Infizierten USB Stick genutzt. Verdacht auf Laptop Infizierung.

#1 1.
Problembeschreibung / Symptome ?

Infiziertes Notebook mit eurer Hilfe gefixt.
Den infizierten Stick der die Probleme beim anderen Laptop hervorgerufen hat
hab ich auf dem hier beschriebenen Laptop auch benutzt.


2.
Temporäre Dateien beseitigen

Hab ich gemacht

3.
mache einen Scan mit Malwarebytes -

Zitat

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1713
Windows 5.1.2600 Service Pack 2

01.02.2009 22:25:23
mbam-log-2009-02-01 (22-25-23).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55344
Laufzeit: 2 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4.
Combofix

Zitat

ComboFix 09-02-01.01 - Benni 2009-02-01 22:35:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2038.1396 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Benni\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\x64

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-01 bis 2009-02-01 ))))))))))))))))))))))))))))))
.

2009-02-01 22:20 . 2009-02-01 22:20 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-01 22:20 . 2009-02-01 22:20 <DIR> d-------- c:\dokumente und einstellungen\Benni\Anwendungsdaten\Malwarebytes
2009-02-01 22:20 . 2009-02-01 22:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-01 22:20 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-01 22:20 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-19 00:34 . 2009-01-19 00:34 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite
2009-01-19 00:32 . 2009-01-19 00:32 <DIR> d-------- c:\programme\PC Connectivity Solution
2009-01-07 22:32 . 2009-01-11 19:57 <DIR> d-------- c:\programme\QIP Infium

