Verschiedene Viren entfernt und nun Probleme mit MSDE

#1 Moin,

auf dem PC eines Kunden habe ich Viren entfernt und nun Probleme mit MSDE (ich erhalte die Fehlermeldung "Could not find the default instance (MSSQLSERVER) - please specify the name of an existing instance on the invocation of sqlservr.exe."):

HJT:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:05, on 31.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\Programme\SalesLogix\SpeedSearch\Bin\SLXSearchService.exe
C:\Programme\SalesLogix\SLXSystem.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe
C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\Huawei Modems\DataCardMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\T-Mobile\web'n'walk Manager\AutoUpdateSrv.exe
C:\Programme\ThinkPad\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\PROGRA~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Cisco Systems\VPN Client\ipseclog.exe
C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
C:\Programme\SalesLogix\SalesLogix.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\PWMUIAux.exe
C:\Programme\Microsoft Office\Office12\POWERPNT.EXE
C:\Programme\NewSoft\Presto! PageManager 7.15\Pmsb.exe
C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\mmayr\Desktop\NTRsupport.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Password Manager Browser Helper Object - {BF468356-BB7E-42D7-9F15-4F3B9BCFCED2} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [picon] "C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" -startup
O4 - HKLM\..\Run: [TPFNF7] C:\PROGRA~1\Lenovo\NPDIRECT\TPFNF7SP.exe /r
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [FingerPrintSoftware] "C:\Programme\Lenovo Fingerprint Software\fpapp.exe" \s
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [LPMailChecker] C:\PROGRA~1\THINKV~1\PrdCtr\LPMLCHK.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OE] C:\Programme\Trend Micro\Client Server Security Agent\TMAS_OE\TMAS_OEMon.exe
O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\Huawei Modems\DataCardMonitor.exe
O4 - HKLM\..\RunOnce: [TSC] "C:\Programme\Trend Micro\Client Server Security Agent\tsc.exe" /HD
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Aktualisierungsagent.lnk = ?
O4 - Global Startup: Automatic Update-Agent.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: Lenovo Password Manager... - {F4F55DC8-0B69-4DFE-BA94-CB677B88B2A3} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - http://www-307.ibm.com/pc/support/acpir.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1231849357921
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx
O17 - HKLM\Software\..\Telephony: DomainName = xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C22717F5-E692-47B6-BFB0-DFA785D30268}: Domain = xxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C22717F5-E692-47B6-BFB0-DFA785D30268}: NameServer = 192.168.0.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = xxx
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = xxx
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: ATFUS - C:\WINDOWS\system32\FpWinLogonNp.dll
O23 - Service: 78AB0629 - Unknown owner - C:\WINDOWS\Fonts\23C1B825.EXE (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\WINDOWS\system32\AtService.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Fingerprint Server (FingerprintServer) - AuthenTec,Inc - C:\WINDOWS\system32\FpLogonServ.exe
O23 - Service: GtFlashSwitch - OptionNV - C:\Programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: jqak - Unknown owner - C:\WINDOWS\system32\jqak.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: MSSQLSERVER - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Programme\ThinkPad\Utilities\PWMDBSVC.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: SalesLogix Server (SalesLogix Server Service) - Best Software, Inc. - C:\Programme\SalesLogix\SLXServer.exe
O23 - Service: SessionLauncher - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe (file missing)
O23 - Service: SalesLogix SpeedSearch (SlxSearch) - Best Software, Inc. - C:\Programme\SalesLogix\SpeedSearch\Bin\SLXSearchService.exe
O23 - Service: SQLSERVERAGENT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\..\BM\TMBMSRV.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\TmPfw.exe
O23 - Service: Trend Micro Client/Server Security Agent Proxy-Dienst (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\TmProxy.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - Lenovo - C:\Programme\Lenovo\Client Security Solution\tvttcsd.exe
O23 - Service: TVT Backup Protection Service - Unknown owner - C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
O23 - Service: TVT Windows Update Monitor (TVT_UpdateMonitor) - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe
O23 - Service: Windows Help System (WinHelp32) - Beijing Rising Information Technology Co., Ltd. - C:\WINDOWS\system32\WinHelp32.exe

--
End of file - 15243 bytes

Der "Scan" mit der datfind.bat ergab dann folgendes:

Zitat

Datentr„ger in Laufwerk C: ist Preload
Volumeseriennummer: 88D7-030F

Verzeichnis von c:\

31.08.2009 16:34 0 dirdat.txt
31.08.2009 07:53 54.800 Log.txt
31.08.2009 07:52 31 tmuninst.ini
31.08.2009 07:51 16.103.260 sysiclog.txt
31.08.2009 07:51 2.124.439.552 hiberfil.sys
31.08.2009 07:51 2.145.386.496 pagefile.sys
28.07.2009 11:50 113 cc.txt
28.07.2009 11:50 122 sc.exe
28.07.2009 11:50 216 gz
28.07.2009 11:50 226 explorer
28.07.2009 11:50 112 cc.exe
28.07.2009 11:50 101 boot.exe

24 Datei(en) 4.286.384.178 Bytes
0 Verzeichnis(se), 201.670.565.888 Bytes frei
Datentr„ger in Laufwerk C: ist Preload
Volumeseriennummer: 88D7-030F

Verzeichnis von C:\WINDOWS\system32

31.08.2009 15:51 118.016 TPHDLOG0.LOG
31.08.2009 09:25 234.240 TPAPSLOG.LOG
31.08.2009 07:54 61.360 ICAutoUpdate.log
31.08.2009 07:52 103.052 TmInstall.log
31.08.2009 07:51 44 log.txt
31.08.2009 07:51 67.600 ICAutoUpdate.log.bak
30.08.2009 14:39 2.278 wpa.dbl
28.08.2009 14:57 664 d3d9caps.dat
26.08.2009 21:34 332.628 TZLog.log
25.08.2009 17:58 83.064 perfc009.dat
25.08.2009 17:58 473.186 perfh009.dat
25.08.2009 17:58 525.634 perfh007.dat
25.08.2009 17:58 107.520 perfc007.dat
25.08.2009 17:58 1.205.374 PerfStringBackup.INI
13.08.2009 12:11 75 dbcmd.sys
13.08.2009 12:11 79 mmqm11.sys
13.08.2009 12:10 58.514 c2851v75.nls
13.08.2009 12:10 0 result.txt
13.08.2009 12:10 0 pid.txt
13.08.2009 12:10 72 1.txt
07.08.2009 12:13 321.136 FNTCACHE.DAT
05.08.2009 13:47 0 tcpsv2.exe
05.08.2009 10:59 206.336 mswebdvd.dll
30.07.2009 09:27 30.032 jqak.exe
30.07.2009 02:49 24.281.536 MRT.exe
28.07.2009 11:51 24.972 bb4.jpg
28.07.2009 11:51 307.211 bb2.jpg
28.07.2009 11:51 170.680 bb3.jpg
28.07.2009 11:50 24 cc1.txt
28.07.2009 11:50 63 OLD48.tmp
28.07.2009 11:50 63 c.txt
28.07.2009 11:50 80 cmd.txt
28.07.2009 11:50 94 mm1.exe
28.07.2009 11:50 68 mm.exe
28.07.2009 11:50 68 f.exe
28.07.2009 11:50 83 gx.sys
28.07.2009 11:50 65 Ls09.sys
28.07.2009 11:50 87 tcpips.sys
28.07.2009 11:50 90 zxxyyy.sys
28.07.2009 11:50 71 spcmd.sys
28.07.2009 11:50 111 forme.sys
28.07.2009 11:50 153 setuplc.sys
28.07.2009 11:50 122 arphrosr2.tbl
28.07.2009 11:50 114 arphrosr1.tbl
28.07.2009 11:50 116 xiaoyi20093.sys
28.07.2009 11:50 116 xiaoyi20092.sys
28.07.2009 11:50 116 xiaoyi20091.sys
28.07.2009 11:50 25 tcpyi.exe
28.07.2009 11:50 115 tcpyi.sys
28.07.2009 11:50 102 sdsk88sdddf.dat
28.07.2009 11:50 119 setuplc.exe
28.07.2009 11:50 119 setupla.exe
28.07.2009 11:50 103 setupla.sys
28.07.2009 11:50 56 cc.sys
28.07.2009 11:50 322 cc.bat
28.07.2009 11:50 83 tencent.sys
28.07.2009 11:50 42 system1.bat
28.07.2009 11:50 48 system2.bat
28.07.2009 11:50 113 zzjkxs.sys
28.07.2009 11:50 70 zzxxxd.sys
28.07.2009 11:50 55 sysme.bat
28.07.2009 11:50 37.205 WinHelp32.exe
19.07.2009 15:25 3.597.824 mshtml.dll
19.07.2009 15:25 6.067.200 ieframe.dll
17.07.2009 21:01 58.880 atl.dll
16.07.2009 07:43 492.180 prfh0407.dat
16.07.2009 07:43 96.918 prfc0407.dat
14.07.2009 13:03 46.080 tzchange.exe
13.07.2009 10:08 286.720 wmpdxm.dll
13.07.2009 10:08 5.537.792 wmp.dll

