth-Porttreiber; C:\WINDOWS\System32\Drivers\BTHport.sys [2008-06-14 273024]
S3 KMWDFilter;KMWDFilter; \??\C:\WINDOWS\System32\Drivers\KMWDFilter.SYS []
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2008-08-26 18816]
S3 pmxscan;USB Flatbed Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 PRODIGY;PRODIGY; C:\WINDOWS\System32\Drivers\PRODIGY.SYS [2006-08-29 32377]
S3 s116bus;Sony Ericsson Device 116 driver (WDM); C:\WINDOWS\system32\DRIVERS\s116bus.sys [2007-04-03 83336]
S3 s116mdfl;Sony Ericsson Device 116 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\s116mdfl.sys [2007-04-03 15112]
S3 s116mdm;Sony Ericsson Device 116 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\s116mdm.sys [2007-04-03 108680]
S3 s116mgmt;Sony Ericsson Device 116 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\s116mgmt.sys [2007-04-03 100488]
S3 s116nd5;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS); C:\WINDOWS\system32\DRIVERS\s116nd5.sys [2007-04-03 23176]
S3 s116obex;Sony Ericsson Device 116 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\s116obex.sys [2007-04-03 98696]
S3 s116unic;Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM); C:\WINDOWS\system32\DRIVERS\s116unic.sys [2007-04-03 99080]
S3 SANDRA;SANDRA; \??\C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\Sandra.sys []
S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM); C:\WINDOWS\system32\DRIVERS\SE27bus.sys [2006-09-18 61600]
S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter; C:\WINDOWS\system32\DRIVERS\SE27mdfl.sys [2006-09-18 9360]
S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver; C:\WINDOWS\system32\DRIVERS\SE27mdm.sys [2006-09-18 97184]
S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM); C:\WINDOWS\system32\DRIVERS\SE27mgmt.sys [2006-09-18 88688]
S3 se27nd5;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS); C:\WINDOWS\system32\DRIVERS\se27nd5.sys [2006-09-18 18704]
S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface; C:\WINDOWS\system32\DRIVERS\SE27obex.sys [2006-09-18 86560]
S3 se27unic;Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM); C:\WINDOWS\system32\DRIVERS\se27unic.sys [2006-09-18 90800]
S3 upperdev;upperdev; C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2008-03-27 503008]
S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-15 82688]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-24 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-24 151297]
R2 Brother XP spl Service;BrSplService; C:\WINDOWS\system32\brsvc01a.exe [2002-04-12 57344]
R2 BthServ;Bluetooth Support Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 Cache_c-_cachesys;Caché Controller für CACHE; c:\cachesys\bin\cservice.exe [2003-09-25 40960]
R2 hpqddsvc;HP CUE DeviceDiscovery Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 HPSLPSVC;HP Network Devices Support; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service; C:\Programme\Keyboard & Mouse Driver\KMWDSrv.exe [2007-04-05 208896]
R2 net driver hpz12;net driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 pml driver hpz12;pml driver hpz12; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R2 PSI_SVC_2;Protexis Licensing V2; c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe [2007-07-24 185632]
R2 vsmon;TrueVector Internet Monitor; C:\Windows\system32\ZoneLabs\vsmon.exe [2007-12-13 75304]
R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 hpqcxs08;hpqcxs08; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R3 ServiceLayer;ServiceLayer; C:\Programme\PC Connectivity Solution\ServiceLayer.exe [2008-11-11 620544]
S2 LIVESRV;BitDefender Desktop Update Service; C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe [2007-05-15 237568]
S2 TwonkyMedia;TwonkyMedia; C:\Programme\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe [2008-10-20 102400]
S3 Adobe LM Service;Adobe LM Service; C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe [2006-05-17 72704]
S3 APUpdService;APUpdService; C:\WINDOWS\system32\APUpdService.exe [2005-02-15 106496]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 TUWinStylerThemeSvc;TuneUp WinStyler Theme Service; C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe [2004-11-10 118272]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-10-24 920576]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Da ist aber ne Menge an Unsinn drauf! :eek:

A. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:


B. Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus. Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.



C. ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

ZU A:
B folgt

C:\DOKUME~1\MONIEN~1.000\taskmgr.exe

Nicht vorhanden.


