Home » Viren, Trojaner & Malware Forum » trojaner oder virus eingefangen bitte um auswertung von hijack this log » Themenansicht
trojaner oder virus eingefangen bitte um auswertung von hijack this log |
||
|---|---|---|
| #0
| ||
|
26.05.2007, 19:00
Member
Beiträge: 276 |
||
 
|
|
|
|
26.05.2007, 23:05
Ehrenmitglied
 Beiträge: 6028 |
#2
Download ComboFix zum Desktop
Doppelklick combofix.exe Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt). Poste nachher den logfile C:\combofix.txt in dein folgender Bericht Download: RemoveVideoActiveXObject by Smeenk,zum Desktop Danach dopplelklicken Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun Rechner neu starten und nochmals RemoveVideoActiveXObject.exe Doppelklicken Poste nachher den logfile C:\RVAXO-results.log in dein folgender Bericht zusammen mit ein log von HijackThis __________ MfG Argus |
|
|
|
|
|
|
26.05.2007, 23:16
Moderator
Beiträge: 7805 |
#3
Ich muss mal eben Nachhaken. Welche Datei war das, bzw wo hast du diese her?
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
27.05.2007, 00:51
Member
Themenstarter Beiträge: 276 |
#4
hmm ich habe die datei irgendwo gezogen und war leider zu faul sie sandboxed laufen zu lassen habe sie dann dummerweise als kurzschussreaktion gleich gelöscht irgendwo in der history müsste ich sie noch finden möchte aber wenn ich mir ja jetzt mal sowas eignefangen habe nicht nochmal hin
habe es jetzt einmal mit einer wiederherstellung versucht hat irgendwie nicht so hingehauen bekomme jetzt aber auch keien fehlermeldungen mehr habe aber auch kein symbol vom virenscanner mehr in der taskleiste und auch keinen desktophintergrund und outlook funktioniert auch nicht mehr richtig @ arnold ja werde ich mal machen und dann posten mfg -----------------EDIT --- /---- 2. Teil So habe es gleich gemacht was ihr gesagt habt und hier die auswertung: COMBOFIX: "MarkusSalletmaier" - 2007-05-27 0:56:42 Service Pack 2 ComboFix 07-05.26.3.V - Running from: "C:\Dokumente und Einstellungen\MarkusSalletmaier\Desktop\" [color=red] Rootkit driver xpdt is present. A rootkit scan is required [/color] (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) "C:\WINDOWS\system32\dlh9jkd1q1.exe" "C:\WINDOWS\system32\dlh9jkd1q6.exe" "C:\WINDOWS\system32\dlh9jkd1q7.exe" "C:\WINDOWS\system32\dlh9jkd1q8.exe" "C:\WINDOWS\system32\vexg6ame4.exe" "C:\WINDOWS\system32\vexga4m1et4.exe" "C:\WINDOWS\system32\vexga4me1.exe" "C:\WINDOWS\system32\vexga5me3.exe" "C:\WINDOWS\system32\sqvx5gamet2.exe" "C:\WINDOWS\system32\sqvxga6met3.exe" "C:\WINDOWS\system32\sqvxga7met4.exe" "C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat" "C:\WINDOWS\system32\qwertybot.exe" "C:\WINDOWS\system32\svcp.csv" "C:\WINDOWS\system32\vx.tll" "C:\WINDOWS\system32\winsub.xml" "C:\install.log" "C:\WINDOWS\system32\WinHealer.dll" "C:\WINDOWS\system32\klikalka.exe" "C:\WINDOWS\system32\comi2.dll" "C:\WINDOWS\system32\comi.dll" "C:\WINDOWS\system32\a3dx8.dll" "C:\WINDOWS\system32\setlink.dll" "C:\WINDOWS\system32\wincom32.sys" "C:\WINDOWS\system32\windev-6099-74ea.sys" "C:\WINDOWS\system32\windev-peers.ini" "C:\WINDOWS\system32\comdlg77.dll" ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\windev-6099-74ea ((((((((((((((((((((((((((((((( Files Created from 2007-04-27 to 2007-05-27 )))))))))))))))))))))))))))))))))) 2007-05-26 16:38 6,144 --a------ C:\WINDOWS\system32\autosys.exe 2007-05-26 16:37 60,574 --a------ C:\WINDOWS\system32\xpdt.sys 2007-05-26 16:37 1,536 --a------ C:\cwainda.exe 2007-05-26 16:22 61,536 -ra------ C:\WINDOWS\system32\drivers\se44bus.sys 2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44whnt.sys 2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44wh.sys 2007-05-26 15:49 <DIR> d-------- C:\Programme\Salling Software AB 2007-05-26 15:49 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Salling Software AB 2007-05-26 10:47 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Sony Ericsson 2007-05-26 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson 2007-05-26 10:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2007-05-26 10:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teleca 2007-05-25 16:39 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\DivX 2007-05-24 20:30 <DIR> d-------- C:\Programme\DivX 2007-05-24 20:06 <DIR> d-------- C:\Programme\Naevius GVI Converter 2007-05-20 21:13 <DIR> d-------- C:\Programme\Image2Ico 2007-05-20 14:34 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2007-05-18 11:03 <DIR> d-------- C:\games 2007-05-14 12:11 <DIR> d-------- C:\Programme\BearFlix 2007-05-14 12:11 <DIR> d-------- C:\My Downloads 2007-05-13 12:02 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll 2007-05-13 12:02 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll 2007-05-13 12:01 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-05-13 12:00 <DIR> d-------- C:\Programme\America's Army Server Manager 2007-05-13 11:54 <DIR> d-------- C:\Programme\America's Army 2007-05-12 13:06 <DIR> d-------- C:\Programme\QuickTime 2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2007-05-11 19:30 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll 2007-05-10 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lenovo 2007-05-10 16:26 28,224 --a------ C:\WINDOWS\system32\drivers\psadd.sys 2007-05-09 21:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-05-09 17:53 <DIR> d-------- C:\Programme\TopDesk 2007-05-06 09:43 <DIR> d-------- C:\Programme\msn gaming zone 2007-05-04 23:08 <DIR> d-------- C:\Programme\Spam Terrier 2007-05-02 16:35 <DIR> d-------- C:\quarantine 2007-05-01 16:41 <DIR> d-------- C:\MFT 69808 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-26 14:52:55 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Skype 2007-05-26 14:06:32 -------- d-----w C:\Programme\Trillian 2007-05-26 13:49:42 360,580 ----a-w C:\WINDOWS\eSellerateEngine.dll 2007-05-26 13:48:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-05-26 11:22:50 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Teleca 2007-05-26 08:44:14 -------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2007-05-26 08:42:58 -------- d-----w C:\Programme\Sony Ericsson 2007-05-24 16:44:52 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\LuckieDIPS 2007-05-22 18:22:35 -------- d-----w C:\Programme\teXXas 2007-05-20 12:34:40 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-20 08:18:48 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Launchy 2007-05-17 14:13:03 -------- d-----w C:\Programme\Google 2007-05-14 20:02:19 -------- d-----w C:\Programme\ICQ6 2007-05-10 14:27:04 -------- d-----w C:\Programme\Lenovo 2007-05-06 07:47:24 -------- d-----w C:\Programme\TuneUp Utilities 2006 2007-05-06 07:43:27 -------- d-----w C:\Programme\Windows NT 2007-05-05 12:40:55 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-05-05 12:39:49 -------- d-----w C:\Programme\Viewpoint 2007-05-05 12:36:18 -------- d-----w C:\Programme\Azureus 2007-05-05 07:30:35 -------- d-----w C:\Programme\Sandboxie 2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2007-04-22 17:09:17 -------- d-----w C:\Programme\Opera 2007-04-22 10:38:40 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\dvdcss 2007-04-20 16:30:05 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\ICQ 2007-04-19 07:12:21 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Unigraphics Solutions 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-17 21:13:42 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Help 2007-04-17 13:22:44 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\RipIt4Me 2007-04-17 13:12:37 -------- d-----w C:\Programme\Solid Edge V19 2007-04-12 09:42:29 5 ----a-w C:\WINDOWS\system32\wrnreg5.sys 2007-04-10 09:11:26 -------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared 2007-04-10 08:13:12 -------- d-----w C:\Programme\Winamp 2007-04-10 08:12:43 -------- d-----w C:\Programme\eMule 2007-04-09 15:08:12 -------- d-----w C:\Programme\PrintFolder Pro 2007-04-09 13:54:04 -------- d-----w C:\Programme\Dirprint 2007-04-08 09:10:26 -------- d-----w C:\Programme\CHIP Vista-Checktool 2007-04-08 09:09:08 -------- d-----w C:\Programme\WordToPDF 2007-04-08 09:07:43 -------- d-----w C:\Programme\Mozilla Thunderbird 2007-04-08 08:44:54 -------- d-----w C:\Programme\Gemeinsame Dateien\Raxco 2007-04-08 08:44:52 -------- d-----w C:\Programme\Raxco 2007-03-28 19:29:48 -------- d-----w C:\Programme\Skype 2007-03-28 19:29:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2007-03-27 23:05:01 -------- d-----w C:\Programme\Stardock 2007-03-27 23:05:01 -------- d-----w C:\Programme\Gemeinsame Dateien\Stardock 2007-03-27 16:07:15 -------- d-----w C:\Programme\HDGraph 2007-03-26 12:12:36 86,208 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 12:12:36 444,366 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll 2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll 2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll 2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll 2007-03-08 15:32:24 1,843,712 ------w C:\WINDOWS\system32\win32k.sys 2007-02-28 13:46:05 11,712 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2006-05-10 08:02] {72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 15:17] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 15:16] "TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 19:04] "TpShocks"="TpShocks.exe" [2006-03-15 20:04 C:\WINDOWS\system32\TpShocks.exe] "TP4EX"="tp4ex.exe" [2005-10-17 01:11 C:\WINDOWS\system32\TP4EX.exe] "EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-09-13 03:23] "TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06] "LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-05 02:11] "AMSG"="C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe" [2005-11-14 16:23] "ISUSPM Startup"="c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50] "ISUSScheduler"="c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50] "cssauth"="C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 18:08] "PDService.exe"="C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 13:13] "ACTray"="C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe" [] "ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [] "PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-26 02:13] "BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-26 02:13] "McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50] "ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00] "Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-10-05 