Win32/Trats.A Trojaner

#1 Hallo Leute,

hab mir am Freitag einen Trojaner eingefangen. Soll angeblich WIN32/Trats.A heißen.
Bin mir jetzt nicht sicher ob es in dieses Forum hier reingehört, wenn falsch, dann bitte verschieben

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:32:37, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\ascent\bin\acsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\Canon Electronics\Scan Panel\drpanel.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\Canon Electronics\Scan Panel\drpanel .exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Analog Devices\SoundMAX\SMTray .exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr .exe
C:\Programme\FreePDF\FreePDFA .exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
C:\Programme\CA\eTrustITM\eaps.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Ascent\Server\MSSQL$ASCENTCAPTURE\Binn\sqlservr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\lokaleSaperionClients\ProDiv System\MSOffice\SAOI32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\CA\eTrustITM\Realmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [Scan Panel] "C:\Programme\Canon Electronics\Scan Panel\drpanel.exe" /Stay
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://beta.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170323698203
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://saperion.webex.com/client/v_mywebex-t20-localized/support/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\Software\..\Telephony: DomainName = ***.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lan
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ascent Capture-Dienst (Ascent Capture Service) - Kofax Image Products - c:\programme\ascent\bin\acsvc.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Wegen Sicherheitsgründen entferne ich die Domäne und meinen Computernamen (werden durch *** ersetzt).

Mein PC ist seitdem sehr langsam geworden. Auf dem Desktop erschienen 2 weitere Objekte: "Help und Support Center" und "Windows Update".

Außerdem liegen auf meinem C-Laufwerk Dateien mit den Namen "pos1A0.tmp" bis "pos820.tmp" und es werden meiner Meinung immer mehr.

Würde nur ungern meinen PC formatieren, darum bitte um schnelle Hilfe

#2 Bitte poste einmal den Rest Reporte aus diesem Thread. http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo raman,

danke für deinen Hinweis.
1. ATF Cleaner erfolgreich durchgeführt.
2. ComboFix hat zwar eine halbe Ewigkeit gedauert, aber seitdem läuft mein PC viel schneller (.txt Datei ist im Anhang)
3. HiJackThis-Log.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:21, on 2008-01-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\ascent\bin\acsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CA\eTrustITM\eaps.exe
C:\Programme\Ascent\Server\MSSQL$ASCENTCAPTURE\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\Programme\Canon Electronics\Scan Panel\drpanel.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\QuickTime\QTTask .exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Free Download Manager\fdm.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\IrfanView\i_view32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [Scan Panel] "C:\Programme\Canon Electronics\Scan Panel\drpanel.exe" /Stay
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ .exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://beta.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170323698203
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://**.webex.com/client/v_mywebex-t20-localized/support/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\Software\..\Telephony: DomainName = ***.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lan
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: winzqe32 - winzqe32.dll (file missing)
O23 - Service: Ascent Capture-Dienst (Ascent Capture Service) - Kofax Image Products - c:\programme\ascent\bin\acsvc.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

3b.

