trojaner oder virus eingefangen bitte um auswertung von hijack this log

#0
26.05.2007, 19:00
Member

Beiträge: 276
#1 hallo habe eine anscheinend infizierte datei geöffnet und dann gleich die meldung bekommen ( mc affee 8 ) infizierte datei und bin davon ausgegangen das er beseitig ist aber denkste und jetzt werde ich mit warnmeldungen terrorisiert und ich weiß nicht wie ich ihn wieder loswerden soll

hier das log :


Logfile of HijackThis v1.99.1
Scan saved at 18:57, on 07-05-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\br_funcs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\ClocX\ClocX.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TopDesk\topdesk.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\netsh.exe
C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\DeskTask\DeskTask.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\netsh.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\B.tmp.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\A.tmp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - C:\WINDOWS\system32\comi2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\1B.tmp
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\RunOnce: [service] C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\xylodkcd.exe delete
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe
O4 - HKCU\..\RunOnce: [service] C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\xylodkcd.exe delete
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - (no file)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing)
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing)
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
Seitenanfang Seitenende
26.05.2007, 23:05
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Poste nachher den logfile C:\combofix.txt in dein folgender Bericht

Download: RemoveVideoActiveXObject by Smeenk,zum Desktop
Danach dopplelklicken
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken
Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
26.05.2007, 23:16
Moderator

Beiträge: 7804
#3 Ich muss mal eben Nachhaken. Welche Datei war das, bzw wo hast du diese her?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2007, 00:51
Member

Themenstarter

Beiträge: 276
#4 hmm ich habe die datei irgendwo gezogen und war leider zu faul sie sandboxed laufen zu lassen habe sie dann dummerweise als kurzschussreaktion gleich gelöscht irgendwo in der history müsste ich sie noch finden möchte aber wenn ich mir ja jetzt mal sowas eignefangen habe nicht nochmal hin

habe es jetzt einmal mit einer wiederherstellung versucht hat irgendwie nicht so hingehauen bekomme jetzt aber auch keien fehlermeldungen mehr habe aber auch kein symbol vom virenscanner mehr in der taskleiste und auch keinen desktophintergrund und outlook funktioniert auch nicht mehr richtig

@ arnold ja werde ich mal machen und dann posten

mfg




-----------------EDIT --- /---- 2. Teil
So habe es gleich gemacht was ihr gesagt habt und hier die auswertung:

COMBOFIX:



"MarkusSalletmaier" - 2007-05-27 0:56:42 Service Pack 2
ComboFix 07-05.26.3.V - Running from: "C:\Dokumente und Einstellungen\MarkusSalletmaier\Desktop\"

[color=red] Rootkit driver xpdt is present. A rootkit scan is required [/color]

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\dlh9jkd1q1.exe"
"C:\WINDOWS\system32\dlh9jkd1q6.exe"
"C:\WINDOWS\system32\dlh9jkd1q7.exe"
"C:\WINDOWS\system32\dlh9jkd1q8.exe"
"C:\WINDOWS\system32\vexg6ame4.exe"
"C:\WINDOWS\system32\vexga4m1et4.exe"
"C:\WINDOWS\system32\vexga4me1.exe"
"C:\WINDOWS\system32\vexga5me3.exe"
"C:\WINDOWS\system32\sqvx5gamet2.exe"
"C:\WINDOWS\system32\sqvxga6met3.exe"
"C:\WINDOWS\system32\sqvxga7met4.exe"
"C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat"
"C:\WINDOWS\system32\qwertybot.exe"
"C:\WINDOWS\system32\svcp.csv"
"C:\WINDOWS\system32\vx.tll"
"C:\WINDOWS\system32\winsub.xml"
"C:\install.log"
"C:\WINDOWS\system32\WinHealer.dll"
"C:\WINDOWS\system32\klikalka.exe"
"C:\WINDOWS\system32\comi2.dll"
"C:\WINDOWS\system32\comi.dll"
"C:\WINDOWS\system32\a3dx8.dll"
"C:\WINDOWS\system32\setlink.dll"
"C:\WINDOWS\system32\wincom32.sys"
"C:\WINDOWS\system32\windev-6099-74ea.sys"
"C:\WINDOWS\system32\windev-peers.ini"
"C:\WINDOWS\system32\comdlg77.dll"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\windev-6099-74ea


((((((((((((((((((((((((((((((( Files Created from 2007-04-27 to 2007-05-27 ))))))))))))))))))))))))))))))))))