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-01 21:41 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\Vidalia
2009-02-01 21:41 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\Skype
2009-02-01 21:40 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\tor
2009-02-01 21:11 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\skypePM
2009-02-01 21:07 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\mIRC
2009-02-01 19:53 --------- d-----w c:\programme\Java
2009-01-26 15:57 --------- d-----w c:\programme\mIRC
2009-01-20 20:41 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\TeamViewer
2009-01-18 23:34 --------- d-----w c:\programme\Nokia
2009-01-18 23:34 --------- d-----w c:\programme\Gemeinsame Dateien\Nokia
2009-01-18 23:31 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-01-18 20:27 --------- d-----w c:\programme\Biet-O-Matic
2008-12-23 20:31 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-23 20:31 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\Hamachi
2008-12-21 02:49 --------- d-----w c:\programme\TeamViewer
2008-12-20 16:57 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-20 16:30 --------- d-----w c:\programme\EA GAMES
2008-12-20 14:39 --------- d-----w c:\programme\Opera
2008-12-19 23:14 --------- d-----w c:\programme\DivX
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-06 17:25 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\ICQ
2008-12-02 15:15 --------- d-----w c:\programme\VideoLAN
2008-12-02 14:59 --------- d-----w c:\dokumente und einstellungen\Benni\Anwendungsdaten\SolidWorks
2008-02-26 14:26 363,008 ----a-w c:\programme\DarkShot2.exe
2007-08-25 03:52 300,400 ----a-w c:\programme\mozilla firefox\components\coFFPlgn.dll
2008-12-20 14:43 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-20 14:43 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-20 14:43 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2007-06-05 22:11 865,792 ----a-w c:\programme\mozilla firefox\components\pbgk1_8.dll
2008-12-20 14:43 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-20 14:43 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlay]
@="{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}"
[HKEY_CLASSES_ROOT\CLSID\{F2F31467-B1AC-4df0-AE79-FD5FA085E22B}]
2007-06-05 23:16 2955264 --a------ c:\programme\Protector Suite QL\farchns.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UEAFOverlayOpen]
@="{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}"
[HKEY_CLASSES_ROOT\CLSID\{A3E208F7-0E3A-4182-A7A6-B169D5D691AA}]
2007-06-05 23:16 2955264 --a------ c:\programme\Protector Suite QL\farchns.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Yahoo! Pager"="c:\programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 4670704]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-08-11 21741864]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2008-09-03 4013511]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2007-08-21 217088]
"Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2007-08-31 503808]
"VAIOCameraUtility"="c:\programme\Sony\VAIO Camera Utility\VCUServe.exe" [2007-02-07 411768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-18 8478720]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-18 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-18 137752]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2008-02-18 118784]
"PSQLLauncher"="c:\programme\Protector Suite QL\launcher.exe" [2007-06-05 49168]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SAFE2007 HotKeys"="c:\programme\Steganos Safe 2007\SteganosHotKeyService.exe" [2007-03-29 25088]
"SAFE2007 File Redirection Starter"="c:\programme\Steganos Safe 2007\fredirstarter.exe" [2007-03-29 53248]
"FirefoxUltimateOptimizer"="c:\programme\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe" [2007-11-08 114688]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-20 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-05-22 2756608]
PhraseExpress.lnk - c:\programme\PhraseExpress\phraseexpress.exe [2008-11-12 3504744]
Privoxy.lnk - c:\programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-06-05 23:03 90112 c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2007-05-16 20:50 73728 c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\PhraseExpress\\phraseexpress.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R2 GtFlashSwitch;GtFlashSwitch;c:\programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe [2007-02-09 176128]
R2 TeamViewer4;TeamViewer 4;c:\programme\TeamViewer\Version4\TeamViewer_Service.exe [2008-12-15 185640]
R3 5U870UVC;Sony Visual Communication Camera VGP-VCC7;c:\windows\system32\drivers\5U870UVCx86.sys [2008-02-25 70144]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2008-02-25 41216]
R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [2008-02-25 31104]
R3 SPI;Programmierbares E/A-Steuergerät von Sony;c:\windows\system32\drivers\SonyPI.sys [2008-02-24 37040]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [2008-02-25 812544]
S3 AVHybrid;AVHybrid service;c:\windows\system32\drivers\AVHybrid.sys [2009-01-27 1013760]
S3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [2007-04-14 8064]
S3 GTSCSER;GT SC SER;c:\windows\system32\drivers\gtscser.sys [2007-04-14 21248]
S3 GTUQBUS;GT UQ BUS;c:\windows\system32\drivers\gtuqbus.sys [2007-04-14 37120]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0908d6a5-82b4-11dd-8cdf-001a8059a6ed}]
\Shell\AutoRun\command - I:\_PStart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79071708-eae7-11dc-85e0-001a8059a6ed}]
\Shell\AutoRun\command - i:\shelexec.exe .\index.htm
\Shell\verb\command - i:\shelexec.exe .\index.htm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b039778a-83bf-11dd-8ce4-001a8059a6ed}]
\Shell\AutoRun\command - O:\loader.exe
\Shell\langenglish\command - o:\setup\i386\msetup.exe lang:english
.
Inhalt des "geplante Tasks" Ordners

2009-01-26 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Benni.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)
HKU-Default-Run-Nokia.PCSync - c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://jappy.de/
uInternet Settings,ProxyServer = ftp=ftp-proxy.t-online.de:80;http=www-proxy.t-online.de:80;https=sec-proxy.t-online.de:80
uInternet Settings,ProxyOverride = <local>
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {F63D6359-A473-4CA3-AA88-F84D0EEF06BB} = 102.168.111.2
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Benni\Anwendungsdaten\Mozilla\Firefox\Profiles\k6r615qq.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - component: c:\dokumente und einstellungen\Benni\Anwendungsdaten\Mozilla\Firefox\Profiles\k6r615qq.default\extensions\{03e037d3-f080-4c0b-bdb5-a70c693ae36d}\components\FFAlert.dll
FF - component: c:\dokumente und einstellungen\Benni\Anwendungsdaten\Mozilla\Firefox\Profiles\k6r615qq.default\extensions\{3160baf9-cf68-48ec-9076-faed7ce49467}\components\FFAlert.dll
FF - component: c:\programme\Mozilla Firefox\components\pbgk1_8.dll
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-01 22:42:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1240)
c:\windows\system32\vrlogon.dll
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\programme\Protector Suite QL\infra.dll
c:\programme\Protector Suite QL\homepass.dll
c:\programme\Protector Suite QL\bio.dll
c:\programme\Protector Suite QL\remote.dll
c:\windows\system32\VESWinlogon.dll
c:\programme\Protector Suite QL\crypto.dll

