pc ist nach virenbefall sehr langsam

#1 Hallo,

nach Virenbefallsmeldungen ist der PC sehr langsam geworden.

Ich habe besonders Sorge, dass sich auf dem PC etwas eingenistet hat, was mich ausforscht oder schädigt.

Der PC hat ein Virenschutzprogramm von ESET : NOD32 2.5

Folgendes habe ich unternommen:

Ich habe das Tool Fixwareout laufen lassen (hatte nichts gemeldet)

Ich habe im Abgesicherten Modus laufen lassen:
meinen Virenscanner nod32
adaware
spyboot sd
Multi-AV (Sophos, Trend Micro und Kaspersky, McAfee lief nicht)
cw-shredder und den online spyware-prüfer von Trens-Micro

all diese Programme haben nichts Bedenkliches gefunden (nach den Meldungen)

Folgendes füge ich noch ein:
1. das aktuelle Logfile
2. das log vom soeben erfolgten Lauf des Silentrunners
3. Auswertungen von Datfind.bat

Bitte nicht auf meine Ausdrucksweise achten, ich bin ein Laie.

Für Hilfe wäre ich sehr dankbar!

trimalcio



Nummer 1:

Logfile of HijackThis v1.99.1
Scan saved at 16:25:45, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Haufe\iDesk\iDeskService\python.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Eigene Dateien\4. Programme\Reiniger\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139392927859
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73D829C0-840E-4C54-ACD8-8EDB87FA3C25}: NameServer = 192.168.250.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{A761981E-A74D-4F90-97D7-2FECD580747F}: NameServer = 192.168.2.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe


Nummer 2:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"LaunchApp" = "Alaunch" ["Acer Inc."]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"Persistence" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"High Definition Audio Property Page Shortcut" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"]
"AzMixerSel" = "C:\Programme\Realtek\InstallShield\AzMixerSel.exe" ["Realtek Semiconductor Corp."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"EPM-DM" = "c:\acer\epm\epm-dm.exe" ["Acer Inc"]
"ePowerManagement" = "C:\Acer\ePM\ePM.exe boot" ["Acer Value Labs, Taiwan"]
"LManager" = "C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" ["Dritek System Inc."]
"eRecoveryService" = "C:\Programme\Acer\eRecovery\Monitor.exe" ["acer Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" [file not found]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"nod32kui" = ""C:\Programme\Eset\nod32kui.exe" /WAITSERVICE" ["Eset "]
"PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup" ["Nokia"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
{955BE0B8-BC85-4CAF-856E-8E0D8B610560}\(Default) = "Hilfsobjekt für Encarta Web-Begleiter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0}" = "EPM-PO Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "epm-po.dll" ["Acer Labs USA"]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B089FE88-FB52-11D3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
FineReader\(Default) = "{AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ABBYY\FineReader 6.0\FECMenu.dll" ["ABBYY (BIT Software)"]
NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\sstext3d.scr" [MS]


Startup items in "Cord" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]
"Scanner Finder" -> shortcut to: "C:\Programme\ScanWizard 5\ScannerFinder.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\imon.dll ["Eset "], 01 - 05, 24
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{147D6308-0614-4112-89B1-31402F9B82C4}" = "Encarta Web-Begleiter" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{147D6308-0614-4112-89B1-31402F9B82C4}" = "Encarta Web-Begleiter"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\ = "Shell Search Band" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["C-Dilla Ltd"]
Canon Camera Access Library 8, CCALib8, "C:\Programme\Canon\CAL\CALMAIN.exe" ["Canon Inc."]
Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope, HRService, ""C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe"" [null data]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Multi-user Cleanup Service, Multi-user Cleanup Service, "C:\Programme\lotus\notes\ntmulti.exe" [null data]
NOD32 Kernel Service, NOD32krn, ""C:\Programme\Eset\nod32krn.exe"" ["Eset "]
Notebook Manager Service, anbmService, "C:\Acer\eManager\anbmServ.exe" ["OSA Technologies Inc."]
ServiceLayer, ServiceLayer, ""C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe"" ["Nokia."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 21 seconds, including 13 seconds for message boxes)