2007-05-26 16:38 6,144 --a------ C:\WINDOWS\system32\autosys.exe
2007-05-26 16:37 60,574 --a------ C:\WINDOWS\system32\xpdt.sys
2007-05-26 16:37 1,536 --a------ C:\cwainda.exe
2007-05-26 16:22 61,536 -ra------ C:\WINDOWS\system32\drivers\se44bus.sys
2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44whnt.sys
2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44wh.sys
2007-05-26 15:49 <DIR> d-------- C:\Programme\Salling Software AB
2007-05-26 15:49 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Salling Software AB
2007-05-26 10:47 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Sony Ericsson
2007-05-26 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson
2007-05-26 10:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2007-05-26 10:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teleca
2007-05-25 16:39 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\DivX
2007-05-24 20:30 <DIR> d-------- C:\Programme\DivX
2007-05-24 20:06 <DIR> d-------- C:\Programme\Naevius GVI Converter
2007-05-20 21:13 <DIR> d-------- C:\Programme\Image2Ico
2007-05-20 14:34 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2007-05-18 11:03 <DIR> d-------- C:\games
2007-05-14 12:11 <DIR> d-------- C:\Programme\BearFlix
2007-05-14 12:11 <DIR> d-------- C:\My Downloads
2007-05-13 12:02 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-05-13 12:02 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-05-13 12:01 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-05-13 12:00 <DIR> d-------- C:\Programme\America's Army Server Manager
2007-05-13 11:54 <DIR> d-------- C:\Programme\America's Army
2007-05-12 13:06 <DIR> d-------- C:\Programme\QuickTime
2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-11 19:30 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll
2007-05-10 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lenovo
2007-05-10 16:26 28,224 --a------ C:\WINDOWS\system32\drivers\psadd.sys
2007-05-09 21:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-05-09 17:53 <DIR> d-------- C:\Programme\TopDesk
2007-05-06 09:43 <DIR> d-------- C:\Programme\msn gaming zone
2007-05-04 23:08 <DIR> d-------- C:\Programme\Spam Terrier
2007-05-02 16:35 <DIR> d-------- C:\quarantine
2007-05-01 16:41 <DIR> d-------- C:\MFT 69808