- - - - - - - > 'lsass.exe'(1296)
c:\windows\system32\psqlpwd.dll
c:\programme\Protector Suite QL\homefus2.dll
c:\programme\Protector Suite QL\infra.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Sony\VAIO Event Service\VESMgr.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\TeamViewer\Version4\TeamViewer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\Protector Suite QL\psqltray.exe
c:\programme\Apoint\ApMsgFwd.exe
c:\programme\Apoint\ApntEx.exe
c:\programme\Apoint\Apvfb.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\Vidalia Bundle\Tor\tor.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclToBTSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-01 22:44:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-01 21:44:51

Vor Suchlauf: 12 Verzeichnis(se), 10.959.634.432 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 10,900,979,712 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

253 --- E O F --- 2009-01-17 10:09:54

5.
Erstellen eines Hijackthis-Logfiles

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:30, on 01.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Protector Suite QL\psqltray.exe
C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe
C:\Programme\Apoint\ApMsgFwd.exe
C:\Programme\Steganos Safe 2007\fredirstarter.exe
C:\Programme\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Apoint\Apvfb.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclToBTSrv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jappy.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.t-online.de:80;http=www-proxy.t-online.de:80;https=sec-proxy.t-online.de:80
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [Switcher.exe] "C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe"
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SAFE2007 HotKeys] "C:\Programme\Steganos Safe 2007\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [SAFE2007 File Redirection Starter] "C:\Programme\Steganos Safe 2007\fredirstarter.exe"
O4 - HKLM\..\Run: [FirefoxUltimateOptimizer] "C:\Programme\firefox-ultimate-optimizer-11\Firefox Ultimate Optimizer.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205320515593
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63D6359-A473-4CA3-AA88-F84D0EEF06BB}: NameServer = 102.168.111.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GtFlashSwitch - OptionNV - C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 10700 bytes