2285 Datei(en) 500.765.063 Bytes
0 Verzeichnis(se), 201.670.438.912 Bytes frei
Datentr„ger in Laufwerk C: ist Preload
Volumeseriennummer: 88D7-030F

Verzeichnis von C:\WINDOWS

31.08.2009 16:01 1.197.284 WindowsUpdate.log
31.08.2009 15:56 14.537 cfgall.ini
31.08.2009 09:31 641 win.ini
31.08.2009 09:23 230 wiadebug.log
31.08.2009 07:51 50 wiaservc.log
31.08.2009 07:51 2.048 bootstat.dat
30.08.2009 15:21 32.554 SchedLgU.Txt
28.08.2009 16:11 10.752 DCEBoot.exe
26.08.2009 13:11 12.202 ModemLog_HUAWEI Mobile Connect - 3G Modem.txt
05.08.2009 16:22 1.038.783 setupapi.log.3.old
28.07.2009 11:50 102 62.exe
28.07.2009 11:50 54 se.exe
28.07.2009 11:50 59 a2.exe
28.07.2009 11:50 56 a1.exe
28.07.2009 11:50 52 tmd.exe
28.07.2009 11:50 51 tmd2.exe
28.07.2009 11:50 62 tmd1.exe
28.07.2009 11:50 66 s.exe
28.07.2009 11:50 103 cwssao.sys
22.07.2009 14:58 68.261 Huawei ModemsUninstall.exe
22.07.2009 14:15 174 wininit.ini
22.07.2009 13:20 5.851 cfgspyps.ini
22.07.2009 13:20 6.677 cfgps.ini

108 Datei(en) 78.868.057 Bytes
0 Verzeichnis(se), 201.670.438.912 Bytes frei
Datentr„ger in Laufwerk C: ist Preload
Volumeseriennummer: 88D7-030F

Verzeichnis von C:\DOKUME~1\ADMINI~1.XXX\LOKALE~1\Temp

22.07.2009 15:03 0 mmc28D9613F.xml

63 Datei(en) 22.721.547 Bytes
0 Verzeichnis(se), 201.670.447.104 Bytes frei

Mit MBAM konnte ich dann schon einige verseuchte Dateien löschen:

Zitat

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2721
Windows 5.1.2600 Service Pack 3

31.08.2009 16:49:54
mbam-log-2009-08-31 (16-49-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118473
Laufzeit: 6 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winhelp32 (Backdoor.Hupigon) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winhelp32 (Backdoor.Hupigon) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winhelp32 (Backdoor.Hupigon) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\bb3.jpg (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bb2.jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bb4.jpg (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\f.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Winhelp32.exe (Backdoor.Hupigon) -> Quarantined and deleted successfully.

Und Combofix hat auch noch einige Dateien gelöscht:

Zitat

ComboFix 09-08-30.04 - mmayr 31.08.2009 17:25.1.2 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\mmayr\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-2945995744-3167114200-1670107352-500
c:\windows\Fonts\778EA8DA.DLL
c:\windows\system32\tcpsv2.exe
F:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_WINHELP32
-------\Service_6to4


((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-31 ))))))))))))))))))))))))))))))
.