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-26 14:52:55 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Skype
2007-05-26 14:06:32 -------- d-----w C:\Programme\Trillian
2007-05-26 13:49:42 360,580 ----a-w C:\WINDOWS\eSellerateEngine.dll
2007-05-26 13:48:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-26 11:22:50 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Teleca
2007-05-26 08:44:14 -------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-05-26 08:42:58 -------- d-----w C:\Programme\Sony Ericsson
2007-05-24 16:44:52 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\LuckieDIPS
2007-05-22 18:22:35 -------- d-----w C:\Programme\teXXas
2007-05-20 12:34:40 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-20 08:18:48 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Launchy
2007-05-17 14:13:03 -------- d-----w C:\Programme\Google
2007-05-14 20:02:19 -------- d-----w C:\Programme\ICQ6
2007-05-10 14:27:04 -------- d-----w C:\Programme\Lenovo
2007-05-06 07:47:24 -------- d-----w C:\Programme\TuneUp Utilities 2006
2007-05-06 07:43:27 -------- d-----w C:\Programme\Windows NT
2007-05-05 12:40:55 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-05-05 12:39:49 -------- d-----w C:\Programme\Viewpoint
2007-05-05 12:36:18 -------- d-----w C:\Programme\Azureus
2007-05-05 07:30:35 -------- d-----w C:\Programme\Sandboxie
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-04-22 17:09:17 -------- d-----w C:\Programme\Opera
2007-04-22 10:38:40 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\dvdcss
2007-04-20 16:30:05 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\ICQ
2007-04-19 07:12:21 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Unigraphics Solutions
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-17 21:13:42 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Help
2007-04-17 13:22:44 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\RipIt4Me
2007-04-17 13:12:37 -------- d-----w C:\Programme\Solid Edge V19
2007-04-12 09:42:29 5 ----a-w C:\WINDOWS\system32\wrnreg5.sys
2007-04-10 09:11:26 -------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-04-10 08:13:12 -------- d-----w C:\Programme\Winamp
2007-04-10 08:12:43 -------- d-----w C:\Programme\eMule
2007-04-09 15:08:12 -------- d-----w C:\Programme\PrintFolder Pro
2007-04-09 13:54:04 -------- d-----w C:\Programme\Dirprint
2007-04-08 09:10:26 -------- d-----w C:\Programme\CHIP Vista-Checktool
2007-04-08 09:09:08 -------- d-----w C:\Programme\WordToPDF
2007-04-08 09:07:43 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-08 08:44:54 -------- d-----w C:\Programme\Gemeinsame Dateien\Raxco
2007-04-08 08:44:52 -------- d-----w C:\Programme\Raxco
2007-03-28 19:29:48 -------- d-----w C:\Programme\Skype
2007-03-28 19:29:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-03-27 23:05:01 -------- d-----w C:\Programme\Stardock
2007-03-27 23:05:01 -------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-03-27 16:07:15 -------- d-----w C:\Programme\HDGraph
2007-03-26 12:12:36 86,208 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 12:12:36 444,366 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ------w C:\WINDOWS\system32\win32k.sys
2007-02-28 13:46:05 11,712 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2006-05-10 08:02]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 15:17]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 15:16]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 19:04]
"TpShocks"="TpShocks.exe" [2006-03-15 20:04 C:\WINDOWS\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-10-17 01:11 C:\WINDOWS\system32\TP4EX.exe]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-09-13 03:23]
"TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" []
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06]
"LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-05 02:11]
"AMSG"="C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe" [2005-11-14 16:23]
"ISUSPM Startup"="c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50]
"ISUSScheduler"="c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]
"cssauth"="C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 18:08]
"PDService.exe"="C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 13:13]
"ACTray"="C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe" []
"ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" []
"PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-26 02:13]
"BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-26 02:13]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-10-05 22:11]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12]
"PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" [2006-04-25 20:03]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11]
"AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-10-19 03:08]
"ClocX"="C:\Programme\ClocX\ClocX.exe" [2005-01-26 11:04]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-14 09:54]
"TopDesk"="C:\Programme\TopDesk\topdesk.exe" [2006-03-01 19:03]
"TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-12-10 19:36]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
"WinClicker.exe"="C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" [2007-05-11 11:25]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 15:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
C:\Programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages scecli csspwntfy ACGina psqlpwd ACGina

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk
backup=C:\WINDOWS\pss\Audible Download Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^MarkusSalletmaier^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\MarkusSalletmaier\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
"C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
"C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
C:\Programme\Sandboxie\Control.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"SandboxU"=2 (0x2)
"PDSched"=2 (0x2)
"PDEngine"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

*Newly Created Service* -ENTDRV51


~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060112-144155-426
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

backup-20060112-144155-742
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

backup-20060112-144155-878
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

backup-20060112-144018-499
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
Contents of the 'Scheduled Tasks' folder
2007-05-25 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-05-19 07:15:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-05-26 23:07:30 C:\WINDOWS\tasks\MP Scheduled Scan.job
2007-05-26 23:05:25 C:\WINDOWS\tasks\PMTask.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-27 01:05:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


********************************************************************

Completion time: 2007-05-27 1:10:29 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-27 01:10

--- E O F ---
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\dlh9jkd1q1.exe"
"C:\WINDOWS\system32\dlh9jkd1q6.exe"
"C:\WINDOWS\system32\dlh9jkd1q7.exe"
"C:\WINDOWS\system32\dlh9jkd1q8.exe"
"C:\WINDOWS\system32\vexg6ame4.exe"
"C:\WINDOWS\system32\vexga4m1et4.exe"
"C:\WINDOWS\system32\vexga4me1.exe"
"C:\WINDOWS\system32\vexga5me3.exe"
"C:\WINDOWS\system32\sqvx5gamet2.exe"
"C:\WINDOWS\system32\sqvxga6met3.exe"
"C:\WINDOWS\system32\sqvxga7met4.exe"
"C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat"
"C:\WINDOWS\system32\qwertybot.exe"
"C:\WINDOWS\system32\svcp.csv"
"C:\WINDOWS\system32\vx.tll"
"C:\WINDOWS\system32\winsub.xml"
"C:\install.log"
"C:\WINDOWS\system32\WinHealer.dll"
"C:\WINDOWS\system32\klikalka.exe"
"C:\WINDOWS\system32\comi2.dll"
"C:\WINDOWS\system32\comi.dll"
"C:\WINDOWS\system32\a3dx8.dll"
"C:\WINDOWS\system32\setlink.dll"
"C:\WINDOWS\system32\wincom32.sys"
"C:\WINDOWS\system32\windev-6099-74ea.sys"
"C:\WINDOWS\system32\windev-peers.ini"
"C:\WINDOWS\system32\comdlg77.dll"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\windev-6099-74ea