6.
Erstellen einer Uninstall Liste

Zitat

Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.3 - Deutsch
Avira AntiVir Personal - Free Antivirus
Axife Mouse Recorder DEMO 5.01
Battery Care Function
Battlefield 1942
Battlefield 1942: Secret Weapons of WWII
Battlefield 1942: The Road To Rome
Biet-O-Matic v2.8.2
Bluetooth Stack for Windows by Toshiba
Calculator Powertoy for Windows XP
Canon IJ Network Tool
Canon iP5200R
Canon Setup Utility 2.0
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CD-LabelPrint
Compatibility Pack für 2007 Office System
DataLogV2.5
DivX Web Player
DriverAgent Plugin for Netscape by TouchStone Software
DWGeditor
Easy-WebPrint
eDrawings 2006
EPSON Copy Utility 3
EPSON Scan
EPSON Smart Panel
EVEREST Home Edition v2.20
Forgotten Hope 0.70
Forgotten Hope FAN MAPPACK V6.0
GlobeTrotterConnect
Google Earth
HD Tune 2.55
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.0 (KB932471)
Hotfix for Windows Media Format SDK (KB902344)
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB909095)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB952287)
ICQ6
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
Java(TM) 6 Update 11
Malwarebytes' Anti-Malware
Maxthon Browser (remove only)
mCore
mDriver
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5
Microsoft .NET Framework 3.5 Language Pack - deu
Microsoft .NET Framework 3.5 Language Pack - DEU
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office FrontPage 2003
Microsoft Office Professional Edition 2003
Microsoft Picture It! Foto Premium 10
Microsoft Visual C++ 2005 Redistributable
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
mIRC
mMHouse
Mozilla Firefox (2.0.0.20)
mPfMgr
mProSafe
MSVC80_x86
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
mWlsSafe
Nero 7 Premium
Nokia Connectivity Cable Driver
Nokia Flashing Cable Driver
Nokia Multimedia Factory
Nokia Multimedia Factory
Nokia PC Suite
Nokia PC Suite
Nokia Software Updater
NVIDIA Drivers
Opera 9.63
PC Connectivity Solution
Perf2480P_2580P Ref. Handbuch
PhraseExpress v6.0.93
Privoxy 3.0.6
Protector Suite QL 5.6
PunkBuster für Battlefield 1942
QIP Infium 9020 Jeak-Edition
ScanToWeb
Setting Utility Series
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938127)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944533)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
SigmaTel Audio
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal)
Skype™ 3.8
Soft Data Fax Modem with SmartCP
SolidWorks 2006 SP0
Sony Utilities DLL
Spybot - Search & Destroy
Steganos Safe 2007
Steganos Tuning 7.1.30
TeamSpeak 2 RC2
TeamViewer 4
Tor 0.2.0.31
Total Commander (Remove or Repair)
Tweak UI
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920342)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB925876)
Update für Windows XP (KB927891)
Update für Windows XP (KB930916)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB936357)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB942840)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
VAIO Camera Capture Utility
VAIO Camera Utility
VAIO Control Center
VAIO Event Service
VAIO HDD Protection
VAIO Power Management
Vidalia 0.1.9
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows Media Format SDK Hotfix - KB891122
Windows Presentation Foundation
Windows XP Service Pack 2
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893056
Windows-Treiberpaket - Nokia Modem (05/22/2008 3.8)
Windows-Treiberpaket - Nokia Modem (05/22/2008 7.00.0.1)
Windows-Treiberpaket - Nokia Modem (08/03/2007 6.84.0.2)
Windows-Treiberpaket - Nokia Modem (10/12/2007 3.6)
Windows-Treiberpaket - Nokia Modem (10/27/2008 3.9)
Windows-Treiberpaket - Nokia Modem (10/27/2008 7.01.0.1)
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
Wireless Switch Setting Utility
XML Paper Specification Shared Components Language Pack 1.0
Yahoo! Messenger
Zattoo 3.3.1 Beta
ZipGenius 6 (6.0.3.1150)

Ich danke erneut für eure Hilfe!

#2 Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll (file missing)

Klicke Fixed checked
__________
MfG Argus

#3 Ok, hab ich gemacht.
Der Rechner war also nicht infiziert oder wie?

OK, hab auf jeden Fall nochmal vielen Dank!

#4 Wenn du willst/moechtest hab ich noch ein Tool fuer dich
__________
MfG Argus

#5 Klar! Immer her damit.

#6 Ich wurde letzte Woche schon zweimal infiziert (Bild)

Es ist ein Tool gegen Bots

Download Trend Micro RUBotted™
Scanne bein ersten mal selber,ist man infiziert kann man den Bot via “view log“ wieder entfernen




Wenn du jetzt ein infizierte Webseite besuchst kommt ein Pop-up von RUBotted das dein Rechner infiziert ist
__________
MfG Argus

#7 Hab ich gemacht, es wurde aber kein Bot gefunden


Ich hab noch ein drittes Notebook, das am schlimmsten betroffen ist.
Ich weiss allerdings nicht, ob ich mit dem Problem hier richtig bin.
Die ganzen Log Dateien kann ich damit nämlich nicht erstellen, da sich die meisten Programme nicht starten lassen.

Also es fährt hoch, (Win XP SP2) aber die Meisten Programme die beim Start starten lösen nur eine Fehlermeldung aus. Meiner Meinung nach sind das Symptome die bei einem defekten Arbeitsspeicher auftreten.

Ich habe aber mit Hilfe einer BootCD des Arbeitsspeicher über mehrere Stunden getestet.
Die Festplatte habe ich auch getestet. Beides wohl fehlerfrei.

Ich hab auch ein älteres Image drauf gespielt, das definitiv funktioniert hatte (mit Norton Ghost erstellt) aber auch das hat nicht geholfen.

Kann da ein Virus im Bootsektor der Festplatte sein? Ich hab die Festplatte nicht formatiert und auch keine Partitionen gelöscht/neu erstellt bevor ich das andere Image aufgespielt habe.