2009-08-31 15:18 . 2009-08-31 15:18 -------- d-----w- c:\programme\7-Zip
2009-08-31 15:06 . 2009-08-31 15:16 -------- d-----w- C:\Backup
2009-08-31 15:02 . 2009-08-31 15:02 -------- d-----w- c:\dokumente und einstellungen\mmayr\Anwendungsdaten\Malwarebytes
2009-08-31 14:40 . 2009-08-31 14:40 -------- d-----w- c:\dokumente und einstellungen\administrator.XXX\Anwendungsdaten\Malwarebytes
2009-08-31 14:39 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-31 14:39 . 2009-08-31 14:40 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-31 14:39 . 2009-08-31 14:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-31 14:39 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-31 14:30 . 2009-08-31 14:30 -------- d-----w- c:\programme\CCleaner
2009-08-28 14:07 . 2009-08-28 14:11 10752 ----a-w- c:\windows\DCEBoot.exe
2009-08-14 05:39 . 2009-06-25 08:25 54272 ------w- c:\windows\system32\dllcache\wdigest.dll
2009-08-14 05:39 . 2009-06-25 08:25 136192 ------w- c:\windows\system32\dllcache\msv1_0.dll
2009-08-14 05:39 . 2009-06-25 08:25 301568 ------w- c:\windows\system32\dllcache\kerberos.dll
2009-08-14 05:39 . 2009-06-24 11:18 92928 ------w- c:\windows\system32\dllcache\ksecdd.sys
2009-08-13 10:13 . 2009-08-13 10:13 14 ----a-w- c:\windows\system32\drivers\acpiec1.sys
2009-08-13 09:58 . 2009-07-10 13:26 1315328 ------w- c:\windows\system32\dllcache\msoe.dll
2009-08-07 10:28 . 2009-08-07 10:28 182136 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-08-06 17:07 . 2009-08-06 17:07 -------- d-----w- C:\c9d244665222ab539b4e
2009-08-06 17:07 . 2009-08-07 10:13 -------- d-----w- c:\windows\SxsCaPendDel
2009-08-05 08:59 . 2009-08-05 08:59 206336 ------w- c:\windows\system32\dllcache\mswebdvd.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-31 15:23 . 2009-02-09 08:39 -------- d-----w- c:\dokumente und einstellungen\mmayr\Anwendungsdaten\ntr
2009-08-31 15:01 . 2006-01-27 01:01 525634 ----a-w- c:\windows\system32\perfh007.dat
2009-08-31 15:01 . 2006-01-27 01:01 107520 ----a-w- c:\windows\system32\perfc007.dat
2009-08-31 14:21 . 2009-01-20 14:28 -------- d-----w- c:\programme\Trend Micro
2009-08-31 07:23 . 2009-01-20 14:50 -------- d-----w- c:\programme\SalesLogix
2009-08-30 12:50 . 2009-02-24 07:55 -------- d-----w- c:\dokumente und einstellungen\mmayr\Anwendungsdaten\Nero
2009-08-28 12:57 . 2009-04-14 07:54 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-14 05:44 . 2009-01-13 12:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-08-07 10:14 . 2009-01-20 15:26 85856 ----a-w- c:\dokumente und einstellungen\mmayr\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-05 08:59 . 2006-01-27 01:01 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-28 09:50 . 2009-07-28 09:50 24 --sha-r- c:\windows\system32\wbem\dboysb.sys
2009-07-28 09:50 . 2009-07-28 09:50 77 --sha-r- c:\windows\system32\wbem\b.exe
2009-07-28 09:50 . 2009-07-28 09:50 65 --sha-r- c:\windows\system32\wbem\a.exe
2009-07-28 09:50 . 2009-07-28 09:50 26 ----a-w- c:\windows\Fonts\s3sds212.dat
2009-07-22 12:58 . 2009-07-22 12:37 68261 ----a-w- c:\windows\Huawei ModemsUninstall.exe
2009-07-22 12:37 . 2009-07-22 12:37 -------- d-----w- c:\programme\Huawei Modems
2009-07-22 12:19 . 2009-07-22 12:19 -------- d-----w- c:\dokumente und einstellungen\administrator.XXX\Anwendungsdaten\Nero
2009-07-17 19:01 . 2006-01-27 01:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-16 05:43 . 2009-06-30 07:14 492180 ----a-w- c:\windows\system32\prfh0407.dat
2009-07-16 05:43 . 2009-06-30 07:14 96918 ----a-w- c:\windows\system32\prfc0407.dat
2009-07-13 08:08 . 2006-01-27 01:01 286720 ------w- c:\windows\system32\wmpdxm.dll
2009-06-29 15:55 . 2006-01-27 01:01 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2006-01-27 01:01 78336 ------w- c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2006-01-27 01:00 17408 ------w- c:\windows\system32\corpol.dll
2009-06-25 08:25 . 2006-01-27 01:01 54272 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:25 . 2006-01-27 01:01 56832 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:25 . 2006-01-27 01:01 147456 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:25 . 2006-01-27 01:01 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:25 . 2006-01-27 01:01 737792 ------w- c:\windows\system32\lsasrv.dll