((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 ))))))))))))))))))))))))))))))))))


27.05.2007 01:10 49.152 --a------ C:\WINDOWS\nircmd.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\dlh9jkd1q1.exe"
"C:\WINDOWS\system32\dlh9jkd1q6.exe"
"C:\WINDOWS\system32\dlh9jkd1q7.exe"
"C:\WINDOWS\system32\dlh9jkd1q8.exe"
"C:\WINDOWS\system32\vexg6ame4.exe"
"C:\WINDOWS\system32\vexga4m1et4.exe"
"C:\WINDOWS\system32\vexga4me1.exe"
"C:\WINDOWS\system32\vexga5me3.exe"
"C:\WINDOWS\system32\sqvx5gamet2.exe"
"C:\WINDOWS\system32\sqvxga6met3.exe"
"C:\WINDOWS\system32\sqvxga7met4.exe"
"C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat"
"C:\WINDOWS\system32\qwertybot.exe"
"C:\WINDOWS\system32\svcp.csv"
"C:\WINDOWS\system32\vx.tll"
"C:\WINDOWS\system32\winsub.xml"
"C:\install.log"
"C:\WINDOWS\system32\WinHealer.dll"
"C:\WINDOWS\system32\klikalka.exe"
"C:\WINDOWS\system32\comi2.dll"
"C:\WINDOWS\system32\comi.dll"
"C:\WINDOWS\system32\a3dx8.dll"
"C:\WINDOWS\system32\setlink.dll"
"C:\WINDOWS\system32\wincom32.sys"
"C:\WINDOWS\system32\windev-6099-74ea.sys"
"C:\WINDOWS\system32\windev-peers.ini"
"C:\WINDOWS\system32\comdlg77.dll"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\windev-6099-74ea


((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 ))))))))))))))))))))))))))))))))))


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\dlh9jkd1q1.exe"
"C:\WINDOWS\system32\dlh9jkd1q6.exe"
"C:\WINDOWS\system32\dlh9jkd1q7.exe"
"C:\WINDOWS\system32\dlh9jkd1q8.exe"
"C:\WINDOWS\system32\vexg6ame4.exe"
"C:\WINDOWS\system32\vexga4m1et4.exe"
"C:\WINDOWS\system32\vexga4me1.exe"
"C:\WINDOWS\system32\vexga5me3.exe"
"C:\WINDOWS\system32\sqvx5gamet2.exe"
"C:\WINDOWS\system32\sqvxga6met3.exe"
"C:\WINDOWS\system32\sqvxga7met4.exe"
"C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat"
"C:\WINDOWS\system32\qwertybot.exe"
"C:\WINDOWS\system32\svcp.csv"
"C:\WINDOWS\system32\vx.tll"
"C:\WINDOWS\system32\winsub.xml"
"C:\install.log"
"C:\WINDOWS\system32\WinHealer.dll"
"C:\WINDOWS\system32\klikalka.exe"
"C:\WINDOWS\system32\comi2.dll"
"C:\WINDOWS\system32\comi.dll"
"C:\WINDOWS\system32\a3dx8.dll"
"C:\WINDOWS\system32\setlink.dll"
"C:\WINDOWS\system32\wincom32.sys"
"C:\WINDOWS\system32\windev-6099-74ea.sys"
"C:\WINDOWS\system32\windev-peers.ini"
"C:\WINDOWS\system32\comdlg77.dll"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\windev-6099-74ea


((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 ))))))))))))))))))))))))))))))))))






BEI DEM 2 TEN Programm bekomme ich nur Seitenweise meldungen pfad / datei kann nicht gefunden werden und keine logfile auch wenn ich schon neu gestartet habe
jetzt sieht das system aber schon wiede rbesser aus

noch einmal ein aktueller hijack this logfile





Logfile of HijackThis v1.99.1
Scan saved at 01:27:23, on 27.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\ClocX\ClocX.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TopDesk\topdesk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\DeskTask\DeskTask.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing)
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing)
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
Dieser Beitrag wurde am 27.05.2007 um 01:29 Uhr von markussa editiert.
Seitenanfang Seitenende
27.05.2007, 01:47
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 C:\Qoobox loeschen und Papierkorb leeren