Nummer 3:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 00A8-4065

Verzeichnis von C:\WINDOWS\system32

31.08.2006 14:45 0 eRLog.ini
31.08.2006 14:44 1.158 wpa.dbl
30.08.2006 17:39 552 d3d8caps.dat
23.08.2006 16:02 405.644 perfh009.dat
23.08.2006 16:02 421.056 perfh007.dat
23.08.2006 16:02 64.194 perfc009.dat
23.08.2006 16:02 77.282 perfc007.dat
23.08.2006 16:02 979.370 PerfStringBackup.INI
19.08.2006 09:54 8.833 jupdate-1.5.0_08-b03.log
10.08.2006 18:57 47 imon1.dat
09.08.2006 21:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl
26.07.2006 01:26 53.346 javaw.exe
26.07.2006 01:25 49.248 java.exe
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 20:44 88 bs.bin
05.07.2006 12:55 1.057.792 kernel32.dll
04.07.2006 14:26 704.000 DAAPI.dll
04.07.2006 14:25 131.072 NclAPI.dll
04.07.2006 14:25 245.760 VersitConverter.dll
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
12.06.2006 13:55 61.440 NclTools.dll
05.06.2006 14:04 242.688 ConnAPI.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 08:26 50.688 nmwcdcls.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
29.04.2006 06:07 5.533.696 wmp.dll
25.04.2006 13:59 274.432 imon.dll
25.04.2006 13:44 303.624 FNTCACHE.DAT
03.04.2006 11:40 14.048 spmsg.dll
24.03.2006 06:37 49.152 wdigest.dll
17.03.2006 02:38 28.672 verclsid.exe
14.03.2006 18:01 1.227 mapisvc.inf
04.03.2006 10:15 16.832 amcompat.tlb
04.03.2006 10:15 23.392 nscompat.tlb
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 11.776 xolehlp.dll


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 00A8-4065

Verzeichnis von C:\DOKUME~1\CORD~1.NB-\LOKALE~1\Temp

31.08.2006 16:31 34.816 ~WRS0001.tmp
31.08.2006 16:27 32.768 ~WRF0000.tmp
31.08.2006 16:27 512 ~DF3647.tmp
31.08.2006 16:27 512 ~DF2AB9.tmp
31.08.2006 14:50 173 jusched.log
5 Datei(en) 68.781 Bytes
0 Verzeichnis(se), 19.887.939.584 Bytes frei