C:\WINDOWS\system32\hpf3l082.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 118272 bytes
MD5...: 0a0c8331e26f1ec7741cce6a91e9167d
SHA1..: ff258352f54df7ed8681932837898361339ae345
SHA256: 302b38ab143c8172c43ee551ba7ad7ecd76142b737ced6bd3d20daf9a018ec12
ssdeep: 1536:Q+28+HboAaa9TstTlxj6HK/nOUHb9I2m0Dsikgm5gws0SWoCXX5gFaP:Q+2
4AaGstZxNOqgsWdX5gFaP
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc1ca
timedatestamp.....: 0x48a11f73 (Tue Aug 12 05:28:19 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19729 0x19800 6.39 e74c05ecd0a7ec4e0cb32d09d6c5519c
.data 0x1b000 0x2ce4 0x1200 2.30 2e8e066765937832fd16b8f3eb20a7f2
.rsrc 0x1e000 0x3a0 0x400 3.06 84531d25d1040855286854537a932b0e
.reloc 0x1f000 0x1b14 0x1c00 4.86 5ee352f138bade228a25462b67e5df3a

( 4 imports )
> KERNEL32.dll: GetUserDefaultUILanguage, LoadLibraryExW, CreateThread, OpenEventW, CreateEventW, CloseHandle, GetExitCodeThread, SetEvent, LoadResource, FindResourceExW, EnumResourceTypesW, EnumResourceNamesW, EnumResourceLanguagesW, SetLastError, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, GlobalFree, GlobalAlloc, DeleteCriticalSection, LoadLibraryW, DisableThreadLibraryCalls, InitializeCriticalSection, Sleep, lstrlenW, CompareStringW, SetThreadPriority, GetThreadPriority, GetCurrentThread, GetCommandLineA, GetVersionExA, RtlUnwind, HeapFree, HeapAlloc, RaiseException, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, InterlockedDecrement, GetCurrentThreadId, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, FreeLibrary, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualAlloc, HeapReAlloc, WriteFile, GetCPInfo, GetACP, GetOEMCP, OutputDebugStringA, HeapSize, LoadLibraryA, GetModuleHandleW, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode, VirtualProtect, GetSystemInfo, VirtualQuery, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, WaitForSingleObject, ResetEvent, GetProcAddress, GetLastError, GetEnvironmentStringsW, GetVersionExW, LocalAlloc, GetPrivateProfileStringW, LocalFree
> ADVAPI32.dll: RegQueryValueExW, RegSetValueExW, RegCloseKey, RegCreateKeyExW
> USER32.dll: IsCharAlphaNumericW
> WINSPOOL.DRV: SetJobW, ClosePrinter, OpenPrinterW, GetPrinterDriverW

( 2 exports )
DllMain, InitializePrintMonitor2
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Hewlett-Packard Company
copyright....: Copyright (C) 1999
product......: Language Monitor
description..: LanguageMonitor
original name: n/a
internal name: LanguageMonitor
file version.: 70.082.15.00
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned


C:\WINDOWS\system32\hpwwiax5.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 741376 bytes
MD5...: 986f5143b56b8e4889cac91ea81583dd
SHA1..: 93ce85111871bfd8cddf76e1653ae6c5a9eae967
SHA256: 0cab0c6ef7e58c8140868587d58872a97766dc3e5918e2776b684f234e64a773
ssdeep: 12288:1PoSPD/o5BYJ9vJ4abMzQI1FdyYlKTp0wgG8CPSFMdQ2vF1vWQ:13o5BYJ
9v2aCfQOw0c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x590f3
timedatestamp.....: 0x48e5bed3 (Fri Oct 03 06:42:27 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x74702 0x75000 6.71 b695750ad9364eec63c4552d17a63893
.rdata 0x76000 0x21d55 0x22000 5.84 fb6478c4f7e44c909c588bced9db9a9f
.data 0x98000 0x5900 0x4000 4.59 9d8362390d33d490590ddcad604758df
TulipLog 0x9e000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x9f000 0xf1e8 0x10000 6.11 e7a259ce82f3b85ea1d34d7c6a1cb6ad
.reloc 0xaf000 0x7f16 0x8000 5.96 f90c8f684bf9e4dcdb35f9caa4c8e744