Download rustbfix zum Desktop
Doppelkilck rustbfix.exe um das Tool zu starten
Wenn eine Rustock.b-infection gefunden wird,wird kurz danach gefragt um dein Rechner neu zu starten
Der neustart wird etwas dauern und warscheinlich wird ein zweiter reboot noetig sein
Dies geschiet alles automatisch
Nach neustart werden log Dateien sich oeffnen (C:\avenger.txt & C:\rustbfix\pelog.txt)
Poste nachher den logfile C:\avenger.txt & C:\rustbfix\pelog.txt in dein folgender Bericht
__________
MfG Argus
Dieser Beitrag wurde am 27.05.2007 um 01:51 Uhr von Arnold editiert.
Seitenanfang Seitenende
27.05.2007, 10:21
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Installiere CounterSpy
http://www.virus-protect.org/counterspy.html
Versuche mal Prevx1
http://www.prevx.com/security.asp
Und ein scan mit Dr.web
http://board.protecus.de/t29350.htm

EDIT
Und dan wieder ein Log von HJ und ComboFix
__________
MfG Argus
Seitenanfang Seitenende
27.05.2007, 10:24
Member

Themenstarter

Beiträge: 276
#7 Hallo habe mal einen normalen virenscan noch laufen lassen ergebniss siehe anhang

PELOG:


************************* Rustock.b-fix v. 1.01 -- By ejvindh *************************
27.05.2007 10:11:48,88

******************* Pre-run Status of system *******************

Rootkit driver xpdt is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
No streams found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************







AVENGER:




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jcpjixxm

*******************

Script file located at: \??\C:\lculhskh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver xpdt unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.





IST JETZT DER letze post von dir noch nötig ?

mfg

Seitenanfang Seitenende
27.05.2007, 10:49
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Das ist die Systemwiederherstellung wo die Viren gefunden wurden
Dan poste noch mal ein neuer log von ComboFix

Info:
C:\WINDOWS\system32\xpdt.sys
http://research.sunbelt-software.com/Thread.aspx?name=Backdoor.Rustock&Thread=45547
__________
MfG Argus
Seitenanfang Seitenende
27.05.2007, 17:38
Member

Themenstarter

Beiträge: 276
#9 So ich hätte jetzt mit counter spy begonnen der findet aber immer 5 objekte ( bear share, WIN32.ExplorerHijack | Trojan , brave sentry dr antispy und spy sheriff (alle Rouge security Programm))

der link von deinem letzen post funktioniert irgendwie nicht

jetz tläuft mein system aber schon wieder ziemlich normal also schon einmal danke für die bisherigen mühen

ich werde jetzt dann noch einmal das 2te prog von oben ausprobieren (prevx) und dann dor web und in einer viertelstunde werd ich dann wahrscheinlich di ecombofix und hijack this logs posten


EDIT: SO Prevx 1und dr ... haben beide keine bedrohungen gefunden unten nochmal combofix und hijack


COMBOFIX:

"MarkusSalletmaier" - 2007-05-27 17:57:22 Service Pack 2
ComboFix 07-05.26.3.V - Running from: "C:\Dokumente und Einstellungen\MarkusSalletmaier\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\wincom32.ini"


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_WINCOM32


((((((((((((((((((((((((((((((( Files Created from 2007-04-27 to 2007-05-27 ))))))))))))))))))))))))))))))))))