Zitat

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat 6.0.1 Professional - English, Français, Deutsch
Adobe Acrobat and Reader 6.0.3 Update
Adobe Acrobat and Reader 6.0.5 Update
Adobe Acrobat and Reader 6.0.6 Update
Adobe Flash Player 9 ActiveX
Adobe Shockwave Player
Apple Software Update
Ascent Capture 7.0 - Standalone
Ascent Capture for **®
Ascent Capture for **®
Ascent Capture for **®
Ascent Capture for **®
Ascent Xtrata 1.7
Avery Zweckform Assistent 2.5
CA eTrustITM Agent
CA iTechnology iGateway
Canon DR-3060/3080C driver
Citrix Presentation Server Client
Client für die Windows-Rechteverwaltung mit Service Pack 2
Compatibility Pack für 2007 Office System
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
Free Download Manager 2.5
FreePDF 2.11
Google Earth
Google Toolbar for Internet Explorer
GTK+ 2.6.9 runtime environment
HijackThis 1.99.1
Hotfix for Microsoft .NET Framework 3.0 (KB932471)
Hotfix für Windows XP (KB928388)
Hotfix für Windows XP (KB929120)
ICQ6
Image Resizer Powertoy for Windows XP
Intel(R) PRO Network Connections Software v10.1.41.0
Intel(R) PROSafe for Wired Connections
Intel(R) PROSafe for Wired Connections
IrfanView (remove only)
Java DB 10.3.1.4
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 4
Java(TM) SE Development Kit 6 Update 4
Java(TM) SE Runtime Environment 6 Update 1
Kofax Capio
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft Office Professional Edition 2003
Microsoft SQL Server Desktop Engine (ASCENTCAPTURE)
Microsoft SQL Server Desktop Engine (ASCENTCAPTURE)
Microsoft SQL Server Desktop Engine (ASCENTCAPTURE)
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Visual Studio .NET Enterprise Architect 2003 - Deutsch
Microsoft WSE 1.0
Mozilla Firefox (2.0.0.11)
MSDN Library für Visual Studio .NET 2003 - Deutsch
MSN
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 Parser and SDK
MSXML 6.0 Parser (KB933579)
Nero Suite
Nokia Connectivity Cable Driver
OpenOffice.org 2.2
QuickTime
Rückwärtskompatibilität des Clients für die Windows-Rechteverwaltung SP2
**
Scripting Spy Trial
Sentinel Protection Installer 7.0.0
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows XP (KB911280)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB916281)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917537)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922760)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925486)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926247)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928090)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB929969)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931768)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933566)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB937143)
Sicherheitsupdate für Windows XP (KB937894)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB939373)
Sicherheitsupdate für Windows XP (KB939653)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB942615)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
SoundMAX
Stundennachweis
The GIMP 2.2.13
Trillian
Update für Windows XP (KB900485)
Update für Windows XP (KB916595)
Update für Windows XP (KB916846)
Update für Windows XP (KB920342)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB925876)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
Update für Windows XP (KB946627)
VideoLAN VLC media player 0.8.5
Visual J# .NET Redistributable 1.1- German Language Pack
VMware Workstation
WebEx
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP-Hotfix - KB885884
WinRAR archiver
WinZip
XML Paper Specification Shared Components Language Pack 1.0