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 00A8-4065

Verzeichnis von C:\WINDOWS

31.08.2006 14:44 0 0.log
31.08.2006 14:43 4.192 ModemLog_HDAUDIO Soft Voice Modem with SmartCP.txt
31.08.2006 14:43 159 wiadebug.log
31.08.2006 14:43 50 wiaservc.log
31.08.2006 14:43 2.048 bootstat.dat
31.08.2006 14:42 1.767.355 WindowsUpdate.log
31.08.2006 10:32 745.432 ntbtlog.txt
31.08.2006 10:31 32.622 SchedLgU.Txt
31.08.2006 09:27 678.125 setupapi.log
30.08.2006 14:38 222.734 setupact.log
30.08.2006 11:21 181 hpbafd.ini
28.08.2006 14:19 5.954 spupdsvc.log
28.08.2006 14:17 34.133 WgaNotify.log
28.08.2006 14:17 32.283 updspapi.log
27.08.2006 13:01 128.450 wmsetup.log
24.08.2006 05:59 672 win.ini
23.08.2006 17:09 32.412 DPINST.LOG
23.08.2006 17:09 2.126 ModemLog_Nokia 6230 and 6230i Bluetooth Modem.txt
19.08.2006 09:36 72.619 iis6.log
19.08.2006 09:36 160.876 comsetup.log
19.08.2006 09:36 96.327 ntdtcsetup.log
19.08.2006 09:36 1.374 imsins.log
19.08.2006 09:36 178.987 tsoc.log
19.08.2006 09:36 25.167 ocmsn.log
19.08.2006 09:36 18.101 KB920214.log
19.08.2006 09:36 221.721 ocgen.log
19.08.2006 09:36 22.810 msgsocm.log
19.08.2006 09:36 469.942 FaxSetup.log
19.08.2006 09:35 1.374 imsins.BAK
19.08.2006 09:35 18.410 KB922616.log
19.08.2006 09:34 18.066 KB921398.log
19.08.2006 09:33 21.060 KB918899.log
19.08.2006 09:32 12.726 KB920670.log
19.08.2006 09:32 12.139 KB917422.log
19.08.2006 09:31 12.496 KB920683.log
13.08.2006 20:36 0 OpPrintServer.INI
10.08.2006 11:15 11.109 KB921883.log
09.08.2006 10:49 3.306 tm.ini
18.07.2006 15:53 7.680 Thumbs.db
14.07.2006 19:23 12.482 KB917159.log
14.07.2006 19:20 12.380 KB914388.log
14.07.2006 19:20 10.338 KB916595.log
14.06.2006 19:37 2.090 ModemLog_Nokia 6230 Bluetooth Modem.txt
14.06.2006 19:34 17.488 KB917953.log
14.06.2006 19:34 20.970 KB916281.log
14.06.2006 19:32 11.742 KB911280.log
14.06.2006 19:32 11.109 KB918439.log
14.06.2006 19:32 11.732 KB917344.log
14.06.2006 19:32 11.503 KB914389.log
14.06.2006 19:32 11.677 KB917734.log
08.06.2006 12:05 22.307 WGA.log
28.05.2006 13:33 118 tdf.dii
26.05.2006 21:11 179 ldm.log
26.05.2006 21:11 81.920 bwUnin-6.1.4.68-8876480L.exe
26.05.2006 21:10 86 ke.log
10.05.2006 11:27 15.404 KB913580.log
26.04.2006 10:59 11.181 KB900485.log
22.04.2006 08:28 2.078 ModemLog_Nokia 6230 Bluetooth.txt
15.04.2006 17:14 30.218 KB911565.log
15.04.2006 17:13 17.553 KB911562.log
15.04.2006 17:13 16.868 KB904942.log
15.04.2006 17:13 19.516 KB912812.log
15.04.2006 17:13 11.666 KB908531.log
15.04.2006 17:12 10.986 KB911567.log
15.04.2006 17:12 16.534 KB902344.log
14.04.2006 17:54 713 cdPlayer.ini
01.04.2006 10:38 0 HOTEL
14.03.2006 17:57 231 system.ini
08.03.2006 08:39 2.078 ModemLog_Nokia 6230 Bluetooth #2.txt
04.03.2006 10:15 464 wmsetup10.log
04.03.2006 10:14 316.640 WMSysPr9.prx


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 00A8-4065

Verzeichnis von C:\

31.08.2006 16:36 0 sys.txt
31.08.2006 16:35 11.022 system.txt
31.08.2006 16:34 486 systemtemp.txt
31.08.2006 16:33 105.080 system32.txt
31.08.2006 14:43 526.503.936 hiberfil.sys
31.08.2006 14:43 792.723.456 pagefile.sys
09.06.2006 16:48 2.218 fftrlog.txt
04.02.2006 18:58 211 boot.ini
09.01.2006 17:51 429 datFind.bat
25.08.2005 11:42 75 PRELOAD.AAA
25.08.2005 11:18 791 IPH.PH
23.08.2005 00:00 50 AUTOEXEC.BAT
22.08.2005 23:42 0 CONFIG.SYS
22.08.2005 23:42 0 IO.SYS
22.08.2005 23:42 0 MSDOS.SYS
04.08.2004 06:00 4.952 bootfont.bin
04.08.2004 06:00 47.564 NTDETECT.COM
04.08.2004 06:00 251.184 ntldr
18 Datei(en) 1.319.651.454 Bytes
0 Verzeichnis(se), 19.887.824.896 Bytes frei

#2 ich kann auch nichts finden...
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

vielen Dank für die Antwort.

Der Lauf von Combofix hat folgendes ergeben:



Cord - 06-09-01 13:34:46,67
ComboFix 06.08.30BT - Running from: D:\Eigene Dateien\4. Programme\Reiniger

((((((((((((((((((((((((((((((( Files Created from 2006-08-01 to 2006-09-01 ))))))))))))))))))))))))))))))))))