2007-05-27 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\MarkusSalletmaier\DoctorWeb
2007-05-27 17:50 <DIR> d-------- C:\DOKUME~1\MARKUS~1\DoctorWeb
2007-05-27 16:38 90,800 -ra------ C:\WINDOWS\system32\drivers\se44unic.sys
2007-05-27 16:38 4,128 -ra------ C:\WINDOWS\system32\drivers\se44cr.sys
2007-05-27 16:38 18,704 -ra------ C:\WINDOWS\system32\drivers\se44nd5.sys
2007-05-27 16:37 97,088 -ra------ C:\WINDOWS\system32\drivers\se44mdm.sys
2007-05-27 16:37 9,360 -ra------ C:\WINDOWS\system32\drivers\se44mdfl.sys
2007-05-27 16:37 88,624 -ra------ C:\WINDOWS\system32\drivers\se44mgmt.sys
2007-05-27 16:37 86,432 -ra------ C:\WINDOWS\system32\drivers\se44obex.sys
2007-05-27 16:37 6,240 -ra------ C:\WINDOWS\system32\drivers\se44cmnt.sys
2007-05-27 16:37 6,240 -ra------ C:\WINDOWS\system32\drivers\se44cm.sys
2007-05-27 15:49 <DIR> d-------- C:\Programme\Sandboxie
2007-05-27 15:41 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Prevx
2007-05-27 15:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Prevx
2007-05-27 15:37 77,312 --a------ C:\WINDOWS\ua2.dll
2007-05-27 14:57 0 --a------ C:\WINDOWS\system32\SBRC.dat
2007-05-27 14:57 0 --a------ C:\WINDOWS\system32\SBFC.dat
2007-05-27 14:40 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-05-27 14:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sunbelt Software
2007-05-27 14:39 <DIR> d-------- C:\Programme\Sunbelt Software
2007-05-27 10:17 <DIR> d-------- C:\avenger
2007-05-27 10:11 <DIR> d-------- C:\Rustbfix
2007-05-27 01:24 30,656 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-05-27 01:23 <DIR> d-------- C:\WINDOWS\system32\RVAXO
2007-05-27 01:10 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-05-26 16:37 60,574 --a------ C:\WINDOWS\system32\xpdt.sys
2007-05-26 16:37 1,536 --a------ C:\cwainda.exe
2007-05-26 16:22 61,536 -ra------ C:\WINDOWS\system32\drivers\se44bus.sys
2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44whnt.sys
2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44wh.sys
2007-05-26 15:49 <DIR> d-------- C:\Programme\Salling Software AB
2007-05-26 15:49 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Salling Software AB
2007-05-26 10:47 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Sony Ericsson
2007-05-26 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson
2007-05-26 10:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2007-05-26 10:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teleca
2007-05-25 16:39 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\DivX
2007-05-24 20:30 <DIR> d-------- C:\Programme\DivX
2007-05-24 20:06 <DIR> d-------- C:\Programme\Naevius GVI Converter
2007-05-20 21:13 <DIR> d-------- C:\Programme\Image2Ico
2007-05-20 14:34 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2007-05-18 11:03 <DIR> d-------- C:\games
2007-05-14 12:11 <DIR> d-------- C:\Programme\BearFlix
2007-05-14 12:11 <DIR> d-------- C:\My Downloads
2007-05-13 12:02 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-05-13 12:02 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-05-13 12:01 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-05-13 12:00 <DIR> d-------- C:\Programme\America's Army Server Manager
2007-05-13 11:54 <DIR> d-------- C:\Programme\America's Army
2007-05-12 13:06 <DIR> d-------- C:\Programme\QuickTime
2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-11 19:30 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll
2007-05-10 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lenovo
2007-05-10 16:26 28,224 --a------ C:\WINDOWS\system32\drivers\psadd.sys
2007-05-09 21:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2007-05-09 17:53 <DIR> d-------- C:\Programme\TopDesk
2007-05-06 09:43 <DIR> d-------- C:\Programme\msn gaming zone
2007-05-04 23:08 <DIR> d-------- C:\Programme\Spam Terrier
2007-05-02 16:35 <DIR> d-------- C:\quarantine
2007-05-01 16:41 <DIR> d-------- C:\MFT 69808