2009-06-25 08:25 . 2006-01-27 01:01 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-24 11:18 . 2006-01-27 01:01 92928 ------w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:36 . 2006-01-27 01:01 119808 ------w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2006-01-27 01:01 81920 ------w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2006-01-27 01:00 78848 ------w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-01-27 01:01 82944 ------w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-01-27 01:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-01-27 02:14 2066432 ------w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-01-27 01:01 132096 ------w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-01-27 01:01 1296896 ------w- c:\windows\system32\quartz.dll
2008-04-14 06:52 . 2006-01-27 01:00 401920 --sha-r- c:\windows\system32\cmd.exe
2008-04-14 06:52 . 2006-01-27 01:01 15360 --sh--r- c:\windows\system32\ctfmon.exe
2004-08-04 12:00 . 2006-01-27 01:00 10752 --sh--r- c:\windows\system32\doskey.exe
2008-04-14 06:52 . 2006-01-27 01:01 45056 --sha-r- c:\windows\system32\ftp.exe
2008-04-14 06:52 . 2006-01-27 01:01 124928 --sha-r- c:\windows\system32\net1.exe
2008-04-14 06:53 . 2006-01-27 01:01 53248 --sha-r- c:\windows\system32\reg.exe
2004-08-04 12:00 . 2006-01-27 02:14 33792 --sh--r- c:\windows\system32\regini.exe
2004-08-11 05:06 . 2009-07-28 09:50 215552 --sha-r- c:\windows\system32\termsrv2.dll
2008-05-09 10:54 . 2006-01-27 01:01 430080 --sh--r- c:\windows\system32\vbscript.dll
2004-08-11 05:06 . 2009-07-28 09:50 215552 --sha-r- c:\windows\system32\dllcache\termsrv2.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2008-07-03 118784]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-07-03 1323008]
"picon"="c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\PrivacyIconClient.exe" [2008-05-29 367128]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2009-01-07 60704]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-09-30 68976]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-04 242976]
"FingerPrintSoftware"="c:\programme\Lenovo Fingerprint Software\fpapp.exe" [2008-05-10 9318400]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-05-14 487424]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2008-09-01 165208]
"LPMailChecker"="c:\progra~1\THINKV~1\PrdCtr\LPMLCHK.exe" [2008-09-01 124248]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-11-21 385024]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-03-17 208896]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-10-27 425984]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-10-27 143360]
"cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2008-06-13 3073336]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-13 136600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"OfficeScanNT Monitor"="c:\programme\Trend Micro\Client Server Security Agent\pccntmon.exe" [2009-06-03 935208]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-06-13 73728]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 868352]
"OE"="c:\programme\Trend Micro\Client Server Security Agent\TMAS_OE\TMAS_OEMon.exe" [2009-05-20 492808]
"DataCardMonitor"="c:\programme\Huawei Modems\DataCardMonitor.exe" [2009-07-22 249856]
"TpShocks"="TpShocks.exe" - c:\windows\system32\TpShocks.exe [2008-06-06 181536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Aktualisierungsagent.lnk - c:\programme\T-Mobile\web'n'walk Manager\AutoUpdateSrv.exe [2009-3-10 457248]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"DisallowRun"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\disallowrun]
"3"= tmd1.exe
"4"= tmd2.exe
"5"= a.exe
"6"= s.exe
"7"= 88.exe
"8"= 89.exe
"9"= 90.exe
"10"= 91.exe
"11"= mn.exe
"12"= cc.exe
"13"= tmd.exe
"14"= tcpips.exe
"15"= 92.exe
"16"= 93.exe
"17"= 94.exe
"18"= mmqm11.bat
"19"= mm.exe
"20"= 520.exe
"21"= b.exe
"22"= dbcmd.bat
"23"= 75.exe
"24"= winsysup.exe
"25"= zzzz11.exe
"26"= sysme.bat
"27"= aa.exe
"28"= xiaoyi.exe
"29"= zx.exe
"30"= ARP.BAT
"31"= ff.BAT
"32"= xiaoyi20091.exe
"33"= xiaoyi20092.exe
"34"= xiaoyi20093.exe
"35"= dboysb.bat
"36"= dboy250.bat
"37"= mm1.exe
"38"= cal.exe
"39"= ft.exe
"40"= cvbs.exe
"41"= dvbs.vbs
"42"= cc.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS]
2008-05-10 06:24 180224 ------w- c:\windows\system32\FpWinlogonNp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 15:37 34344 ----a-w- c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 18:14 28672 ----a-w- c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2008-10-27 08:57 32768 ------w- c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ACGina

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25218:TCP"= 25218:TCP:Trend Micro Client/Server Security Agent Listener

R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [14.05.2008 17:21 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 17:21 19496]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [12.01.2009 22:45 4442]
R1 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [09.05.2008 06:50 46144]
R2 ATService;AuthenTec Fingerprint Service;c:\windows\system32\AtService.exe [10.05.2008 08:11 1160440]
R2 GtFlashSwitch;GtFlashSwitch;c:\programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe [09.02.2007 15:48 176128]
R2 mdvrmng;Mobile IP Route Manager;c:\windows\system32\drivers\mdvrmng.sys [10.03.2009 20:45 10240]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [12.01.2009 22:45 53248]
R2 SalesLogix Server Service;SalesLogix Server;c:\programme\SalesLogix\SLXServer.exe [10.02.2006 06:24 532480]
R2 SlxSearch;SalesLogix SpeedSearch;c:\programme\SalesLogix\SpeedSearch\Bin\SLXSearchService.exe [05.01.2005 06:21 939008]
R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [20.01.2009 16:28 50192]
R2 TmFilter;Trend Micro Filter;c:\programme\Trend Micro\Client Server Security Agent\tmxpflt.sys [01.10.2008 15:51 225296]
R2 TmPreFilter;Trend Micro PreFilter;c:\programme\Trend Micro\Client Server Security Agent\tmpreflt.sys [01.10.2008 15:51 36368]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [14.05.2008 17:25 520192]
R2 TVT_UpdateMonitor;TVT Windows Update Monitor;c:\programme\Lenovo\Rescue and Recovery\UpdateMonitor.exe [09.05.2008 06:50 360448]
R2 UNS;Intel(R) Active Management Technology User Notification Service;c:\programme\Gemeinsame Dateien\Intel\Privacy Icon\UNS\UNS.exe [12.01.2009 22:20 2058776]
R3 ATSwpWDF;AuthenTec TruePrint USB WDF Driver;c:\windows\system32\drivers\ATSwpWDF.sys [12.01.2009 22:34 475136]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [13.01.2009 05:58 243856]
R3 mdvdrv;Connectivity Driver;c:\windows\system32\drivers\mdvdrv.sys [10.03.2009 20:45 115200]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [01.10.2008 15:51 335376]
R3 TmPfw;Trend Micro Client/Server Security Agent Personal Firewall;c:\programme\Trend Micro\Client Server Security Agent\TmPfw.exe [01.10.2008 15:51 497008]
R3 TmProxy;Trend Micro Client/Server Security Agent Proxy-Dienst;c:\programme\Trend Micro\Client Server Security Agent\TmProxy.exe [01.10.2008 15:51 685320]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.02.2008 16:54 37312]
S2 SessionLauncher;SessionLauncher;c:\dokume~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\DX9\SessionLauncher.exe [?]
S3 emc2gps;Ericsson F3507g WMC 1.0 GPS Port;c:\windows\system32\DRIVERS\emc2gps.sys --> c:\windows\system32\DRIVERS\emc2gps.sys [?]
S3 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [10.05.2008 08:24 102400]
S3 lnvobus;Ericsson F3507g Mobile Broadband Minicard Composite Device driver (WDM);c:\windows\system32\DRIVERS\lnvobus.sys --> c:\windows\system32\DRIVERS\lnvobus.sys [?]
S3 lnvocard;Ericsson F3507g Mobile Broadband Minicard Device Management;c:\windows\system32\DRIVERS\lnvocard.sys --> c:\windows\system32\DRIVERS\lnvocard.sys [?]
S3 lnvogps;Ericsson F3507g Mobile Broadband Minicard GPS Port;c:\windows\system32\DRIVERS\lnvogps.sys --> c:\windows\system32\DRIVERS\lnvogps.sys [?]
S3 lnvomdfl;Ericsson F3507g Mobile Broadband Minicard Modem Filter;c:\windows\system32\DRIVERS\lnvomdfl.sys --> c:\windows\system32\DRIVERS\lnvomdfl.sys [?]
S3 lnvomdfl2;Ericsson F3507g Mobile Broadband Minicard Data Modem Filter;c:\windows\system32\DRIVERS\lnvomdfl2.sys --> c:\windows\system32\DRIVERS\lnvomdfl2.sys [?]
S3 lnvomdm;Ericsson F3507g Mobile Broadband Minicard Modem Driver;c:\windows\system32\DRIVERS\lnvomdm.sys --> c:\windows\system32\DRIVERS\lnvomdm.sys [?]
S3 lnvomdm2;Ericsson F3507g Mobile Broadband Minicard Data Modem;c:\windows\system32\DRIVERS\lnvomdm2.sys --> c:\windows\system32\DRIVERS\lnvomdm2.sys [?]
S3 lnvond5;Ericsson F3507g Mobile Broadband Minicard Network Adapter (NDIS);c:\windows\system32\DRIVERS\lnvond5.sys --> c:\windows\system32\DRIVERS\lnvond5.sys [?]
S3 lnvounic;Ericsson F3507g Mobile Broadband Minicard Network Adapter (WDM);c:\windows\system32\DRIVERS\lnvounic.sys --> c:\windows\system32\DRIVERS\lnvounic.sys [?]
S3 RoxMediaDB10;RoxMediaDB10;c:\programme\Gemeinsame Dateien\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [25.04.2008 09:15 1120752]
S3 Sony_EricssonWWSC;Ericsson F3507g WMC 1.0 PC SC Port;c:\windows\system32\DRIVERS\emc2scard.sys --> c:\windows\system32\DRIVERS\emc2scard.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-03-10 c:\windows\Tasks\PCDoctorBackgroundMonitorTask.job
- c:\programme\PCDR5\pcdr5cuiw32.exe [2008-12-12 23:32]

2009-08-31 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-01-12 09:56]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://lenovo.live.com
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
LSP: bmnet.dll
TCP: {C22717F5-E692-47B6-BFB0-DFA785D30268} = 192.168.0.11
FF - ProfilePath - c:\dokumente und einstellungen\mmayr\Anwendungsdaten\Mozilla\Firefox\Profiles\fbmi0i4g.default\
FF - prefs.js: browser.startup.homepage -
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 17:35
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DataCardMonitor = c:\programme\Huawei Modems\DataCardMonitor.exe? ???????????OKUME~1\mmayr\LOKALE~1\Temp\DataCardPM32.tmp?hared\DLLShared\;c:\pro?? ??????s??????????????????????????????????rogramme\Huawei Modems\DataCardMonitor.exe?l????????????rogramme\Huawei Modems\?urit

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1308)
c:\windows\system32\ATGinaHook.dll
c:\programme\Lenovo Fingerprint Software\ATCSSINT.DLL
c:\programme\Lenovo Fingerprint Software\SharedResources.dll
c:\programme\Lenovo Fingerprint Software\FPResource.dll
c:\programme\Lenovo\Client Security Solution\CSS_Enroll.dll
c:\programme\Lenovo\Client Security Solution\css_banner.dll
c:\windows\system32\cssuserdatadispatcher.dll
c:\windows\system32\tvttsp.dll
c:\windows\system32\tcsrpc.dll
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\FpWinLogonNp.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
c:\windows\system32\AFSSClientLib.dll
c:\windows\system32\bmnet.dll
c:\programme\Funk Software\OdysseyClientSDK\odLogin.dll

- - - - - - - > 'lsass.exe'(324)
c:\programme\ThinkPad\ConnectUtilities\ACGina.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACON.dll
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgr.dll
c:\programme\ThinkPad\ConnectUtilities\AcCryptHlpr.dll
c:\programme\ThinkPad\ConnectUtilities\ACTurinSupport.dll
c:\programme\ThinkPad\ConnectUtilities\AcSmBiosHelper.dll
c:\programme\ThinkPad\ConnectUtilities\AcAdaptersInfo.dll
c:\windows\system32\bmnet.dll

- - - - - - - > 'explorer.exe'(5928)
c:\programme\ScanSoft\OmniPageSE4\OpHookSE4.dll
c:\windows\system32\btmmhook.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\windows\system32\scardsvr.exe
c:\windows\system32\ati2evxx.exe
c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\windows\system32\bmwebcfg.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Intel\AMT\LMS.exe
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\programme\Trend Micro\Client Server Security Agent\NTRtScan.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\programme\SalesLogix\SLXLoggingServer.exe
c:\programme\SalesLogix\SLXSystem.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\windows\system32\TPHDEXLG.exe
c:\windows\system32\TpKmpSvc.exe
c:\programme\Lenovo\Client Security Solution\tvttcsd.exe
c:\programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\programme\Trend Micro\Client Server Security Agent\TmListen.exe
c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
c:\programme\Lenovo\HOTKEY\TPONSCR.exe
c:\programme\Lenovo\ZOOM\TpScrex.exe
c:\windows\system32\rundll32.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\ThinkPad\Bluetooth Software\BTTray.exe
c:\programme\Digital Line Detect\DLG.exe
c:\programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
c:\progra~1\ThinkPad\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\ThinkPad\UTILIT~1\PWMUIAux.EXE
c:\programme\Trend Micro\Client Server Security Agent\CNTAoSMgr.exe
c:\programme\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-31 17:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-31 15:41

Vor Suchlauf: 18 Verzeichnis(se), 201.745.596.416 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 202.245.283.840 Bytes frei

402 --- E O F --- 2009-08-30 13:21

Die noch verbliebenen verseuchten Dateien und Reg-Einträge habe ich manuell entfernt.

Aber spätestens seit der Anwendung von Combofix geht das MSDE nicht mehr - der Kunde braucht das aber für das Programm SalesLogix (das ist eine Art Warenwirtschaftssystem). Neuinstallation ging nicht, da mir MSDE dann meldet, dass kein Passwort für "sa" gesetzt sei -> es folgt dann ein Abbruch. Deinstallation von MSDE geht auch nicht, hier erhalte ich nur "Ein schwerwiegender Fehler ist aufgetreten".
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#2 Wenn dein Kunde den PC für wichtige Bankgeschäfte nutzt oder für Kundendaten, würde ich dir sowieso dringenst raten, das ding neu aufzusetzen und er soll seine Bankverbindungen überwachen, er hatte ein rootkit und ein Backdoor für geschäftliche aktivitäten würde ich den Rechner niemals mehr verwenden, solange er nicht frisch aufgesetzt wurde, schon gar nicht, wenn Daten anderer Leute drauf gespeichert sind, oder verwendet werden!

#3 hmmm... das hatte ich befürchtet... der gute Mann ist Außendienstmitarbeiter und ist von hier ungefähr 400 km entfernt - er müsste also entweder sein Laptop einschicken oder hier bei uns vorbei kommen. Das ist entsprechend nicht so einfach, weil er so oder so dann arbeitsmäßig gelähmt wäre. Ich möchte, dass zumindest erstmal das MSDE wieder funktioniert, damit er bis zu seinem monatlichen Besuch hier in der Gegend wenigstens arbeiten kann.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 Weist du genau, dass das Programm erst nach cf nicht mehr lief? oder evtl. wurde etwas falsches per Hand gelöscht?
Also eig sollte mit dem Teil überhaupt nicht mehr gearbeitet werden. Kannst du mir bitte sagen, was ihr noch per Hand gelöscht habt?
Das einzige was ich mir bei CF noch vorstellen kann, ist das einige Regeinträge gelöscht wurden, die benötigt werden, diese sollten im Ordner qobox zu finden sein. Die Dateien sehen schon nach malware aus.

#5 Inzwischen ist es geklärt: er kommt die Tage hierher und dann setze ich den PC neu auf.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 OK, sollte ja auch in seinem Interesse sein, dass die Kundendaten nicht weiter gegeben werden. Das die PW's geendert werden müssen brauch ich dir ja sicher nicht zu sagen :-)