2006-08-31 16:33 429 --a------ C:\datFind.bat


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-31 08:03 8864 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2006-08-29 09:24 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-29 09:22 -------- d-------- C:\Programme\Logitech
2006-08-23 17:07 -------- d-------- C:\Programme\Nokia
2006-08-23 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2006-08-23 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Nokia
2006-08-23 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-23 15:21 -------- d-------- C:\Programme\DIFX
2006-08-19 09:54 -------- d-------- C:\Programme\Java
2006-08-19 09:32 -------- d-------- C:\Programme\Internet Explorer
2006-08-13 20:41 -------- d-------- C:\Programme\Canon
2006-08-09 10:48 -------- d-------- C:\Programme\ElsterFormular2005
2006-08-08 10:51 -------- d-------- C:\Programme\Stollfuá electronica
2006-08-05 10:01 -------- d-------- C:\Dokumente und Einstellungen\Cord.NB-KIENE\Anwendungsdaten\AdobeUM
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 14:52 -------- d-------- C:\Programme\Windows Media Connect 2
2006-07-21 14:52 -------- d-------- C:\Programme\ScanWizard 5
2006-07-21 14:52 -------- d-------- C:\Programme\Messenger
2006-07-21 14:52 -------- d-------- C:\Programme\KOESDI
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-09 19:18 -------- d-------- C:\Programme\Google
2006-07-04 14:26 704000 --a------ C:\WINDOWS\system32\DAAPI.dll
2006-07-04 14:25 245760 --a------ C:\WINDOWS\system32\VersitConverter.dll
2006-07-04 14:25 131072 --a------ C:\WINDOWS\system32\NclAPI.dll
2006-06-12 13:55 61440 --a------ C:\WINDOWS\system32\NclTools.dll
2006-06-05 14:04 242688 --a------ C:\WINDOWS\system32\ConnAPI.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"Persistence"="C:\\WINDOWS\\system32\\igfxpers.exe"
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"RTHDCPL"="RTHDCPL.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"EPM-DM"="c:\\acer\\epm\\epm-dm.exe"
"ePowerManagement"="C:\\Acer\\ePM\\ePM.exe boot"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtZgAcer.EXE"
"eRecoveryService"="C:\\Programme\\Acer\\eRecovery\\Monitor.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"mmtask"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -startup"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,fe,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""



Completion time: 01.09.2006 13:35:16.09
ComboFix.txt



Gruß, trimalcio

#4 nichts, was nach Virus ausschaut und deine ganze Scanner.-Batterie hat auch nichts mehr gefunden, wie du schreibst....

schreibe mir, welche Ports rot gekennzeichnet sind
http://virus-protect.org/portauthority.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo sabina:

Hier das Ergebnis von Port Authority

trimalcio

folgende Ports wurden rot gekenzeichnet:

21 ftp
22 ssh
25 smtp
53 domain
80 http
389 ldap

Der Button "File Sharing" ergab Folgendes:

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Der Button "Common Ports" ergab weiter Folgendes:

Port
Service
Status Security Implications

0
<nil>
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

21
FTP
OPEN! FTP servers have many known security vulnerabilities and the payoff from exploiting an insecure FTP server can be significant. This system's open FTP port is inviting intruders to examine your system more closely.

22
SSH
OPEN! Secure Shell provides a secure-connection version of the Telnet remote console service with additional features. Unfortunately, the SSH services and their security add-on packages have a long history of many widely exploited buffer overflow vulnerabilities. If your system has this port exposed to the outside world you should be vigilant in keeping your SSH service updated.

23
Telnet
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

25
SMTP
OPEN! Since it is more likely that you may have an open SMTP, SPAM-relaying proxy running on your system, than a real SMTP server, this is something you'll want to look into immediately. Spammers routinely use such open proxies to relay their content, so you probably don't want to be aiding them, nor to have your IP address associated with their activities.

You may provide your IP address (as shown above) to this site http://www.abuse.net/relay.html to have them safely check your system's port 25 for use as an open SMTP eMail forwarding proxy.

79
Finger
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

80
HTTP
OPEN! The web is so insecure these days that new security "exploits" are being discovered almost daily. There are many known problems with Microsoft's Personal Web Server (PWS) and its Frontpage Extensions that many people run on their personal machines. So having port 80 "open" as it is here causes intruders to wonder how much information you might be willing to give away.

110
POP3
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

113
IDENT
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

119
NNTP
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

135
RPC
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

139
Net
BIOS
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

143
IMAP
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

389
LDAP
OPEN! This LDAP port, hosting the Lightweight Directory Access Protocol, is often opened by teleconferencing systems of various sorts. The most common is Microsoft's NetMeeting system which opens several ports. If you don't need this port to be open all of the time, closing it while it's not needed will enhance your system's security.