4. datfind.txt

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0AC-50D9

Verzeichnis von C:\WINDOWS\system32

2008-01-21 13:04 15,360 ctfmon .exe
2008-01-21 13:04 495,104 NeroCheck.exe
2008-01-21 12:16 15,360 ctfmon.exe
2008-01-21 10:12 495,104 NeroCheck .exe
2008-01-21 08:02 2,206 wpa.dbl
2008-01-18 14:52 103,424 drvxih.dll
2008-01-15 08:39 5,697 jupdate-1.6.0_04-b12.log
2008-01-02 19:21 17,642,616 MRT.exe
2007-12-17 07:59 587,606 perfh009.dat
2007-12-17 07:59 128,116 perfc009.dat
2007-12-17 07:59 619,814 perfh007.dat
2007-12-17 07:59 144,284 perfc007.dat
2007-12-17 07:59 1,497,068 PerfStringBackup.INI
2007-12-17 07:58 303,624 FNTCACHE.DAT
2007-12-14 01:59 139,264 javaws.exe
2007-12-14 01:59 69,632 javacpl.cpl
2007-12-14 00:57 135,168 javaw.exe
2007-12-14 00:57 135,168 java.exe
2007-12-13 12:09 495,938 TZLog.log
2007-12-04 19:38 4,816 divxsm.tlb
2007-12-04 19:38 524,288 DivXsm.exe
2007-12-04 19:38 10,152 dsm_de.qm
2007-12-04 19:38 3,596,288 qt-dx331.dll
2007-12-04 19:38 379,640 pxwave.dll
2007-12-04 19:38 187,128 pxmas.dll
2007-12-04 19:38 72,440 pxhpinst.exe
2007-12-04 19:38 551,672 px.dll
2007-12-04 19:38 118,520 pxinsi64.exe
2007-12-04 19:38 64,760 pxinsa64.exe
2007-12-04 19:38 66,296 pxcpya64.exe
2007-12-04 19:38 88,824 vxblock.dll
2007-12-04 19:38 120,056 pxcpyi64.exe
2007-12-04 19:38 518,904 pxdrv.dll
2007-12-04 19:38 129,784 pxafs.dll
2007-12-04 19:38 1,628,920 pxsfs.dll
2007-12-04 19:38 200,704 ssldivx.dll
2007-12-04 19:38 1,044,480 libdivx.dll
2007-12-04 19:36 196,608 dtu100.dll
2007-12-04 19:36 81,920 dpl100.dll
2007-12-04 19:36 416 dpl100.dll.manifest
2007-12-04 19:36 416 dtu100.dll.manifest
2007-12-04 19:36 593,920 dpuGUI11.dll
2007-12-04 19:36 53,248 dpuGUI10.dll
2007-12-04 19:36 57,344 dpv11.dll
2007-12-04 19:36 294,912 dpu10.dll
2007-12-04 19:36 294,912 dpu11.dll
2007-12-04 19:36 344,064 dpus11.dll
2007-12-04 19:36 802,816 divx_xx11.dll
2007-12-04 19:36 823,296 divx_xx07.dll
2007-12-04 19:36 682,496 DivX.dll
2007-12-04 19:36 823,296 divx_xx0c.dll
2007-12-04 19:36 630,784 divxdec.ax
2007-12-04 19:36 352,401 DivXMedia.ax
2007-12-04 19:35 156,992 DivXCodecVersionChecker.exe
2007-12-04 19:35 12,288 DivXWMPExtType.dll
2007-12-04 19:35 8,523 dpude.qm
2007-12-04 19:35 3,136 dtu_de.qm
2007-11-14 08:26 450,560 jscript.dll
2007-11-13 12:31 60,416 tzchange.exe
2007-11-07 10:27 729,600 lsasrv.dll
2007-10-30 11:15 3,079,680 mshtml.dll
2007-10-29 23:42 1,293,312 quartz.dll
2007-10-29 16:35 123,904 xpsp3res.dll
2007-10-25 17:55 8,495,616 shell32.dll
2007-10-24 01:47 84,480 mscories.dll
2007-10-24 01:47 158,720 mscorier.dll
2007-10-24 01:47 282,112 mscoree.dll
2007-10-24 01:47 96,760 dfshim.dll
2007-10-20 06:01 227,328 wmasf.dll
2007-10-15 07:11 5,686 jupdate-1.6.0_03-b05.log
2007-10-11 09:55 579,584 icardagt.exe
2007-10-11 09:55 595,464 icardres.dll.mui
2007-10-11 09:55 28,160 infocardcpl.cpl
2007-10-11 09:55 11,776 icardres.dll
2007-10-11 09:55 88,576 infocardapi.dll
2007-10-11 07:12 1,494,528 shdocvw.dll
2007-10-11 07:12 474,624 shlwapi.dll
2007-10-11 07:12 665,088 wininet.dll
2007-10-11 07:12 617,472 urlmon.dll
2007-10-11 07:12 532,480 mstime.dll
2007-10-11 07:12 146,432 msrating.dll
2007-10-11 07:12 449,024 mshtmled.dll
2007-10-11 07:12 39,424 pngfilt.dll
2007-10-11 07:12 16,384 jsproxy.dll
2007-10-11 07:12 96,768 inseng.dll
2007-10-11 07:12 251,392 iepeers.dll
2007-10-11 07:12 1,056,256 danim.dll
2007-10-11 07:12 205,312 dxtrans.dll
2007-10-11 07:12 357,888 dxtmsft.dll
2007-10-11 07:12 55,808 extmgr.dll
2007-10-11 07:12 152,064 cdfview.dll
2007-10-11 07:12 1,023,488 browseui.dll
2007-10-09 13:03 1,986,072 milcore.dll
2007-10-09 13:03 493,080 evr.dll
2007-10-09 13:03 779,800 PresentationNative_v0300.dll
2007-10-09 13:03 161,304 UIAutomationCore.dll
2007-10-09 13:03 350,744 PresentationHost.exe
2007-10-09 13:03 106,520 PresentationCFFRasterizerNative_v0300.dll
2007-10-09 13:03 33,304 PresentationHostProxy.dll
2007-10-09 13:03 73,752 dxva2.dll
2007-10-09 12:58 16,896 tswpfwrp.exe