( 7 imports )
> wiaservc.dll: wiasGetChangedValueGuid, wiasWritePropStr, wiasSetValidRangeLong, wiasSetItemPropNames, wiasWriteMultiple, wiasSetItemPropAttribs, wiasWritePropGuid, wiasReadPropBin, wiasReadPropGuid, wiasCreateDrvItem, wiasCreatePropContext, wiasGetChangedValueLong, wiasUpdateValidFormat, wiasReadPropStr, wiasFreePropContext, wiasValidateItemProperties, wiasSendEndOfPage, wiasGetImageInformation, wiasWriteBufToFile, wiasGetRootItem, wiasReadPropLong, wiasGetContextFromName, wiasSetPropChanged, wiasGetItemType, wiasGetDrvItem, wiasWritePropLong, wiasReadMultiple
> KERNEL32.dll: GetStringTypeW, GetStringTypeA, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetTimeZoneInformation, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStartupInfoA, MultiByteToWideChar, WideCharToMultiByte, lstrlenW, RaiseException, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrlenA, lstrcmpiA, DisableThreadLibraryCalls, GetModuleFileNameA, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, ResetEvent, SetEvent, WriteFile, ReadFile, WaitForSingleObject, CloseHandle, GetTempPathA, GetTempFileNameA, EnumSystemLocalesA, LoadLibraryA, GetCurrentProcessId, ReleaseSemaphore, LocalFree, CreateFileA, SetFilePointer, GlobalUnlock, GlobalLock, GlobalAlloc, InterlockedExchange, GetTickCount, DeleteFileA, GetLocalTime, GetFileSize, MapViewOfFile, CreateFileMappingA, UnmapViewOfFile, GetCurrentThreadId, LocalAlloc, FreeResource, LockResource, SetErrorMode, CreateEventA, SetEndOfFile, OutputDebugStringA, InterlockedExchangeAdd, GetOverlappedResult, WaitForMultipleObjects, DeviceIoControl, Sleep, GetVersionExA, CancelIo, HeapDestroy, VirtualFree, ExitProcess, GetCPInfo, LCMapStringW, LCMapStringA, GetProcessHeap, GetCommandLineA, GetSystemTimeAsFileTime, CreateSemaphoreA, GetUserDefaultLCID, IsValidLocale, CreateThread, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileW, CompareStringA, CompareStringW, SetEnvironmentVariableA, GetProcAddress, ExitThread, IsDebuggerPresent, GetFileType, SetHandleCount, IsValidCodePage, GetOEMCP, HeapSize, SetLastError, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, HeapReAlloc, RtlUnwind, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, HeapFree, HeapAlloc, GetACP, GetLocaleInfoA, GetThreadLocale, HeapCreate
> USER32.dll: MessageBoxA, TranslateMessage, GetDC, UnregisterClassA, MsgWaitForMultipleObjects, DispatchMessageA, PeekMessageA, PostQuitMessage, CharNextA, ReleaseDC
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegCloseKey, RegOpenKeyA, RegQueryValueExA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegDeleteValueA, RegDeleteKeyA
> ole32.dll: CLSIDFromString, CoGetClassObject, StringFromIID, CreateStreamOnHGlobal, PropVariantClear, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemRealloc, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (52.6%)
Windows OCX File (32.2%)
Win32 Executable MS Visual C++ (generic) (9.8%)
Win32 Executable Generic (2.2%)
Win32 Dynamic Link Library (generic) (1.9%)
sigcheck:
publisher....: Hewlett-Packard
copyright....: (c) Copyright 2000-2005 Hewlett-Packard Company
product......: hpwwiax5.dll
description..: Hewlett-Packard WIA minidriver.
original name: hpwwiax5.dll
internal name: hpwwiax5.dll
file version.: 12.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


C:\WINDOWS\system32\hpwtiop4.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 966656 bytes
MD5...: 2276e4695748f2902f971b6fe9816e46
SHA1..: 97aa3e3e42c1a71d048a6b72c78c837a98648805
SHA256: ee66e2d64b22cb25d0643321bf51f2faaf110cca6f183af284739b9f2564fcdb
ssdeep: 12288:0q1yEjZkO0IyIAm06xIxtqEBdeDCvxBnYSSv99mfQ2y3xaQQC9DQ03RWyE
i9b:0q1yCXv7extVBxAL2y3lQ03wdq
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x69e6c
timedatestamp.....: 0x48e9c849 (Mon Oct 06 08:11:53 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x96cbd 0x97000 6.73 c9ade3bd7c14f09e154c2c1294c5df01
.rdata 0x98000 0x357b5 0x36000 5.64 9bd0cf00d99d51a55cf9019cbf47d3e4
.data 0xce000 0x117e4 0x6000 4.87 65dfd572739cbbb5538b74c7919ba853
TulipLog 0xe0000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xe1000 0x6b90 0x7000 4.57 7f53a07facacaf0e0d222ab021c18364
.reloc 0xe8000 0xf3c0 0x10000 6.19 2c24af4afad54dc3c77a91a24f343d5a