443
HTTPS
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

445
MSFT
DS
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1002
ms-ils
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1024
DCOM
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1025
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1026
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1027
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1028
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1029
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1030
Host
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

1720
H.323
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

5000
UPnP
Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

#6 Kannst Du über den TaskMon eine APP erkennen die Rechenzeit "konsumiert"?
Wenn ja, welche?
Um eine HW-Defekt auszuschliessen, Festplatte prüfen lassen (Defrag, chkdsk) bzw. SMART-Werte auslesen (http://www.pctipp.ch/downloads/dl/28688.asp).
Eventuell im Gerätemanager prüfen, ob die IDE-Controller (die Festplatten) noch im DMA und nicht im PIO-Modus laufen.
Natürlich wäre es auch möglich, das Gerätetreiber bzw. deren Zusammenspiel etwas aus den Fugen geraten ist.
Und eventuell noch mit einem Rootkitscanner vorgehen (da kann Dir aber Sabina besser weiter helfen)
Chris

#7 1.
wende das an - ueberpruefe auch, was Chris geschrieben hat
Windows-Dienste abschalten!
http://www.dingens.org

2.
poste den Report von "Ports"
http://virus-protect.org/artikel/tools/icesword.html

dann berichte, wie es laeuft
ich denke, die probleme sind ueberbleibsel von der schweren Verseuchung, die wir mal gereinigt haben
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hallo Sabina,

nein, das hier ist ein anderer PC.

Der PC läuft auch in einem Heimnetz und in einem Firmennetz (wurde dort dafür eingerichtet, ich kann bisher nicht einmal ein Heimnetz einrichten). Kann es Probleme geben, wenn ich "Windows-Dienste abschalten" verwende?

Ich verwende Windows XP SP2, in der Beschreibung zu "Windows-Dienste abschalten" wurde gesagt, dass das Programm dann nicht mehr nötig sei - soll ich es trotzdem machen?

Die Datei IceSword_en1.12.rar kann ich nicht öffnen - brauch ich dafür einen "Entpacker"?

Was Chris geschrieben hat, habe ich leider nicht verstanden. Dafür bin ich denn doch zu sehr Laie (trotzdem vielen Dank, Chris).

Viele Grüße,

trimalcio

#9 wenn du in einem Netz bist, dann wende das script nicht an.
aber es sind verdammt viele ports offen, ich weiss nun nicht, welche extra eingerichtet worden, weil du sie brauchst.
Ehrlich gesagt, wuerde ich den netzadministrator um Rat bitten, wenn du in einem Firmen-Netzwerk eingebunden bist.
Von hier aus, kann ich die konsequenzen nicht abschaetzen, wenn ich dich die ganzen Dienste abschalten lasse und die ports schliesse

rar entpacken:
http://www.heisig-it.de/tools_7zip.htm
http://www.chip.de/downloads/c1_downloads_12991853.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina,

Du hast ja wirklich eine Menge Geduld mit mir :-)

Ich werde den Administrator darauf mal ansprechen, aber so detailliert ist er glaube ich nicht informiert.

Hier das Log aus Ice-Sword:

Port£º

Protocol Local Address Foreign Address State PID PathName
TCP 127.0.0.1 : 1025 127.0.0.1 : 1026 ESTABLISHED 436 C:\Programme\Haufe\iDesk\iDeskService\python.exe
TCP 127.0.0.1 : 1026 127.0.0.1 : 1025 ESTABLISHED 436 C:\Programme\Haufe\iDesk\iDeskService\python.exe
TCP 192.168.2.28 : 1048 213.217.107.230 : 1352 ESTABLISHED 3704 C:\Programme\lotus\notes\nlnotes.exe
TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 1024 C:\WINDOWS\system32\svchost.exe
TCP 192.168.2.28 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 127.0.0.1 : 1029 0.0.0.0 : 0 LISTENING 520 C:\WINDOWS\system32\alg.exe
TCP 0.0.0.0 : 38184 0.0.0.0 : 0 LISTENING 436 C:\Programme\Haufe\iDesk\iDeskService\python.exe
TCP 0.0.0.0 : 2804 0.0.0.0 : 0 LISTENING 1572 C:\Acer\eManager\anbmServ.exe
UDP 0.0.0.0 : 1027 * : * 1472 C:\WINDOWS\system32\spoolsv.exe
UDP 0.0.0.0 : 1058 * : * 1132 C:\WINDOWS\system32\svchost.exe
UDP 0.0.0.0 : 500 * : * 788 C:\WINDOWS\system32\lsass.exe
UDP 192.168.2.28 : 1900 * : * 1228 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1 : 1092 * : * 2792 C:\Programme\Internet Explorer\IEXPLORE.EXE
UDP 127.0.0.1 : 1034 * : * 3888 C:\Programme\Internet Explorer\IEXPLORE.EXE
UDP 127.0.0.1 : 123 * : * 1068 C:\WINDOWS\system32\svchost.exe
UDP 192.168.2.28 : 137 * : * 4 NT OS Kernel
UDP 127.0.0.1 : 1900 * : * 1228 C:\WINDOWS\system32\svchost.exe
UDP 192.168.2.28 : 138 * : * 4 NT OS Kernel
UDP 0.0.0.0 : 4500 * : * 788 C:\WINDOWS\system32\lsass.exe
UDP 0.0.0.0 : 1042 * : * 1132 C:\WINDOWS\system32\svchost.exe
UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel
UDP 192.168.2.28 : 123 * : * 1068 C:\WINDOWS\system32\svchost.exe
RAW --- --- --- 4 NT OS Kernel
RAW --- --- --- 4 NT OS Kernel
RAW --- --- --- 788 C:\WINDOWS\system32\lsass.exe



Zu den Tipps von Chris:
- Im Taskmanager konnte ich keinen Prozess erkennen, der eine Hohe CPU-Auslastung macht
- Eine Defragmentierung habe ich in den letzten Tagen laufen lassen
- chkdsk ist eine Festplattenprüfung? Wie bekomme ich so etwas in Gang?
- In den Gerätemanager konnte ich vordringen, habe auch den IDE-Controller gefunden - den Modus konnte ich ihm aber nicht entlocken. Ist das wichtig?

Viele Grüße

trimalcio

PS: Am Rande - mein Junior möchte "einen Port öffnen" in unserem Heimnetzwerk (W-Lan), damit ein PC-Spiel besser läuft. Ich hatte mich dem bisher verweigert, weil er mir die Risiken nicht nennen kann. Nach Euren Bedenken zu offenen Ports sollte man das wohl auch unterlassen - oder?

#11 am besten, erst mal scannen...
dann sehen wir weiter...

http://virus-protect.org/multiavtool.html
* klicke "2" , nun beginnt der Scan von Trend Micro
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Sabina,

Hier der Report:

/--------------------------------------------------------------\
| Trend Micro System Cleaner |
| Copyright 2006, Trend Micro, Inc. |
| http://www.antivirus.com |
\--------------------------------------------------------------/


2006-09-02, 21:56:31, Auto-clean mode specified.
2006-09-02, 21:56:31, Running scanner "c:\AV-CLS\Trend\TSC.BIN"...
2006-09-02, 21:56:43, Scanner "c:\AV-CLS\Trend\TSC.BIN" has finished running.
2006-09-02, 21:56:43, TSC Log:

Damage Cleanup Engine (DCE) 3.98(Build 1012)
Windows XP(Build 2600: Service Pack 2)

Start time : Sa Sep 02 2006 21:56:31

Load Damage Cleanup Template (DCT) "c:\AV-CLS\Trend\tsc.ptn" (version 780) [success]

Complete time : Sa Sep 02 2006 21:56:43
Execute pattern count(2953), Virus found count(0), Virus clean count(0), Clean failed count(0)

2006-09-02, 21:57:22, An error was detected on "C:\System Volume Information\*.*": Zugriff verweigert
2006-09-02, 21:57:44, An error was detected on "D:\System Volume Information\*.*": Zugriff verweigert
2006-09-02, 22:19:57, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 21:57:45
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=c:\AV-CLS\Trend

60417 files have been read.
60417 files have been checked.
55541 files have been scanned.
165368 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:19:57
---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:19:57, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 21:57:45
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=c:\AV-CLS\Trend

60417 files have been read.
60417 files have been checked.
55541 files have been scanned.
165368 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:19:57 22 minutes 12 seconds (1332.06 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:19:57, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 21:57:45
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=c:\AV-CLS\Trend

60417 files have been read.
60417 files have been checked.
55541 files have been scanned.
165368 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:19:57 22 minutes 12 seconds (1332.06 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:19:57, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.
2006-09-02, 22:23:16, Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 22:19:59
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=c:\AV-CLS\Trend