2392 Datei(en) 532,245,176 Bytes
0 Verzeichnis(se), 10,423,934,976 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0AC-50D9

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

2008-01-21 15:23 117,279 datfind.txt
2008-01-21 14:59 16,384 ~DF11CB.tmp
2 Datei(en) 133,663 Bytes
0 Verzeichnis(se), 10,423,947,264 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0AC-50D9

Verzeichnis von C:\WINDOWS

2008-01-21 15:02 356 hpbafd.ini
2008-01-21 15:00 0 0.log
2008-01-21 14:59 227 system.ini
2008-01-21 14:59 1,947,705 WindowsUpdate.log
2008-01-21 14:57 2,048 bootstat.dat
2008-01-21 14:56 32,404 SchedLgU.Txt
2008-01-18 09:31 465,638 setupapi.log
2008-01-15 15:29 1,829,683 iis6.log
2008-01-15 15:29 476,218 tsoc.log
2008-01-15 15:29 218,214 ntdtcsetup.log
2008-01-15 15:29 349,684 comsetup.log
2008-01-15 15:29 2,170 imsins.log
2008-01-15 15:29 49,146 tabletoc.log
2008-01-15 15:29 56,496 ocmsn.log
2008-01-15 15:29 176,412 netfxocm.log
2008-01-15 15:29 526,144 ocgen.log
2008-01-15 15:29 71,731 MedCtrOC.log
2008-01-15 15:29 51,366 msgsocm.log
2008-01-15 15:29 1,013,673 FaxSetup.log
2008-01-15 15:29 309,636 msmqinst.log
2008-01-09 12:02 1,355 imsins.BAK
2008-01-09 12:02 7,411 KB941644.log
2008-01-09 12:02 7,639 KB943485.log
2007-12-22 12:02 6,774 KB946627.log
2007-12-19 11:00 839 win.ini
2007-12-17 14:35 54,156 QTFont.qfn
2007-12-13 12:17 21,227 KB937894.log
2007-12-13 12:17 73,563 updspapi.log
2007-12-13 12:16 18,153 KB942840.log
2007-12-13 12:09 29,071 KB942763.log
2007-12-13 12:09 22,303 KB941569.log
2007-12-13 12:08 17,098 KB941568.log
2007-12-13 12:08 20,814 KB942615.log
2007-12-13 12:02 12,200 KB944653.log
2007-11-29 11:00 116 NeroDigital.ini
2007-11-23 14:52 216 wiadebug.log
2007-11-22 14:57 50 wiaservc.log
2007-11-14 12:03 7,742 KB943460.log
2007-11-09 08:06 1,443 setupact.log
2007-11-02 17:17 1,864 OEWABLog.txt
2007-11-02 17:17 94,156 wmsetup.log
2007-10-11 09:39 38 AviSplitter.INI
2007-10-10 11:08 13,817 KB933729.log
2007-10-10 11:08 15,928 KB939653.log
2007-10-10 11:04 6,635 KB941202.log
2007-10-08 14:18 27 HINDALPH.INI

302 Datei(en) 25,453,894 Bytes
0 Verzeichnis(se), 10,425,995,264 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C0AC-50D9

Verzeichnis von C:\WINDOWS\temp

2008-01-21 14:59 85 vmware-vmount.log
2008-01-21 14:59 16,384 Perflib_Perfdata_c30.dat
2008-01-21 14:59 16,384 Perflib_Perfdata_958.dat
2008-01-21 14:58 1,024 spserv.dat
2008-01-21 14:58 1,024 spnserv.dat
2008-01-21 14:58 16,384 Perflib_Perfdata_7c4.dat
6 Datei(en) 51,285 Bytes
0 Verzeichnis(se), 10,426,007,552 Bytes frei

.
.
.