22:11] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12] "PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" [2006-04-25 20:03] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11] "AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-10-19 03:08] "ClocX"="C:\Programme\ClocX\ClocX.exe" [2005-01-26 11:04] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-14 09:54] "TopDesk"="C:\Programme\TopDesk\topdesk.exe" [2006-03-01 19:03] "TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-12-10 19:36] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00] "WinClicker.exe"="C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" [2007-05-11 11:25] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 15:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify] ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify] C:\Programme\Lenovo\AwayTask\AwayNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] tphklock.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages scecli csspwntfy ACGina psqlpwd ACGina [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk backup=C:\WINDOWS\pss\Audible Download Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^MarkusSalletmaier^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\MarkusSalletmaier\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl] C:\Programme\Sandboxie\Control.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "SandboxU"=2 (0x2) "PDSched"=2 (0x2) "PDEngine"=3 (0x3) "ose"=3 (0x3) "odserv"=3 (0x3) "Microsoft Office Groove Audit Service"=3 (0x3) "iPod Service"=3 (0x3) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* UxTuneUp *Newly Created Service* -ENTDRV51 ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20060112-144155-426 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install backup-20060112-144155-742 O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe backup-20060112-144155-878 O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe backup-20060112-144018-499 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install Contents of the 'Scheduled Tasks' folder 2007-05-25 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job 2007-05-19 07:15:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job 2007-05-26 23:07:30 C:\WINDOWS\tasks\MP Scheduled Scan.job 2007-05-26 23:05:25 C:\WINDOWS\tasks\PMTask.job ******************************************************************** catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-27 01:05:03 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ******************************************************************** Completion time: 2007-05-27 1:10:29 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-05-27 01:10 --- E O F --- (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) "C:\WINDOWS\system32\dlh9jkd1q1.exe" "C:\WINDOWS\system32\dlh9jkd1q6.exe" "C:\WINDOWS\system32\dlh9jkd1q7.exe" "C:\WINDOWS\system32\dlh9jkd1q8.exe" "C:\WINDOWS\system32\vexg6ame4.exe" "C:\WINDOWS\system32\vexga4m1et4.exe" "C:\WINDOWS\system32\vexga4me1.exe" "C:\WINDOWS\system32\vexga5me3.exe" "C:\WINDOWS\system32\sqvx5gamet2.exe" "C:\WINDOWS\system32\sqvxga6met3.exe" "C:\WINDOWS\system32\sqvxga7met4.exe" "C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat" "C:\WINDOWS\system32\qwertybot.exe" "C:\WINDOWS\system32\svcp.csv" "C:\WINDOWS\system32\vx.tll" "C:\WINDOWS\system32\winsub.xml" "C:\install.log" "C:\WINDOWS\system32\WinHealer.dll" "C:\WINDOWS\system32\klikalka.exe" "C:\WINDOWS\system32\comi2.dll" "C:\WINDOWS\system32\comi.dll" "C:\WINDOWS\system32\a3dx8.dll" "C:\WINDOWS\system32\setlink.dll" "C:\WINDOWS\system32\wincom32.sys" "C:\WINDOWS\system32\windev-6099-74ea.sys" "C:\WINDOWS\system32\windev-peers.ini" "C:\WINDOWS\system32\comdlg77.dll" ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\windev-6099-74ea ((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 )))))))))))))))))))))))))))))))))) 27.05.2007 01:10 49.152 --a------ C:\WINDOWS\nircmd.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) "C:\WINDOWS\system32\dlh9jkd1q1.exe" "C:\WINDOWS\system32\dlh9jkd1q6.exe" "C:\WINDOWS\system32\dlh9jkd1q7.exe" "C:\WINDOWS\system32\dlh9jkd1q8.exe" "C:\WINDOWS\system32\vexg6ame4.exe" "C:\WINDOWS\system32\vexga4m1et4.exe" "C:\WINDOWS\system32\vexga4me1.exe" "C:\WINDOWS\system32\vexga5me3.exe" "C:\WINDOWS\system32\sqvx5gamet2.exe" "C:\WINDOWS\system32\sqvxga6met3.exe" "C:\WINDOWS\system32\sqvxga7met4.exe" "C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat" "C:\WINDOWS\system32\qwertybot.exe" "C:\WINDOWS\system32\svcp.csv" "C:\WINDOWS\system32\vx.tll" "C:\WINDOWS\system32\winsub.xml" "C:\install.log" "C:\WINDOWS\system32\WinHealer.dll" "C:\WINDOWS\system32\klikalka.exe" "C:\WINDOWS\system32\comi2.dll" "C:\WINDOWS\system32\comi.dll" "C:\WINDOWS\system32\a3dx8.dll" "C:\WINDOWS\system32\setlink.dll" "C:\WINDOWS\system32\wincom32.sys" "C:\WINDOWS\system32\windev-6099-74ea.sys" "C:\WINDOWS\system32\windev-peers.ini" "C:\WINDOWS\system32\comdlg77.dll" ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\windev-6099-74ea ((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 )))))))))))))))))))))))))))))))))) (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) "C:\WINDOWS\system32\dlh9jkd1q1.exe" "C:\WINDOWS\system32\dlh9jkd1q6.exe" "C:\WINDOWS\system32\dlh9jkd1q7.exe" "C:\WINDOWS\system32\dlh9jkd1q8.exe" "C:\WINDOWS\system32\vexg6ame4.exe" "C:\WINDOWS\system32\vexga4m1et4.exe" "C:\WINDOWS\system32\vexga4me1.exe" "C:\WINDOWS\system32\vexga5me3.exe" "C:\WINDOWS\system32\sqvx5gamet2.exe" "C:\WINDOWS\system32\sqvxga6met3.exe" "C:\WINDOWS\system32\sqvxga7met4.exe" "C:\DOKUME~1\MARKUS~1\ANWEND~1\Install.dat" "C:\WINDOWS\system32\qwertybot.exe" "C:\WINDOWS\system32\svcp.csv" "C:\WINDOWS\system32\vx.tll" "C:\WINDOWS\system32\winsub.xml" "C:\install.log" "C:\WINDOWS\system32\WinHealer.dll" "C:\WINDOWS\system32\klikalka.exe" "C:\WINDOWS\system32\comi2.dll" "C:\WINDOWS\system32\comi.dll" "C:\WINDOWS\system32\a3dx8.dll" "C:\WINDOWS\system32\setlink.dll" "C:\WINDOWS\system32\wincom32.sys" "C:\WINDOWS\system32\windev-6099-74ea.sys" "C:\WINDOWS\system32\windev-peers.ini" "C:\WINDOWS\system32\comdlg77.dll" ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\windev-6099-74ea ((((((((((((((((((((((((((((((( Files Created from 27.0-01-07 to 27.05.2007 )))))))))))))))))))))))))))))))))) BEI DEM 2 TEN Programm bekomme ich nur Seitenweise meldungen pfad / datei kann nicht gefunden werden und keine logfile auch wenn ich schon neu gestartet habe jetzt sieht das system aber schon wiede rbesser aus noch einmal ein aktueller hijack this logfile Logfile of HijackThis v1.99.1 Scan saved at 01:27:23, on 27.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\lenovo\system update\suservice.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\Programme\ClocX\ClocX.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TopDesk\topdesk.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe C:\Programme\DeskTask\DeskTask.exe C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O11 - Options group: [JAVA_IBM] Java (IBM) O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing) O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing) O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe Dieser Beitrag wurde am 27.05.2007 um 01:29 Uhr von markussa editiert.
|
|
|
|
|
|
|
27.05.2007, 01:47
Ehrenmitglied
Beiträge: 6028 |
#5
C:\Qoobox – loeschen und Papierkorb leeren
Download rustbfix zum Desktop Doppelkilck rustbfix.exe um das Tool zu starten Wenn eine Rustock.b-infection gefunden wird,wird kurz danach gefragt um dein Rechner neu zu starten Der neustart wird etwas dauern und warscheinlich wird ein zweiter reboot noetig sein Dies geschiet alles automatisch Nach neustart werden log Dateien sich oeffnen (C:\avenger.txt & C:\rustbfix\pelog.txt) Poste nachher den logfile C:\avenger.txt & C:\rustbfix\pelog.txt in dein folgender Bericht __________ MfG Argus Dieser Beitrag wurde am 27.05.2007 um 01:51 Uhr von Arnold editiert.
|
|
|
|
|
|
|
27.05.2007, 10:21
Ehrenmitglied
Beiträge: 6028 |
#6
Installiere CounterSpy
http://www.virus-protect.org/counterspy.html Versuche mal Prevx1 http://www.prevx.com/security.asp Und ein scan mit Dr.web http://board.protecus.de/t29350.htm EDIT Und dan wieder ein Log von HJ und ComboFix __________ MfG Argus |
|
|
|
|
|
|
27.05.2007, 10:24
Member
Themenstarter Beiträge: 276 |
#7
Hallo habe mal einen normalen virenscan noch laufen lassen ergebniss siehe anhang
PELOG: ************************* Rustock.b-fix v. 1.01 -- By ejvindh ************************* 27.05.2007 10:11:48,88 ******************* Pre-run Status of system ******************* Rootkit driver xpdt is found. Starting the unload-procedure.... Rustock.b-ADS attached to the System32-folder: No streams found. Looking for Rustock.b-files in the System32-folder: No Rustock.b-files found in system32 ******************* Post-run Status of system ******************* Rustock.b-driver on the system: NONE! Rustock.b-ADS attached to the System32-folder: No System32-ADS found. Looking for Rustock.b-files in the System32-folder: No Rustock.b-files found in system32 ******************************* End of Logfile ******************************** AVENGER: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jcpjixxm ******************* Script file located at: \??\C:\lculhskh.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Driver xpdt unloaded successfully. Program C:\Rustbfix\2run.bat successfully set up to run once on reboot. Completed script processing. ******************* Finished! Terminate. IST JETZT DER letze post von dir noch nötig ? mfg Anhang: virusschan.png
|
|
|
|
|
|
|
27.05.2007, 10:49
Ehrenmitglied
Beiträge: 6028 |
#8
Das ist die Systemwiederherstellung wo die Viren gefunden wurden
Dan poste noch mal ein neuer log von ComboFix Info: C:\WINDOWS\system32\xpdt.sys http://research.sunbelt-software.com/Thread.aspx?name=Backdoor.Rustock&Thread=45547 __________ MfG Argus |
|
|
|
|
|
|
27.05.2007, 17:38
Member
Themenstarter Beiträge: 276 |
#9
So ich hätte jetzt mit counter spy begonnen der findet aber immer 5 objekte ( bear share, WIN32.ExplorerHijack | Trojan , brave sentry dr antispy und spy sheriff (alle Rouge security Programm))