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-27 15:07:27 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Skype
2007-05-26 14:06:32 -------- d-----w C:\Programme\Trillian
2007-05-26 13:49:42 360,580 ----a-w C:\WINDOWS\eSellerateEngine.dll
2007-05-26 13:48:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-05-26 11:22:50 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Teleca
2007-05-26 08:44:14 -------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-05-26 08:42:58 -------- d-----w C:\Programme\Sony Ericsson
2007-05-24 16:44:52 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\LuckieDIPS
2007-05-22 18:22:35 -------- d-----w C:\Programme\teXXas
2007-05-20 12:34:40 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-20 08:18:48 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Launchy
2007-05-17 14:13:03 -------- d-----w C:\Programme\Google
2007-05-14 20:02:19 -------- d-----w C:\Programme\ICQ6
2007-05-10 14:27:04 -------- d-----w C:\Programme\Lenovo
2007-05-06 07:47:24 -------- d-----w C:\Programme\TuneUp Utilities 2006
2007-05-06 07:43:27 -------- d-----w C:\Programme\Windows NT
2007-05-05 12:40:55 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-05-05 12:39:49 -------- d-----w C:\Programme\Viewpoint
2007-05-05 12:36:18 -------- d-----w C:\Programme\Azureus
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-04-22 17:09:17 -------- d-----w C:\Programme\Opera
2007-04-22 10:38:40 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\dvdcss
2007-04-20 16:30:05 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\ICQ
2007-04-19 07:12:21 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Unigraphics Solutions
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-17 21:13:42 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Help
2007-04-17 13:22:44 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\RipIt4Me
2007-04-17 13:12:37 -------- d-----w C:\Programme\Solid Edge V19
2007-04-12 09:42:29 5 ----a-w C:\WINDOWS\system32\wrnreg5.sys
2007-04-10 09:11:26 -------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-04-10 08:13:12 -------- d-----w C:\Programme\Winamp
2007-04-10 08:12:43 -------- d-----w C:\Programme\eMule
2007-04-09 15:08:12 -------- d-----w C:\Programme\PrintFolder Pro
2007-04-09 13:54:04 -------- d-----w C:\Programme\Dirprint
2007-04-08 09:10:26 -------- d-----w C:\Programme\CHIP Vista-Checktool
2007-04-08 09:09:08 -------- d-----w C:\Programme\WordToPDF
2007-04-08 09:07:43 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-08 08:44:54 -------- d-----w C:\Programme\Gemeinsame Dateien\Raxco
2007-04-08 08:44:52 -------- d-----w C:\Programme\Raxco
2007-03-28 19:29:48 -------- d-----w C:\Programme\Skype
2007-03-28 19:29:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-03-27 23:05:01 -------- d-----w C:\Programme\Stardock
2007-03-27 23:05:01 -------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-03-27 16:07:15 -------- d-----w C:\Programme\HDGraph
2007-03-26 12:12:36 86,208 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 12:12:36 444,366 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-09 07:57:40 27,376 ----a-w C:\WINDOWS\system32\SBBD.exe
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ------w C:\WINDOWS\system32\win32k.sys
2007-02-28 13:46:05 11,712 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2006-05-10 08:02]
{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll [2006-01-10 12:09]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 15:17]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 15:16]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 19:04]
"TpShocks"="TpShocks.exe" [2006-03-15 20:04 C:\WINDOWS\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-10-17 01:11 C:\WINDOWS\system32\TP4EX.exe]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-09-13 03:23]
"TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" []
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06]
"LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-05 02:11]
"AMSG"="C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe" [2005-11-14 16:23]
"ISUSPM Startup"="c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50]
"ISUSScheduler"="c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]
"cssauth"="C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 18:08]
"PDService.exe"="C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 13:13]
"ACTray"="C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe" []
"ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" []
"PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-26 02:13]
"BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-26 02:13]
"McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-10-05 22:11]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12]
"PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" [2006-04-25 20:03]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11]
"AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-10-19 03:08]
"ClocX"="C:\Programme\ClocX\ClocX.exe" [2005-01-26 11:04]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-14 09:54]
"TopDesk"="C:\Programme\TopDesk\topdesk.exe" [2006-03-01 19:03]
"TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-12-10 19:36]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06]
"@"="" []
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-03-09 10:31]
"PrevxOne"="C:\Programme\Prevx1\PXConsole.exe" [2007-03-27 11:16]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
"WinClicker.exe"="C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" [2007-05-11 11:25]
"SandboxieControl"="C:\Programme\Sandboxie\Control.exe" [2007-04-20 02:21]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 15:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
C:\Programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages scecli csspwntfy ACGina psqlpwd ACGina

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\SBCSSvc]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk
backup=C:\WINDOWS\pss\Audible Download Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^MarkusSalletmaier^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\MarkusSalletmaier\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
"C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
"C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl]
C:\Programme\Sandboxie\Control.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=2 (0x2)
"SandboxU"=2 (0x2)
"PDSched"=2 (0x2)
"PDEngine"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"iPod Service"=3 (0x3)

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp

*Newly Created Service* -ENTDRV51
*Newly Created Service* -PREVXEMULATOR
*Newly Created Service* -SBAPIFS

Contents of the 'Scheduled Tasks' folder
2007-05-25 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job
2007-05-19 07:15:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-05-27 16:00:01 C:\WINDOWS\tasks\MP Scheduled Scan.job
2007-05-27 16:17:18 C:\WINDOWS\tasks\PMTask.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-27 18:14:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-27 18:21:39 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-27 18:20
C:\ComboFix2.txt ... 2007-05-27 01:12