Ich hab die Festplatte ausgebaut und extern per USB an einen anderen Rechner angeschlossen und keine Vieren gefunden.

Soll ich denn mit dem Problem noch einen neuen Thread aufmachen obwohl ich die ersten Schritte nicht durchführen kann?

#8 RUBotted™ kannst du im Hintergrund laufen lassen:

Zitat

Wenn du jetzt ein infizierte Webseite besuchst kommt ein Pop-up von RUBotted das dein Rechner infiziert ist

Nee lass mal hier weiter machen. Hast du denn schonal versucht im abgesicherten Modus zu starten?
Falls ja dann schau ob du von da aus mit Malwarebytes scannen kannst. Lade Dir dazu evtl mit einer CD das Pogamm auf den ifizierten PC.

Gruss Swiss

#9 Malwarebytes ließ sich installieren und durchlaufen. nur kein update. aber das ist ja neu.

Zitat

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

10.11.9999 22:32:05
mbam-log-9999-11-10 (22-32-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48468
Laufzeit: 4 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Die Fehlermeldungen sind aber imemrnoch

*edit*
Ich geh jetzt mal pennen. Ich greif mir morgen die Kiste nochmal und versuch mal so viele von den standart Tests zu machen wie möglich. Ich hatte ja irgendwann aufgegeben als ich zuletzt versucht hatte, die Kiste wieder flott zu bekommen.
Also bis morgen. Danke und Gute Nacht.

#10 Lade dir den DrWeb LiveCD-iso herunter und brenne es auf CD
Sorge dafuer das dein CD-player im BIOS an erster Stelle steht und boote vom DrWeb LiveCD

Anleitung(English) ftp://ftp.drweb.com/pub/drweb/livecd/LiveCD-en.pdf

Download ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-4.44.1.0811190.iso




__________
MfG Argus

#11 Also ich habe mir die CD gebrannt und den Dr.Web Scanner gestartet.
Komischerweise hat der nur die Vierendatenbanken geladen aber nicht die Festplatte gescannt. Ich hab das mehrmals nach Neustart probiert. entsprechende Häkchen waren natürlich auch gesetzt bei C:\ und D:\
Dann habe ich das auf einem anderen Laptop getestet, da begann der Scan ordnungsgemäß nachdem die VierenDBs geladen wurden.

*edit*

Eigenartig. Dr.Web lief ja irgendwie nicht richtig. Hab danach mal im abgesicherten Modus hochgefahren und Combofix laufen lassen. Komischerweise lief im abgesicherten Modus schon alles ganz ordentlich.

KomboFix log:

Zitat

ComboFix 09-02-01.01 - Bennet 2009-02-02 13:08:08.1 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.365 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Bennet\Desktop\ComboFix.exe
AV: Norton Internet Security Online *On-access scanning enabled* (Outdated)
FW: Norton Internet Security Online *enabled*

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
9999-11-10 21:25 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
9999-11-10 21:25 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
9999-11-10 21:25 --------- d-----w c:\dokumente und einstellungen\Bennet\Anwendungsdaten\Malwarebytes
9999-11-10 21:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-03-30 18:20 6,590 ----a-w c:\dokumente und einstellungen\Bennet\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"SAFE2007"="c:\programme\Steganos Safe 2007\Safe.exe" [2007-03-29 1843200]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"Yahoo! Pager"="c:\progra~1\Yahoo!\MESSEN~1\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-24 335872]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-26 180269]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-02-14 51048]
"osCheck"="c:\programme\Norton Internet Security\osCheck.exe" [2007-08-25 714608]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2002-08-13 462848]
"BigDog303"="c:\windows\VM303_STI.EXE" [2006-02-14 49152]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"ALUAlert"="c:\programme\Symantec\LiveUpdate\ALUNotify.exe" [2007-08-23 152952]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Ulead Kalendar Checker 4.0 SE.lnk - c:\programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2008-03-31 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:TCP Port
"4672:UDP"= 4672:UDP:UDP Port