12214 files have been read.
12214 files have been checked.
11279 files have been scanned.
13357 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:23:16
---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:23:16, Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 22:19:59
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=c:\AV-CLS\Trend

12214 files have been read.
12214 files have been checked.
11279 files have been scanned.
13357 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:23:16 3 minutes 16 seconds (196.14 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:23:16, Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 9/2/2006 22:19:59
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 721 (130517 Patterns) (2006/09/02) (372100)
Command Line: c:\AV-CLS\Trend\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 D:\*.* /P=c:\AV-CLS\Trend

12214 files have been read.
12214 files have been checked.
11279 files have been scanned.
13357 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 9/2/2006 22:23:16 3 minutes 16 seconds (196.14 seconds) has elapsed.

---------*---------*---------*---------*---------*---------*---------*---------*
2006-09-02, 22:23:16, Scanner "c:\AV-CLS\Trend\VSCANTM.BIN" has finished running.



Ich hatte Sophos und Kaspersky schon die letzten Tage laufen lassen. Ohne Ergebnis, soweit ich sehen konnte.
McAfee wollte nicht laufen, weiß nicht warum.

Viele Grüße,

trimalcio

#13 1.
wende den Windows Worms Doors Cleaner an
(alles auf gruen stellen)
http://virus-protect.org/windsdoorcleaner.html
auch die netbios
falls es Probleme mit dem Netzwerk geben sollte, aktiviere die netbios wieder.

2.
Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. Wenn dieser Dienst angehalten wird, ist der Remotezugriff möglicherweise nicht mehr verfügbar. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.

Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

------------------------------
3.
Defragmentierungs-Option:
Arbeitsplatz -- lokaler Datenträger -- rechtsklick -- Eigenschaften -- Extras -- jetzt defragmentieren

-----------------------------
4.
Start - rechtsklick auf Arbeitsplatz - Register Erweitert - Systemleistung Button
"Einstellungen" - Visuelle Effekte - Für optimale Leistung anpassen

----------------------------
5.
Klicke --> Start--> Ausführen --> services.msc (dort eingeben)--> Ok--> Klicke mit der rechten Maustaste auf INDEXDIENST-->Eigenschaften--> STARTTYP auf DEAKTIVIERT ändern--> Bei DIENSTSTATUS beenden --> Übernehmen und OK

Jetzt Arbeitsplatz öffnen --> rechte Maustaste--> Eigenschaften--> Deaktiviere "Laufwerk für schnelle Dateiensuche indizieren"

-------------------------
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina!

Mein Rapport:

1. Habe ich gemacht. Home-LAN läuft noch, Firmen-Netz muss ich mal sehen.

2. Die genannten Dienste habe ich nicht gefunden, unter den Diensten sind sie mit dem Namen (Telnet, Remote-Registrierung) nicht aufgeführt. Es gibt einen Dienst "Remoteprozeduraufruf" bei dem der Botton "beenden" aber nicht aktiv ist. Die Remoteunterstützung unter "Arbeitsplatz" ist abgestellt.

3. Hab ich gemacht (C und D)

4. Hab ich gamacht. Das bringt auch etwas Geschwindigkeit

5. Indexdienst war schon auf beendet gestellt. Das zweite habe ich nicht gefunden.



Folgendes treibt mich im Moment besonders um:
- ist der Computer für Dinge wie Online-Banking (nach Deiner Einschätzung) im Moment unsicher?
- man kann auf diesem PC einen Recovery-Lauf machen, der dann wohl den ursprünglichen Zustand wiederherstellt (mit wohl irgendwo auf der Platte versteckt hinterlegten Daten). Währen damit auch eventuelle Gefährdungen beseitigt?

Viele Grüße,

trimalcio

#15 wenn du Recovery anwendest, wird dein Rechner in den Auslieferungszustand hergestellt, du musst dann alle Windowsupdates machen und deine ganzen Daten und programme, die du inzwischen geladen hast, gehen alle hops.
Sichere also vorher alle wichtigen Daten, wie Textdokumente usw, bevor du das machst...
ich denke nicht, dass der Rechner verseucht ist, jedenfalls koennen weder ich, noch die virenscanner was finden...
__________
MfG Sabina

rund um die PC-Sicherheit