der link von deinem letzen post funktioniert irgendwie nicht jetz tläuft mein system aber schon wieder ziemlich normal also schon einmal danke für die bisherigen mühen ich werde jetzt dann noch einmal das 2te prog von oben ausprobieren (prevx) und dann dor web und in einer viertelstunde werd ich dann wahrscheinlich di ecombofix und hijack this logs posten EDIT: SO Prevx 1und dr ... haben beide keine bedrohungen gefunden unten nochmal combofix und hijack COMBOFIX: "MarkusSalletmaier" - 2007-05-27 17:57:22 Service Pack 2 ComboFix 07-05.26.3.V - Running from: "C:\Dokumente und Einstellungen\MarkusSalletmaier\Desktop\" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) "C:\WINDOWS\system32\wincom32.ini" ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_WINCOM32 ((((((((((((((((((((((((((((((( Files Created from 2007-04-27 to 2007-05-27 )))))))))))))))))))))))))))))))))) 2007-05-27 17:50 <DIR> d-------- C:\Dokumente und Einstellungen\MarkusSalletmaier\DoctorWeb 2007-05-27 17:50 <DIR> d-------- C:\DOKUME~1\MARKUS~1\DoctorWeb 2007-05-27 16:38 90,800 -ra------ C:\WINDOWS\system32\drivers\se44unic.sys 2007-05-27 16:38 4,128 -ra------ C:\WINDOWS\system32\drivers\se44cr.sys 2007-05-27 16:38 18,704 -ra------ C:\WINDOWS\system32\drivers\se44nd5.sys 2007-05-27 16:37 97,088 -ra------ C:\WINDOWS\system32\drivers\se44mdm.sys 2007-05-27 16:37 9,360 -ra------ C:\WINDOWS\system32\drivers\se44mdfl.sys 2007-05-27 16:37 88,624 -ra------ C:\WINDOWS\system32\drivers\se44mgmt.sys 2007-05-27 16:37 86,432 -ra------ C:\WINDOWS\system32\drivers\se44obex.sys 2007-05-27 16:37 6,240 -ra------ C:\WINDOWS\system32\drivers\se44cmnt.sys 2007-05-27 16:37 6,240 -ra------ C:\WINDOWS\system32\drivers\se44cm.sys 2007-05-27 15:49 <DIR> d-------- C:\Programme\Sandboxie 2007-05-27 15:41 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Prevx 2007-05-27 15:39 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Prevx 2007-05-27 15:37 77,312 --a------ C:\WINDOWS\ua2.dll 2007-05-27 14:57 0 --a------ C:\WINDOWS\system32\SBRC.dat 2007-05-27 14:57 0 --a------ C:\WINDOWS\system32\SBFC.dat 2007-05-27 14:40 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys 2007-05-27 14:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sunbelt Software 2007-05-27 14:39 <DIR> d-------- C:\Programme\Sunbelt Software 2007-05-27 10:17 <DIR> d-------- C:\avenger 2007-05-27 10:11 <DIR> d-------- C:\Rustbfix 2007-05-27 01:24 30,656 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg 2007-05-27 01:23 <DIR> d-------- C:\WINDOWS\system32\RVAXO 2007-05-27 01:10 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-05-26 16:37 60,574 --a------ C:\WINDOWS\system32\xpdt.sys 2007-05-26 16:37 1,536 --a------ C:\cwainda.exe 2007-05-26 16:22 61,536 -ra------ C:\WINDOWS\system32\drivers\se44bus.sys 2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44whnt.sys 2007-05-26 16:22 5,872 -ra------ C:\WINDOWS\system32\drivers\se44wh.sys 2007-05-26 15:49 <DIR> d-------- C:\Programme\Salling Software AB 2007-05-26 15:49 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Salling Software AB 2007-05-26 10:47 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\Sony Ericsson 2007-05-26 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson 2007-05-26 10:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared 2007-05-26 10:42 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Teleca 2007-05-25 16:39 <DIR> d-------- C:\DOKUME~1\MARKUS~1\ANWEND~1\DivX 2007-05-24 20:30 <DIR> d-------- C:\Programme\DivX 2007-05-24 20:06 <DIR> d-------- C:\Programme\Naevius GVI Converter 2007-05-20 21:13 <DIR> d-------- C:\Programme\Image2Ico 2007-05-20 14:34 <DIR> d-------- C:\Programme\PC Inspector File Recovery 2007-05-18 11:03 <DIR> d-------- C:\games 2007-05-14 12:11 <DIR> d-------- C:\Programme\BearFlix 2007-05-14 12:11 <DIR> d-------- C:\My Downloads 2007-05-13 12:02 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll 2007-05-13 12:02 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll 2007-05-13 12:01 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2007-05-13 12:00 <DIR> d-------- C:\Programme\America's Army Server Manager 2007-05-13 11:54 <DIR> d-------- C:\Programme\America's Army 2007-05-12 13:06 <DIR> d-------- C:\Programme\QuickTime 2007-05-11 19:54 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2007-05-11 19:30 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2007-05-11 06:37 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2007-05-11 06:37 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2007-05-11 06:37 740,442 --a------ C:\WINDOWS\system32\DivX.dll 2007-05-10 16:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Lenovo 2007-05-10 16:26 28,224 --a------ C:\WINDOWS\system32\drivers\psadd.sys 2007-05-09 21:30 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2007-05-09 17:53 <DIR> d-------- C:\Programme\TopDesk 2007-05-06 09:43 <DIR> d-------- C:\Programme\msn gaming zone 2007-05-04 23:08 <DIR> d-------- C:\Programme\Spam Terrier 2007-05-02 16:35 <DIR> d-------- C:\quarantine 2007-05-01 16:41 <DIR> d-------- C:\MFT 69808 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-27 15:07:27 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Skype 2007-05-26 14:06:32 -------- d-----w C:\Programme\Trillian 2007-05-26 13:49:42 360,580 ----a-w C:\WINDOWS\eSellerateEngine.dll 2007-05-26 13:48:43 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-05-26 11:22:50 