--- E O F ---




HIjack this:




Logfile of HijackThis v1.99.1
Scan saved at 18:30:38, on 27.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sandboxie\SbieSvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Program Files\ThinkPad\UltraNav Wizard\UNavTray.EXE
C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\ClocX\ClocX.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TopDesk\topdesk.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Programme\Sandboxie\Control.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\DeskTask\DeskTask.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O4 - Startup: Digital Line Detect.lnk = ?
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\
O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing)
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing)
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
Dieser Beitrag wurde am 27.05.2007 um 18:30 Uhr von markussa editiert.
Seitenanfang Seitenende
27.05.2007, 19:24
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

C:\WINDOWS\system32\xpdt.sys
http://www.sophos.com/security/analyses/trojrustokq.html

Kontrolliere bei Jotti
Folgendes: C:\WINDOWS\system32\xpdt.sys
Alternativ: virustotal

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - AutorunsDisabled - (no file)

klicke: Fix checked

Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus
Dieser Beitrag wurde am 27.05.2007 um 19:28 Uhr von Arnold editiert.
Seitenanfang Seitenende
27.05.2007, 20:29
Member

Themenstarter

Beiträge: 276
#11 bei beiden seiten wurde in der xpdt datei von antivir TR/Rootkit.GEn von Bit Defender Trojan.Clicker.Costrat.AS von e safe Win32.Costrat.au von f secure Trojan-Clicker.Win32.Costrat.au von fortinet eine possible thread und von kaspersky Trojan-Clicker.Win32.Costrat.au gefunden werde jetzt das in hijack this entfernen und dann das sd fix ausführen und gleich den rest posten als edit



Logfile:


SDFix: Version 1.85

Run by MarkusSalletmaier - 27.05.2007 - 20:38:38,65

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\ACCCON~1.HTM - Deleted
C:\148857~1 - Deleted
C:\WINDOWS\system32\max1d164v.exe~ - Deleted
C:\WINDOWS\wr.txt - Deleted



Removing Temp Files...

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Salling Software AB\\Salling Clicker\\WinClicker.exe"="C:\\Programme\\Salling Software AB\\Salling Clicker\\WinClicker.exe:*:Enabled:Salling Clicker"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
"C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian"
"C:\\Programme\\Opera\\Opera.exe"="C:\\Programme\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp
C:\WINDOWS\system32\config\DEFAULT.tmp.LOG
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG
C:\WINDOWS\system32\config\SOFTWARE.tmp.LOG
C:\WINDOWS\system32\config\SYSTEM.tmp.LOG

Finished
Dieser Beitrag wurde am 27.05.2007 um 20:51 Uhr von markussa editiert.
Seitenanfang Seitenende
27.05.2007, 21:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Download KillAFile by Marckie,zum Desktop

Packe die Datei aus,und speichere sie in einem Ordner auf deinem Desktop.
Öffne den Ordner KillAFile
mach einen Doppelklick auf die Datei kill.bat.
Wähle die Option 2: "replace a file on reboot".
Wenn du die Meldung bekommst "Insert full path and filename to delete and then press enter"
schreibst/Kopierst du rein: C:\WINDOWS\system32\drivers\sbhr.sys

Wenn die Datei anwesend ist kommt eine Meldung um alle offene Fenster zu schliessen,
und dass der Rechner neu starten wird(reboot)

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Dann wieder aktivieren
__________
MfG Argus
Seitenanfang Seitenende
27.05.2007, 21:27
Member

Themenstarter

Beiträge: 276
#13 So habe ich alles gemacht sonst noch etwas jetzt scheint wieder alles zu laufen
kann ich counter spy und prevx1 wieder deinstallieren
verwende derzeit als schutz microsft defender und mc affee 8.0

mfg
Seitenanfang Seitenende
27.05.2007, 21:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Du kannst alles wieder entfernen
Auch C:\RVAXO-results.log wenn er da ist und C:\Qoobox
Kennst du BOClean frueher musste man dieses Tool kaufen aber jetzt Free Download http://www.nsclean.com/
__________
MfG Argus
Seitenanfang Seitenende
27.05.2007, 21:35
Member

Themenstarter

Beiträge: 276
#15 nein kenne ich nicht
soll ich mir das zulegen ?

mfg
Seitenanfang Seitenende