S1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
S1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
S2 LiveUpdate Notice;LiveUpdate Notice;c:\programme\Gemeinsame Dateien\Symantec Shared\CCSVCHST.EXE [2007-08-25 149864]
S2 TeamViewer;TeamViewer 3;c:\programme\TeamViewer3\TeamViewer_Host.exe [2008-02-19 176128]
S3 BLKWGN;Belkin Wireless G Notebook Card Service;c:\windows\system32\drivers\BLKWGN.sys [2006-08-25 463872]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2007-05-29 23904]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\DRIVERS\RTL8180.SYS --> c:\windows\system32\DRIVERS\RTL8180.SYS [?]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2008-01-25 25088]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - COMHOST
.
Inhalt des "geplante Tasks" Ordners

2008-03-24 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Bennet.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKLM-Run-OEM-Reset - (no file)
HKLM-Run-NWEReboot - (no file)
HKU-Default-RunOnce-SSS2006 - c:\programme\Steganos Security Suite 2006\SSS2006.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
mStart Page = hxxp://de.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
TCP: {CD57C5A0-F55C-4A57-B64A-1D0F87DFA30F} = 192.168.2.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 13:09:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-02 13:11:05
ComboFix-quarantined-files.txt 2009-02-02 12:10:59

Vor Suchlauf: 8.288.555.008 Bytes frei
Nach Suchlauf: 8,278,257,664 Bytes frei

118 --- E O F --- 2008-03-29 17:18:41

Danach hab ich ganz normal hochgefahren und es kommen keine Fehlermeldungen mehr.
Ich lass jetzt mal Hijackthis laufen


*edit2*

Hier die aktuellen logs:

ComboFix nach einem normalen Windows Start:

Zitat

ComboFix 09-02-01.01 - Bennet 2009-02-02 13:58:15.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.279 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Bennet\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-01-02 bis 2009-02-02 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
9999-11-10 21:25 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
9999-11-10 21:25 --------- d-----w c:\dokumente und einstellungen\Bennet\Anwendungsdaten\Malwarebytes
9999-11-10 21:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-02 12:49 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-02-02 12:47 --------- d-----w c:\dokumente und einstellungen\Bennet\Anwendungsdaten\Symantec
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-03-30 18:20 6,590 ----a-w c:\dokumente und einstellungen\Bennet\Anwendungsdaten\wklnhst.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"SAFE2007"="c:\programme\Steganos Safe 2007\Safe.exe" [2007-03-29 1843200]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"Yahoo! Pager"="c:\progra~1\Yahoo!\MESSEN~1\YahooMessenger.exe" [2007-08-30 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-24 335872]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-08-26 180269]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HotKey"="c:\windows\Twain_32\FlatBed\HotKey.exe" [2002-08-13 462848]
"BigDog303"="c:\windows\VM303_STI.EXE" [2006-02-14 49152]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Ulead Kalendar Checker 4.0 SE.lnk - c:\programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2008-03-31 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:TCP Port
"4672:UDP"= 4672:UDP:UDP Port

R1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];c:\windows\system32\drivers\slee13.sys [2005-10-04 16:42:36 74240]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [2007-02-21 12:33:54 80232]
R2 TeamViewer;TeamViewer 3;c:\programme\TeamViewer3\TeamViewer_Host.exe [2008-02-19 176128]
R3 BLKWGN;Belkin Wireless G Notebook Card Service;c:\windows\system32\drivers\BLKWGN.sys [2006-08-25 463872]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2008-01-25 25088]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\DRIVERS\RTL8180.SYS --> c:\windows\system32\DRIVERS\RTL8180.SYS [?]
.
Inhalt des "geplante Tasks" Ordners