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Teleca 2007-05-26 08:44:14 -------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared 2007-05-26 08:42:58 -------- d-----w C:\Programme\Sony Ericsson 2007-05-24 16:44:52 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\LuckieDIPS 2007-05-22 18:22:35 -------- d-----w C:\Programme\teXXas 2007-05-20 12:34:40 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-05-20 08:18:48 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Launchy 2007-05-17 14:13:03 -------- d-----w C:\Programme\Google 2007-05-14 20:02:19 -------- d-----w C:\Programme\ICQ6 2007-05-10 14:27:04 -------- d-----w C:\Programme\Lenovo 2007-05-06 07:47:24 -------- d-----w C:\Programme\TuneUp Utilities 2006 2007-05-06 07:43:27 -------- d-----w C:\Programme\Windows NT 2007-05-05 12:40:55 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2007-05-05 12:39:49 -------- d-----w C:\Programme\Viewpoint 2007-05-05 12:36:18 -------- d-----w C:\Programme\Azureus 2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll 2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe 2007-04-22 17:09:17 -------- d-----w C:\Programme\Opera 2007-04-22 10:38:40 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\dvdcss 2007-04-20 16:30:05 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\ICQ 2007-04-19 07:12:21 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Unigraphics Solutions 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-17 21:13:42 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\Help 2007-04-17 13:22:44 -------- d-----w C:\DOKUME~1\MARKUS~1\ANWEND~1\RipIt4Me 2007-04-17 13:12:37 -------- d-----w C:\Programme\Solid Edge V19 2007-04-12 09:42:29 5 ----a-w C:\WINDOWS\system32\wrnreg5.sys 2007-04-10 09:11:26 -------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared 2007-04-10 08:13:12 -------- d-----w C:\Programme\Winamp 2007-04-10 08:12:43 -------- d-----w C:\Programme\eMule 2007-04-09 15:08:12 -------- d-----w C:\Programme\PrintFolder Pro 2007-04-09 13:54:04 -------- d-----w C:\Programme\Dirprint 2007-04-08 09:10:26 -------- d-----w C:\Programme\CHIP Vista-Checktool 2007-04-08 09:09:08 -------- d-----w C:\Programme\WordToPDF 2007-04-08 09:07:43 -------- d-----w C:\Programme\Mozilla Thunderbird 2007-04-08 08:44:54 -------- d-----w C:\Programme\Gemeinsame Dateien\Raxco 2007-04-08 08:44:52 -------- d-----w C:\Programme\Raxco 2007-03-28 19:29:48 -------- d-----w C:\Programme\Skype 2007-03-28 19:29:47 -------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2007-03-27 23:05:01 -------- d-----w C:\Programme\Stardock 2007-03-27 23:05:01 -------- d-----w C:\Programme\Gemeinsame Dateien\Stardock 2007-03-27 16:07:15 -------- d-----w C:\Programme\HDGraph 2007-03-26 12:12:36 86,208 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-03-26 12:12:36 444,366 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll 2007-03-09 07:57:40 27,376 ----a-w C:\WINDOWS\system32\SBBD.exe 2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll 2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll 2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll 2007-03-08 15:32:24 1,843,712 ------w C:\WINDOWS\system32\win32k.sys 2007-02-28 13:46:05 11,712 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {00C6482D-C502-44C8-8409-FCE54AD9C208}=C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll [2006-05-10 08:02] {55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll [2006-01-10 12:09] {72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 15:17] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 15:16] "TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 19:04] "TpShocks"="TpShocks.exe" [2006-03-15 20:04 C:\WINDOWS\system32\TpShocks.exe] "TP4EX"="tp4ex.exe" [2005-10-17 01:11 C:\WINDOWS\system32\TP4EX.exe] "EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-09-13 03:23] "TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06] "LPManager"="C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe" [2006-07-05 02:11] "AMSG"="C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe" [2005-11-14 16:23] "ISUSPM Startup"="c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50] "ISUSScheduler"="c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50] "cssauth"="C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" [2005-12-21 18:08] "PDService.exe"="C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 13:13] "ACTray"="C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe" [] "ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [] "PWRMGRTR"="C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-05-26 02:13] "BLOG"="C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-05-26 02:13] "McAfeeUpdaterUI"="C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50] "ShStatEXE"="C:\Programme\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00] "Network Associates Error Reporting Service"="C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-10-05 22:11] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43] "IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 10:50] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12] "PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" [2006-04-25 