( 9 imports )
> SETUPAPI.dll: SetupDiOpenClassRegKey
> KERNEL32.dll: lstrcmpiA, GetModuleFileNameA, DisableThreadLibraryCalls, IsDBCSLeadByte, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, GetModuleHandleA, CreateSemaphoreA, GetProcAddress, LoadLibraryA, GetCurrentProcessId, WaitForSingleObject, ReleaseSemaphore, CloseHandle, GetCurrentThreadId, GetTempPathA, GetTickCount, InterlockedExchangeAdd, OutputDebugStringA, InterlockedExchange, GetLocalTime, GetVersionExA, lstrlenA, GetTempFileNameA, WriteFile, SetFilePointer, CreateFileA, TlsAlloc, TlsFree, TlsGetValue, TlsSetValue, CreateEventA, SetThreadPriority, CreateThread, CreateMutexA, ReleaseMutex, WaitForMultipleObjects, FindNextChangeNotification, ResetEvent, SetEvent, DeviceIoControl, GetThreadLocale, InterlockedDecrement, InterlockedIncrement, GetLastError, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, CreateFileW, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetOverlappedResult, Sleep, SetEndOfFile, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, IsValidLocale, EnumSystemLocalesA, GetConsoleMode, SetConsoleCtrlHandler, ExitProcess, GetProcessHeap, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoW, GetLocaleInfoA, SetStdHandle, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, ReadFile, FlushFileBuffers, GetConsoleCP, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, HeapSize, SetLastError, GetStdHandle, HeapCreate, HeapDestroy, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, GetCommandLineA, VirtualFree
> USER32.dll: CharNextA, UnregisterClassA, wsprintfA
> ADVAPI32.dll: SetSecurityDescriptorDacl, RegEnumKeyA, RegOpenKeyA, RegQueryValueExA, InitializeSecurityDescriptor, RegEnumKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegDeleteValueA, RegDeleteKeyA
> SHELL32.dll: SHGetFolderPathA
> ole32.dll: CoTaskMemRealloc, CoTaskMemFree, StringFromGUID2, CoCreateInstance, StringFromIID, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> RPCRT4.dll: UuidCreate
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, WSACloseEvent, -, WSAEventSelect, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
trid..: DirectShow filter (50.8%)
Windows OCX File (31.1%)
Win32 Executable MS Visual C++ (generic) (9.5%)
Windows Screen Saver (3.3%)
Win32 Executable Generic (2.1%)
pdfid.: -
sigcheck:
publisher....: Hewlett-Packard Co.
copyright....: Copyright (C) Hewlett-Packard Co. 1995-2004
product......: hp digital imaging - hp all-in-one series
description..: HP AiO Scan Driver - iop
original name: hpwtiop4.DLL
internal name: hpwtiop4
file version.: 51.0.113.000
comments.....: HP AiO Scan Driver - hpwtiop4
signers......: -
signing date.: -
verified.....: Unsigned