#4 Folgendes bitte als cfscript.txt speichern und dann wie auf dem Bild beschrieben auf die Combofix.exe ziehen und den dann neu erstellten Combofix Report posten.

Code

file::
C:\WINDOWS\system32\drvxih.dll

RenV::
----a-w         1,912,832 2008-01-21 12:04:04  C:\Programme\Ahead\Nero BackItUp\NBJ .exe
----a-w            69,632 2008-01-21 09:12:16  C:\Programme\Analog Devices\SoundMAX\DrvLsnr .exe
----a-w           143,360 2008-01-21 09:12:12  C:\Programme\Analog Devices\SoundMAX\SMTray .exe
----a-w           274,432 2008-01-21 09:12:24  C:\Programme\CA\eTrustITM\realmon .exe
----a-w           151,608 2008-01-21 09:12:03  C:\Programme\Canon Electronics\Scan Panel\drpanel .exe
----a-w         2,445,359 2008-01-21 12:04:14  C:\Programme\Free Download Manager\fdm .exe
----a-w           150,528 2008-01-21 09:12:18  C:\Programme\FreePDF\FreePDFA .exe
----a-w            81,920 2008-01-21 09:12:48  C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch .exe
----a-w            68,856 2008-01-21 12:04:07  C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
----a-w           286,720 2008-01-21 12:03:54  C:\Programme\QuickTime\QTTask .exe
----a-w            15,360 2008-01-21 12:04:05  C:\WINDOWS\system32\ctfmon .exe
----a-w           495,104 2008-01-21 09:12:34  C:\WINDOWS\system32\NeroCheck .exe

Driver::
MSControlService
qvxtesbp

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzqe32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"= -

__________
MfG Ralf
SEO-Spam Hunter

#5 Hier der gewünschte ComboFix.log

Zitat

ComboFix 08-01-20.1 - *** 2008-01-21 16:00:27.3 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-21 bis 2008-01-21 ))))))))))))))))))))))))))))))
.

2008-01-21 13:04 . 2008-01-21 13:04 15,360 --a--c--- C:\WINDOWS\system32\dllcache\ctfmon.exe
2008-01-21 13:04 . 2008-01-21 13:04 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe
2008-01-21 12:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-21 10:12 . 2008-01-21 10:12 495,104 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-01-21 08:28 . 2008-01-21 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GetRightToGo
2008-01-18 14:52 . 2008-01-18 14:52 103,424 --a------ C:\WINDOWS\system32\drvxih.dll
2008-01-18 13:25 . 2008-01-21 16:11 <DIR> d-------- C:\Programme\Trillian
2008-01-18 11:27 . 2008-01-18 11:32 <DIR> d-------- C:\Programme\Miranda IM
2008-01-16 14:39 . 2008-01-16 14:39 <DIR> d-------- C:\Programme\Apache Software Foundation
2008-01-16 13:49 . 2008-01-16 14:01 <DIR> d-------- C:\Programme\KeyFocus
2008-01-15 08:40 . 2008-01-15 08:40 <DIR> d-------- C:\Programme\Sun
2008-01-02 14:00 . 2008-01-02 14:04 <DIR> d-------- C:\Dokumente und Einstellungen\sv\Anwendungsdaten\ICAClient
2007-12-21 11:12 . 2007-12-21 11:12 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Qlikworld