20:03] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 09:11] "AwaySch"="C:\Programme\Lenovo\AwayTask\AwaySch.EXE" [2006-10-19 03:08] "ClocX"="C:\Programme\ClocX\ClocX.exe" [2005-01-26 11:04] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-14 09:54] "TopDesk"="C:\Programme\TopDesk\topdesk.exe" [2006-03-01 19:03] "TVT Scheduler Proxy"="C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-12-10 19:36] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06] "@"="" [] "SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-03-09 10:31] "PrevxOne"="C:\Programme\Prevx1\PXConsole.exe" [2007-03-27 11:16] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00] "WinClicker.exe"="C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" [2007-05-11 11:25] "SandboxieControl"="C:\Programme\Sandboxie\Control.exe" [2007-04-20 02:21] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"="C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 15:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify] ACNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify] C:\Programme\Lenovo\AwayTask\AwayNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus] psqlpwd.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] notifyf2.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] tphklock.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages scecli csspwntfy ACGina psqlpwd ACGina [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\SBCSSvc] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk backup=C:\WINDOWS\pss\Audible Download Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^MarkusSalletmaier^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\MarkusSalletmaier\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SandboxieControl] C:\Programme\Sandboxie\Control.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=2 (0x2) "SandboxU"=2 (0x2) "PDSched"=2 (0x2) "PDEngine"=3 (0x3) "ose"=3 (0x3) "odserv"=3 (0x3) "Microsoft Office Groove Audit Service"=3 (0x3) "iPod Service"=3 (0x3) HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* UxTuneUp *Newly Created Service* -ENTDRV51 *Newly Created Service* -PREVXEMULATOR *Newly Created Service* -SBAPIFS Contents of the 'Scheduled Tasks' folder 2007-05-25 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job 2007-05-19 07:15:00 C:\WINDOWS\tasks\AppleSoftwareUpdate.job 2007-05-27 16:00:01 C:\WINDOWS\tasks\MP Scheduled Scan.job 2007-05-27 16:17:18 C:\WINDOWS\tasks\PMTask.job ******************************************************************** catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-27 18:14:24 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden files ... scan completed successfully hidden files: 0 ******************************************************************** Completion time: 2007-05-27 18:21:39 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-05-27 18:20 C:\ComboFix2.txt ... 2007-05-27 01:12 --- E O F --- HIjack this: Logfile of HijackThis v1.99.1 Scan saved at 18:30:38, on 27.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sandboxie\SbieSvc.exe c:\programme\lenovo\system update\suservice.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe C:\Program Files\ThinkPad\UltraNav Wizard\UNavTray.EXE C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Lenovo\AwayTask\AwaySch.EXE C:\Programme\ClocX\ClocX.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TopDesk\topdesk.exe C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe C:\Programme\Sandboxie\Control.exe C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe C:\Programme\DeskTask\DeskTask.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKLM\..\Run: [PrevxOne] "C:\Programme\Prevx1\PXConsole.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime O4 - HKCU\..\Run: [SandboxieControl] C:\Programme\Sandboxie\Control.exe O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe O4 - Startup: Digital Line Detect.lnk = ? O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O11 - Options group: [JAVA_IBM] Java (IBM) O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O20 - Winlogon Notify: AwayNotify - C:\Programme\Lenovo\AwayTask\AwayNotify.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O20 - Winlogon Notify: psfus - C:\WINDOWS\SYSTEM32\psqlpwd.dll O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing) O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing) O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing) O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe Dieser Beitrag wurde am 27.05.2007 um 18:30 Uhr von markussa editiert.
|
|
|
|
|
|
|
27.05.2007, 19:24
Ehrenmitglied
Beiträge: 6028 |
#10
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
C:\WINDOWS\system32\xpdt.sys http://www.sophos.com/security/analyses/trojrustokq.html Kontrolliere bei Jotti Folgendes: C:\WINDOWS\system32\xpdt.sys Alternativ: virustotal Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - AutorunsDisabled - (no file) klicke: Fix checked Download SDFix zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklick RunThis.bat Schreibe: Y folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf dein Desktop steht in diesen Thread __________ MfG Argus Dieser Beitrag wurde am 27.05.2007 um 19:28 Uhr von Arnold editiert.