C:\WINDOWS\system32\hpovst11.dll

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.19 -
AntiVir 7.9.1.19 2009.09.18 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.20 -
Avast 4.8.1351.0 2009.09.20 -
AVG 8.5.0.412 2009.09.20 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2388 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6746 2009.09.18 -
F-Prot 4.5.1.85 2009.09.20 -
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.849 2009.09.19 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5747 2009.09.20 -
McAfee+Artemis 5747 2009.09.20 -
McAfee-GW-Edition 6.8.5 2009.09.20 -
Microsoft 1.5005 2009.09.21 -
NOD32 4441 2009.09.19 -
Norman 6.01.09 2009.09.18 -
nProtect 2009.1.8.0 2009.09.20 -
Panda 10.0.2.2 2009.09.20 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.01.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.20 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.012 2009.09.18 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.20 -
ViRobot 2009.9.21.1944 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.20 -
weitere Informationen
File size: 294912 bytes
MD5...: ab8ec24792cceeb92e2d372fc98f159d
SHA1..: 88cd30b719f768c2d7444204c4a9714f5b9bada0
SHA256: 1870c75d652caa0deae182ca5d4ec242938643607ece3f78377f05e10b1ed744
ssdeep: 3072:RmSyISNSbhPBc8ZHWdCKLiraNEgb75Be6Lxl+R/yPK5Ar7GAb5u8JxcKWrm
xxtxz:gTYpZDWHn52ryrtb3cK1u7w
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13b62
timedatestamp.....: 0x4573c9cf (Mon Dec 04 07:10:07 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x34543 0x35000 6.68 51f72b2ca034b34a3b5f288657d51449
.rdata 0x36000 0xa9f5 0xb000 5.49 8b6752c00f7bb26be5564ee5e56d8410
.data 0x41000 0x39ac 0x2000 3.60 91625ae366e4fffdbee83aad399d9cd9
TulipLog 0x45000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x46000 0x620 0x1000 3.98 c9261d7ad9c4fe00c4254c2f3174819d
.reloc 0x47000 0x2b4e 0x3000 6.38 5f106ec3e8eb4eac526f64b1441a538d

( 5 imports )
> SETUPAPI.dll: SetupDiGetSelectedDriverA, SetupDiOpenDevRegKey, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiGetDeviceRegistryPropertyA, SetupCloseInfFile, SetupInstallFromInfSectionA, SetupDiGetDeviceInstanceIdA, SetupDiOpenClassRegKey, SetupDiDestroyDeviceInfoList, SetupDiGetDriverInfoDetailA, SetupOpenInfFileA, SetupDiGetActualSectionToInstallA
> KERNEL32.dll: WriteConsoleA, CreateFileA, ReadFile, SetConsoleCtrlHandler, lstrlenA, GetLastError, GetVersionExA, RemoveDirectoryA, DeleteFileA, GetWindowsDirectoryA, GetPrivateProfileStringA, GetUserDefaultLangID, CopyFileA, CreateDirectoryA, GetFileAttributesA, OutputDebugStringA, lstrcpyA, lstrcatA, lstrcpynA, CreateSemaphoreA, GetCurrentProcessId, GetConsoleOutputCP, ReleaseSemaphore, InterlockedDecrement, WideCharToMultiByte, CloseHandle, GetCurrentThreadId, InterlockedIncrement, GetTempPathA, FreeResource, LockResource, LoadResource, SizeofResource, FindResourceA, GetModuleFileNameA, FreeLibrary, GetProcAddress, LoadLibraryA, InterlockedExchangeAdd, InterlockedExchange, IsValidCodePage, IsValidLocale, EnumSystemLocalesA, WriteConsoleW, SetStdHandle, GetLocaleInfoW, GetTimeZoneInformation, CreateFileW, SetEndOfFile, CompareStringA, CompareStringW, WaitForSingleObject, EnterCriticalSection, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, InterlockedCompareExchange, MultiByteToWideChar, Sleep, InitializeCriticalSection, DeleteCriticalSection, SetEnvironmentVariableA, LeaveCriticalSection, GetACP, GetLocaleInfoA, GetThreadLocale, RtlUnwind, RaiseException, HeapFree, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, HeapAlloc, GetProcessHeap, LCMapStringA, LCMapStringW, GetCPInfo, GetModuleHandleA, ExitProcess, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, HeapSize, GetOEMCP, VirtualQuery, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, FatalAppExitA, VirtualAlloc, HeapReAlloc, WriteFile, GetConsoleCP, GetConsoleMode, FlushFileBuffers, SetFilePointer, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetStringTypeA
> USER32.dll: wvsprintfA, wsprintfA
> ADVAPI32.dll: RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegOpenKeyExA, RegOpenKeyA, RegQueryValueExA, RegCloseKey, RegSetValueExA, RegDeleteValueA
> ole32.dll: CoTaskMemFree, StringFromIID, CoCreateInstance