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 15:19 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-01-21 15:15 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-01-21 15:00 --------- d-----w C:\Programme\QuickTime
2008-01-21 15:00 --------- d-----w C:\Programme\FreePDF
2008-01-21 15:00 --------- d-----w C:\Programme\Free Download Manager
2008-01-21 14:59 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Free Download Manager
2008-01-21 13:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-01-20 19:16 --------- d-----w C:\Dokumente und Einstellungen\sv\Anwendungsdaten\VMware
2008-01-18 10:31 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Miranda
2008-01-18 09:41 --------- d-----w C:\Dokumente und Einstellungen\ruk\Anwendungsdaten\VMware
2008-01-18 08:23 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\VMware
2008-01-17 09:28 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICAClient
2008-01-15 08:02 --------- d-----w C:\Programme\ICQ6
2008-01-15 07:39 --------- d-----w C:\Programme\Java
2007-12-27 07:48 --------- d-----w C:\Programme\Google
2007-12-19 10:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-17 09:02 --------- d-----w C:\Programme\Avery Zweckform Assistent 2.5
2007-12-14 07:44 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2007-12-14 07:40 --------- d-----w C:\Programme\DivX
2007-12-04 18:38 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-11-29 15:46 --------- d-----w C:\Programme\Nokia
2007-11-29 09:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nokia
2007-11-29 08:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2007-11-27 10:23 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\zweitgeist
.

((((((((((((((((((((((((((((( snapshot@2008-01-21_15.11.37.60 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-21 11:09:54 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-21 14:59:36 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-21 11:09:55 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-21 14:59:36 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-21 11:09:55 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-21 14:59:36 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-21 11:09:55 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-21 14:59:36 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-21 11:09:58 16,728,064 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-21 14:59:38 16,719,872 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-21 11:09:58 290,816 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-21 14:59:38 290,816 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-21 14:01:53 231,011 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-01-21 15:19:10 231,010 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-01-21 15:18:32 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_7e8.dat
+ 2008-01-21 15:19:21 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_85c.dat
+ 2008-01-21 15:19:28 16,384 ----atw C:\WINDOWS\temp\Perflib_Perfdata_b64.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-21 13:04 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ .exe" [ ]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [ ]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-21 13:04 68856]
"Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [2008-01-21 13:04 2445359]
"QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Scan Panel"="C:\Programme\Canon Electronics\Scan Panel\drpanel.exe" [2008-01-21 10:12 151608]
"MsmqIntCert"="regsvr32 /s mqrt.dll" []
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2008-01-21 10:12 143360]
"DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2008-01-21 10:12 69632]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" [2008-01-21 10:12 150528]
"QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ]
"Realtime Monitor"="C:\Programme\CA\eTrustITM\realmon.exe" [2008-01-21 10:12 274432]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2008-01-21 10:12 495104]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2008-01-21 10:12 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2008-01-21 13:04 144784]
"combofix"="C:\WINDOWS\system32\cmd.exe" [2004-08-03 23:57 401408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-21 13:04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="cmd.exe" [2004-08-03 23:57 401408 C:\WINDOWS\system32\cmd.exe]

C:\Dokumente und Einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 16:54:56 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1855073433-1147030102-922709458-1249\Scripts\Logon\0\0]
"Script"=pushprinterconnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1855073433-1147030102-922709458-2039\Scripts\Logon\0\0]
"Script"=pushprinterconnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1855073433-1147030102-922709458-4001\Scripts\Logon\0\0]
"Script"=pushprinterconnections.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1855073433-1147030102-922709458-500\Scripts\Logon\0\0]
"Script"=cs.bat

R2 MSSQL$ASCENTCAPTURE;MSSQL$ASCENTCAPTURE;C:\Programme\Ascent\Server\MSSQL$ASCENTCAPTURE\Binn\sqlservr.exe [2003-05-31 17:02]
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-03 23:57]
S3 D100IB;D100IB;C:\WINDOWS\system32\DRIVERS\D100IB5.SYS [2001-08-18 04:25]
S3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;C:\WINDOWS\system32\DRIVERS\hextun.sys [2006-05-31 18:03]
S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
S3 N100;Compaq Ethernet oder Fast Ethernet-NIC-Treiber;C:\WINDOWS\system32\DRIVERS\n100325.sys [2001-08-18 04:25]
S3 SQLAgent$ASCENTCAPTURE;SQLAgent$ASCENTCAPTURE;C:\Programme\Ascent\Server\MSSQL$ASCENTCAPTURE\Binn\sqlagent.EXE [2002-12-17 16:23]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-21 07:05:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-21 16:19:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-21 16:31:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-21 15:31:21
ComboFix2.txt 2008-01-21 14:17:46
.
2008-01-09 11:04:30 --- E O F ---