2008-03-24 c:\windows\Tasks\Norton Internet Security Online - Systemprüfung ausführen - Bennet.job
- c:\programme\Norton Internet Security\Norton AntiVirus\Navw32.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-ALUAlert - c:\programme\Symantec\LiveUpdate\ALUNotify.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
mStart Page = hxxp://de.yahoo.com
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: { - c:\programme\Messenger\msmsgs.exe
TCP: {CD57C5A0-F55C-4A57-B64A-1D0F87DFA30F} = 192.168.2.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-02 13:59:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@??????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-02-02 14:00:26
ComboFix-quarantined-files.txt 2009-02-02 13:00:24
ComboFix2.txt 2009-02-02 12:11:07

Vor Suchlauf: 8.122.937.344 Bytes frei
Nach Suchlauf: 8,127,950,848 Bytes frei

108 --- E O F --- 2008-03-29 17:18:41

HJT Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:59, on 02.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TeamViewer3\TeamViewer_Host.exe
C:\Programme\TeamViewer3\TeamViewer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\VM303_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Safe 2007\Safe.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Steganos Safe 2007\SteganosAgent.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SAFE2007] "C:\Programme\Steganos Safe 2007\Safe.exe" -boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD57C5A0-F55C-4A57-B64A-1D0F87DFA30F}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Programme\TeamViewer3\TeamViewer_Host.exe

--
End of file - 5406 bytes

Uninstall Liste

Zitat

Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader 8.1.0 - Deutsch
Adobe Shockwave Player
ATI Control Panel
ATI Display Driver
Canon IJ Network Tool
Canon iP4300
Canon iP4300 Benutzerregistrierung
Canon iP5200R
Canon Setup Utility 2.0
Canon Utilities Easy-PrintToolBox
DivX Codec
eMule
Forgotten Hope 0.70
Google Earth
HD Tune 2.51
HijackThis 2.0.2
Hotfix for Windows XP (KB915865)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB928388)
Hotfix für Windows XP (KB929120)
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes' Anti-Malware
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Outlook-Sicherung für Persönliche Ordner
Microsoft Picture It! Foto Premium 9
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft Works
Microsoft Works Suite-Add-Ins für Microsoft Word
Nero 7 Premium
PowerQuest PartitionMagic 8.0
RealPlayer
ScanToWeb
Setup-Start von Microsoft Works 2004
Shockwave
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB890046)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911567)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917159)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB918899)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920214)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921398)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB921883)
Sicherheitsupdate für Windows XP (KB922616)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925454)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB946026)
Speak&Win
Steganos Safe 2007
Steganos Tuning 7.1.30
SuperDJ(TM) ver 3.5.0
TeamViewer 3
Ulead Photo Express 4.0 SE
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB933360)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
USB Scanner
VIA Audio Driver Setup Program
VIA Rhine-Family Fast-Ethernet Adapter
Viewpoint Media Player
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Media Format Runtime
Windows Media Format SDK Hotfix - KB891122
Windows XP Service Pack 2
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB885884
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
XP-Clean
Yahoo! Messenger
ZipGenius 6 (6.0.3.1150)

Ist die Kiste jetzt wieder ganz???? Wenn ja, woran kann das gelegen haben???
Und warum hat es nicht geholfen ein altes Partitionsimage aufzuspielen???

#12 Das DrWeb nicht lief liegt daran das man Umgestiegen ist mit ihren Virenscanner von Version 4.44 nach 5.0

Du könntest noch ein scan machen mit DrWeb CureIt 5.0
DrWeb CureIt!
http://board.protecus.de/t29350.htm

Es stehen noch Reste von Symantec im Rechner

Installiere ein Virenscanner wie Antivir

Start > Ausführen> Kopiere rein ComboFix /U OK
Entferne auf C:\combofix.txt
__________
MfG Argus

#13 Komischerweise lief Dr.Web nur auf dem einen Rechner nicht, auf dem anderen ja.
Jetzt wo der Rechner wieder läuft, konnte ich auch das Symantec removal Tool ausführen und den Mist runter hauen. Doch was kann denn jetzt das Problem gewesen sein?

#14 Weiss ich leider nicht,es gibt hier auch Momente das ich denke ich öffne das Fenster und....
Leider wohne ich nicht in ein Hochhaus
__________
MfG Argus