( 5 exports )
_DllEntryPoint@@YGHPAUHINSTANCE__@@KPAX@Z, HPScannerCoInstaller, InstallScanJetSoftware, RemoveTWAIN32Subdirectories, _DllMain@12
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Hewlett-Packard Co.
copyright....: Copyright (C) Hewlett-Packard Co. 1995-2005
product......: hp digital imaging - hp all-in-one series
description..: HP Scan VendorSetup/Co-Installer
original name: HPOVST11.DLL
internal name: HPOVST11
file version.: 82.0.168.000
comments.....: HP Scan VendorSetup/Co-Installer
signers......: -
signing date.: -
verified.....: Unsigned

ZU B:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\DOKUME~1\MONIEN~1.000\taskmgr.exe" not found!
Deletion of file "C:\DOKUME~1\MONIEN~1.000\taskmgr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\hpf3l082.dll" deleted successfully.
File "C:\WINDOWS\system32\hpwwiax5.dll" deleted successfully.
File "C:\WINDOWS\system32\hpwtiop4.dll" deleted successfully.
File "C:\WINDOWS\system32\hpovst11.dll" deleted successfully.
Folder "C:\WINDOWS\hpoj6500e709" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ZU C:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Von ZoneAlarm solltest Du Dich trennen.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Klar kein ding, kann ich machen.
Kannst du mir ne gute Firewall empfehlen?

Windows-Firewall!!

Und wie sehen meine log sonst so aus? ist der PC immernoch infiziert?

Mittlerweile rel. unauffällig, aber ich hab Dich gebeten, einige Dateien auszuwerten. Mach das bitte noch.

c:\windows\hpwmdl23.dat nich vorhanden

c:\windows\bthservsdp.dat ist nicht vorhanden

Ok, das sieht gut aus! Sach Bescheid wenn noch weitere oder immer noch die gleichen Probleme da sind.

Mach zur Überprüfung bitte noch ein frisches RSIT-Logfile.

Fu** immer noch das gleiche Problem, ich habe gerade mal Tcom angerufen und die haben mir mitgeteilt das lustig weiter spam von diesem rechner verschickt wird.

Da wird man doch bekloppt.

2ter teil

Nimmt groteske Formen an, ich seh nicht wirklich was Schlimmes. :(

Lass mal evtl. Rootkits aufspüren => GMER - Anleitung

Bin dabei, habe jetzt erstmal die netzwerk/internetverbindung von diesem pc getrennt. Die ergebnisse werde ich dann posten, sobald der test durch ist, ich nehme an dass das etwas dauert.

nächstes problem, der pc wird automatisch neu gestartet wärend die analyse läuft. das heißt ich bekomme kein resultat.
was nu?

Problemsignatur

BCCode : 10000050 BCP1 : FDD69000 BCP2 : 00000000 BCP3 : B09377E3
BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

Schau mal ob Du mit der Windows-Suche (auch nach versteckten Dateien suchen lassen!) so eine Datei findest:

Wenn ja, bitte auswerten lassen bei Virustotal!

Danach zumindest mal diesen hässlichen Eintrag entfernen, müssen wir scripten mit Combofix:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein:

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Bei welcher Abteilung hast du denn angerufen?

Hoffentlich nicht die, die einem die gelbe Pest andrehen wollen :eek: :kloppen:

Ich habe sone Datei nicht gefunden....

soll ich das Combofix dennoch ausführen?



gewarnt wurde ich von der abteilung produkmanagement und zurückgerufen von einer anderen abteilung (techniker).

Die konnten mir genaus sagen wann und wie oft sich andere provider beschwert haben....

Ja mach das mit Combofix.

2ter teil

Ok der Techniker war vermutlich von der Abuse Abteilung.

Offensichtliches sehe ich dort nicht mehr, aber das hatten wir schonmal :o
Spamt der Rechner immer noch herum? Wenn ja, wann das letzte mal?

er kann ja nicht mehr spamen, er ist ja seid tagen ohne netzwerkzugriff und auch ohne internet. ;).

Tja, wie gesagt, in den Logfiles seh ich nichts mehr.
Ist jetzt Deine Entscheidung, ob Du ihn wieder ins Netzwerk nehmen willst oder nicht.
Wenn die Kiste aber wieder herumspammt, würde ich an Deiner Stelle einfach plattmachen und neu aufsetzen.

Und das habe ich jetzt auch gemacht.
Formatiert und alles neu drauf.

dennoch danke für deine Hilfe.

Ist auch das Sicherste. Nach einer Bereinigung gibt es keine Garantie auf "Sauberkeit" :D