#6 Hat nicht alles so geklappt, wie ich mir das vorgestellt habe, aber macht nix:

Loesche bitte folgende Datei:
C:\WINDOWS\system32\drvxih.dll


Dann hake in Hijackthis folgende Eintraege an und druecke fix checked:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)

Du hast durch den Befall einige Startdateien(O4 Eintraege) verloren, die du falls benoetigt, nachinstallieren musst.

Poste dann bitte ein neues Hijackthis Log und mache einen Kontrollscan mit Kaspersky(neuste Version laden)
http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

und Drweb cureit:
http://freedrweb.com/

Berichte, was noch wo gefunden wird. Funde von Drweb bitte ersteinmal nicht loeschen
__________
MfG Ralf
SEO-Spam Hunter

#7 Ich werd heut wahrscheinlich nicht mehr antworten können. Morgen gleich in der Früh bin ich wieder da.

PS: Müssen die Einträge im Hijackthis nicht im "Abgesicherten Modus" gefixt werden?
Werde dann morgen weitere Berichte abliefern

#8 Nein, das ist nicht noetig. Zumindest in diesem Fall
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo raman,

C:\WINDOWS\system32\drvxih.dll gelöscht

HiJackThis-Log nach dem Fixen der 7 Einträge:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 08:17, on 2008-01-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\ascent\bin\acsvc.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\eTrustITM\InoRpc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrustITM\InoRT.exe
C:\Programme\CA\eTrustITM\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CA\eTrustITM\eaps.exe
C:\Programme\Ascent\Server\MSSQL$ASCENTCAPTURE\Binn\sqlservr.exe
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\Programme\Canon Electronics\Scan Panel\drpanel.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\CA\eTrustITM\realmon.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\lokaleSaperionClients\ProDiv System\MSOffice\SAOI32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O4 - HKLM\..\Run: [Scan Panel] "C:\Programme\Canon Electronics\Scan Panel\drpanel.exe" /Stay
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [Realtime Monitor] "C:\Programme\CA\eTrustITM\realmon.exe" -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://intranet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://beta.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1170323698203
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://saperion.webex.com/client/v_mywebex-t20-localized/support/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\Software\..\Telephony: DomainName = ***.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.lan
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.lan
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ascent Capture-Dienst (Ascent Capture Service) - Kofax Image Products - c:\programme\ascent\bin\acsvc.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iTechnology iGateway 4.0 (iGateway) - Computer Associates International, Inc. - C:\Programme\CA\SharedComponents\iTechnology\igateway.exe
O23 - Service: eTrust ITM-RPC-Dienst (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRpc.exe
O23 - Service: eTrust ITM-Echtzeitdienst (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoRT.exe
O23 - Service: eTrust ITM-Jobdienst (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrustITM\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: SentinelProtectionServer - SafeNet, Inc - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

Zitat

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)

wurden aus der Liste nicht entfernt. Wurden wohl repariert, aber da hast du bestimmt mehr Ahnung als ich.

Kaspersky Lab Tool hat bei mir nicht funktioniert. Versuche in der nächsten Zeit den im abgesicherten Modus zu starten.

Dr.Web gab 1 Meldung aus:
1 Riskware: dwrcs.exe in c:\windows\system32 Program.RemoteAdmin
Brauch die Datei nicht unbedingt, kann deshalb deinstalliert werden, falls sie irgendwie schädlich auf mich wirken sollte.

Sonst keine Meldungen.

#10 Versuche die Eintraege ebenfalls im abgesicherten Modus zu loeschen. Ansonsten kannst du fuer die Eintraege auch msconfig nehmen.

Deinstalliere combofix durch Start/Ausfuehren und der eingabe von combofix /u
__________
MfG Ralf
SEO-Spam Hunter