|
|
|
|
|
|
|
27.05.2007, 20:29
Member
Themenstarter Beiträge: 276 |
#11
bei beiden seiten wurde in der xpdt datei von antivir TR/Rootkit.GEn von Bit Defender Trojan.Clicker.Costrat.AS von e safe Win32.Costrat.au von f secure Trojan-Clicker.Win32.Costrat.au von fortinet eine possible thread und von kaspersky Trojan-Clicker.Win32.Costrat.au gefunden werde jetzt das in hijack this entfernen und dann das sd fix ausführen und gleich den rest posten als edit
Logfile: SDFix: Version 1.85 Run by MarkusSalletmaier - 27.05.2007 - 20:38:38,65 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Restoring Missing Security Center Service Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\SYSTEM32\ACCCON~1.HTM - Deleted C:\148857~1 - Deleted C:\WINDOWS\system32\max1d164v.exe~ - Deleted C:\WINDOWS\wr.txt - Deleted Removing Temp Files... ADS Check: Checking if ADS is attached to system32 Folder C:\WINDOWS\system32 No streams found. Checking if ADS is attached to svchost.exe C:\WINDOWS\system32\svchost.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Salling Software AB\\Salling Clicker\\WinClicker.exe"="C:\\Programme\\Salling Software AB\\Salling Clicker\\WinClicker.exe:*:Enabled:Salling Clicker" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath " "C:\\Programme\\Trillian\\trillian.exe"="C:\\Programme\\Trillian\\trillian.exe:*:Enabled:Trillian" "C:\\Programme\\Opera\\Opera.exe"="C:\\Programme\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes: C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp C:\WINDOWS\system32\config\DEFAULT.tmp.LOG C:\WINDOWS\system32\config\SAM.tmp.LOG C:\WINDOWS\system32\config\SECURITY.tmp.LOG C:\WINDOWS\system32\config\SOFTWARE.tmp.LOG C:\WINDOWS\system32\config\SYSTEM.tmp.LOG Finished Dieser Beitrag wurde am 27.05.2007 um 20:51 Uhr von markussa editiert.
|
|
|
|
|
|
|
27.05.2007, 21:08
Ehrenmitglied
Beiträge: 6028 |
#12
Download KillAFile by Marckie,zum Desktop
Packe die Datei aus,und speichere sie in einem Ordner auf deinem Desktop. Öffne den Ordner KillAFile mach einen Doppelklick auf die Datei kill.bat. Wähle die Option 2: "replace a file on reboot". Wenn du die Meldung bekommst "Insert full path and filename to delete and then press enter" schreibst/Kopierst du rein: C:\WINDOWS\system32\drivers\sbhr.sys Wenn die Datei anwesend ist kommt eine Meldung um alle offene Fenster zu schliessen, und dass der Rechner neu starten wird(reboot) Systemwiederherstellung Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Dann wieder aktivieren __________ MfG Argus |
|
|
|
|
|
|
27.05.2007, 21:27
Member
Themenstarter Beiträge: 276 |
#13
So habe ich alles gemacht sonst noch etwas jetzt scheint wieder alles zu laufen
kann ich counter spy und prevx1 wieder deinstallieren verwende derzeit als schutz microsft defender und mc affee 8.0 mfg |
|
|
|
|
|
|
27.05.2007, 21:32
Ehrenmitglied
Beiträge: 6028 |
#14
Du kannst alles wieder entfernen
Auch C:\RVAXO-results.log wenn er da ist und C:\Qoobox Kennst du BOClean frueher musste man dieses Tool kaufen aber jetzt Free Download http://www.nsclean.com/ __________ MfG Argus |
|
|
|
|
|
|
27.05.2007, 21:35
Member
Themenstarter Beiträge: 276 |
||
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hier das log :
Logfile of HijackThis v1.99.1
Scan saved at 18:57, on 07-05-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\br_funcs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Lenovo\AwayTask\AwaySch.EXE
C:\Programme\ClocX\ClocX.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TopDesk\topdesk.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\netsh.exe
C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\DeskTask\DeskTask.exe
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\netsh.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\B.tmp.exe
C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\A.tmp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Markus\Eigene Dateien\Privat\Software\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lenovo.com/de/de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - C:\WINDOWS\system32\comi2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\PROGRA~1\THINKV~2\AMSG\Amsg.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [TPKBDLED] C:\WINDOWS\system32\TpScrLk.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AwaySch] C:\Programme\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TopDesk] C:\Programme\TopDesk\topdesk.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\1B.tmp
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels32.exe
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\RunOnce: [service] C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\xylodkcd.exe delete
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinClicker.exe] "C:\Programme\Salling Software AB\Salling Clicker\WinClicker.exe" -atboottime
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vexg6ame4.exe
O4 - HKCU\..\RunOnce: [service] C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\xylodkcd.exe delete
O4 - Startup: DeskTask.lnk = C:\Programme\DeskTask\DeskTask.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: SnagIt 8.lnk = C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158159644671
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - (no file)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe (file missing)
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe (file missing)
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe