Ob sich bitte jemand meine comboscan.txt ansehen würde?

[Christian]

Hallo!

Ich hatte ein paar Tage mit blöden Trojanern und so Zeug zu tun. In erster Linie haben Smitfraud und Vundo sich kaum entfernen lassen und mich wahnsinnig werden lassen. Aber ich denke, dass es jetzt ok ist, zumindest melden weder McAfee noch Spybot etwas.
Irgendwo stand, dass man hier nach der Bereinigung mal die comboscan.txt zur Schau stellen könne. Da ist sie und ich hoffe, dass irgendwer mit Ahnung Entwarnung blasen kann:

ComboScan v20070306.20 run by Christian on 2007-03-09 at 13:25:02
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created ComboScan Restore Point.


-- Last 2 Restore Point(s) --
2: 2007-03-09 12:25:06 UTC - RP2 - ComboScan Restore Point
1: 2006-09-23 09:17:19 UTC - RP1 - Systemprüfpunkt


Performed disk cleanup.


-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of HijackThis v1.99.1
Scan saved at 2007-03-09 13:25:29
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.0.5730.11)

Running processes:
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\ati2evxx.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\spoolsv.exe
C:\WINDOWS\EXPLORER.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Intel\Intel Application Accelerator\IAAnotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\SYSTEM32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\Programme\Lexmark 7300 Series\lxcimon.exe
C:\Programme\Lexmark 7300 Series\ezprint.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\SYSTEM32\CISVC.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\IAANTmon.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\Programme\McAfee\MSC\mcmscsvc.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe
C:\Programme\McAfee\VirusScan\mcods.exe
C:\Programme\McAfee\MSC\mcpromgr.exe
C:\Programme\Gemeinsame Dateien\McAfee\RedirSvc\RedirSvc.exe
C:\Programme\McAfee\VirusScan\Mcshield.exe
C:\Programme\McAfee\VirusScan\mcsysmon.exe
C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAGENT.EXE
C:\WINDOWS\SYSTEM32\oodag.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\SYSTEM32\lxcicoms.exe
C:\Programme\Gemeinsame Dateien\McAfee\EmProxy\emproxy.exe
C:\Dokumente und Einstellungen\Christian\Desktop\comboscan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptcl.dll
O2 - BHO: (no name) - {FBBB1DC2-9AB4-4408-8674-A3BA49E8AF56} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Programme\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: C:\WINDOWS\SYSTEM32\WSHBTH.DLL
O15 - ProtocolDefaults: Unknown 'about:' protocol is in Restricted Zone (HKLM)
O15 - ProtocolDefaults: Unknown 'about:' protocol is in Restricted Zone (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} () - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\system32\WgaLogon.dll
O23 - Service: Adobe LM Service - "C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"
O23 - Service: Warndienst (Alerter) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - C:\WINDOWS\SYSTEM32\ALG.EXE
O23 - Service: Anwendungsverwaltung (AppMgmt) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: ASP.NET State Service (aspnet_state) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: Ati HotKey Poller - C:\WINDOWS\SYSTEM32\ati2evxx.exe
O23 - Service: Windows Audio (AudioSrv) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Computerbrowser (Browser) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Bluetooth Support Service (BthServ) - C:\WINDOWS\system32\svchost.exe -k bthsvcs
O23 - Service: Indexdienst (CiSvc) - C:\WINDOWS\SYSTEM32\CISVC.EXE
O23 - Service: Ablagemappe (ClipSrv) - C:\WINDOWS\SYSTEM32\CLIPSRV.EXE
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: COM+-Systemanwendung (COMSysApp) - C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: Creative Service for CDROM Access - C:\WINDOWS\SYSTEM32\CTSVCCDA.EXE
O23 - Service: Kryptografiedienste (CryptSvc) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: DCOM-Server-Prozessstart (DcomLaunch) - C:\WINDOWS\system32\svchost -k DcomLaunch
O23 - Service: DHCP-Client (Dhcp) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - C:\WINDOWS\System32\dmadmin.exe /com
O23 - Service: Verwaltung logischer Datenträger (dmserver) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: DNS-Client (Dnscache) - C:\WINDOWS\system32\svchost.exe -k NetworkService
O23 - Service: McAfee E-mail Proxy (Emproxy) - C:\Programme\Gemeinsame Dateien\McAfee\EmProxy\emproxy.exe
O23 - Service: Fehlerberichterstattungsdienst (ERSvc) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Ereignisprotokoll (Eventlog) - C:\WINDOWS\SYSTEM32\SERVICES.EXE
O23 - Service: COM+-Ereignissystem (EventSystem) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Kompatibilität für schnelle Benutzerumschaltung (FastUserSwitchingCompatibility) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Hilfe und Support (helpsvc) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: HID Input Service (HidServ) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: HTTP-SSL (HTTPFilter) - C:\WINDOWS\System32\svchost.exe -k HTTPFilter
O23 - Service: IAA Event Monitor (IAANTMon) - C:\Programme\Intel\Intel Application Accelerator\IAANTmon.exe
O23 - Service: IMAPI-CD-Brenn-COM-Dienste (ImapiService) - C:\WINDOWS\SYSTEM32\IMAPI.EXE
O23 - Service: Server (lanmanserver) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Arbeitsstationsdienst (lanmanworkstation) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: TCP/IP-NetBIOS-Hilfsprogramm (LmHosts) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: lxci_device - C:\WINDOWS\system32\lxcicoms.exe -service
O23 - Service: McAfee HackerWatch Service - "C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe"
O23 - Service: McAfee Update Manager (mcmispupdmgr) - C:\Programme\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - C:\Programme\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - "c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe"
O23 - Service: McAfee Scanner (McODS) - C:\Programme\McAfee\VirusScan\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - C:\Programme\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - C:\Programme\Gemeinsame Dateien\McAfee\RedirSvc\RedirSvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - C:\Programme\McAfee\VirusScan\Mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - C:\Programme\McAfee\VirusScan\mcsysmon.exe
O23 - Service: Nachrichtendienst (Messenger) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - C:\WINDOWS\SYSTEM32\MNMSRVC.EXE
O23 - Service: Distributed Transaction Coordinator (MSDTC) - C:\WINDOWS\SYSTEM32\MSDTC.EXE
O23 - Service: Windows Installer (MSIServer) - C:\WINDOWS\system32\msiexec.exe /V
O23 - Service: MSSQL$EAZYSALES - C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe -sEAZYSALES
O23 - Service: MSSQLServerADHelper - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe
O23 - Service: MWAgent - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Netzwerk-DDE-Dienst (NetDDE) - C:\WINDOWS\SYSTEM32\NETDDE.EXE
O23 - Service: Netzwerk-DDE-Serverdienst (NetDDEdsdm) - C:\WINDOWS\SYSTEM32\NETDDE.EXE
O23 - Service: Anmeldedienst (Netlogon) - C:\WINDOWS\SYSTEM32\LSASS.EXE
O23 - Service: Netzwerkverbindungen (Netman) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: NLA (Network Location Awareness) (Nla) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: NT-LM-Sicherheitsdienst (NtLmSsp) - C:\WINDOWS\SYSTEM32\LSASS.EXE
O23 - Service: Wechselmedien (NtmsSvc) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: O&O Defrag - C:\WINDOWS\SYSTEM32\oodag.exe

Danke !

 

[Christian]

Teil 2:

O23 - Service: Plug & Play (PlugPlay) - C:\WINDOWS\SYSTEM32\SERVICES.EXE
O23 - Service: IPSEC-Dienste (PolicyAgent) - C:\WINDOWS\SYSTEM32\LSASS.EXE
O23 - Service: Geschützter Speicher (ProtectedStorage) - C:\WINDOWS\SYSTEM32\LSASS.EXE
O23 - Service: Verwaltung für automatische RAS-Verbindung (RasAuto) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: RAS-Verbindungsverwaltung (RasMan) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - C:\WINDOWS\SYSTEM32\SESSMGR.EXE
O23 - Service: Routing und RAS (RemoteAccess) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Remote-Registrierung (RemoteRegistry) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: RPC-Locator (RpcLocator) - C:\WINDOWS\SYSTEM32\LOCATOR.EXE
O23 - Service: Remoteprozeduraufruf (RPC) (RpcSs) - C:\WINDOWS\system32\svchost -k rpcss
O23 - Service: QoS-RSVP (RSVP) - C:\WINDOWS\SYSTEM32\RSVP.EXE
O23 - Service: Sicherheitskontenverwaltung (SamSs) - C:\WINDOWS\SYSTEM32\LSASS.EXE
O23 - Service: Smartcard (SCardSvr) - C:\WINDOWS\SYSTEM32\SCARDSVR.EXE
O23 - Service: Taskplaner (Schedule) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Sekundäre Anmeldung (seclogon) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Systemereignisbenachrichtigung (SENS) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Shellhardwareerkennung (ShellHWDetection) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Druckwarteschlange (Spooler) - C:\WINDOWS\SYSTEM32\spoolsv.exe
O23 - Service: SQLAgent$EAZYSALES - C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlagent.EXE -i EAZYSALES
O23 - Service: Systemwiederherstellungsdienst (srservice) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: SSDP-Suchdienst (SSDPSRV) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Windows-Bilderfassung (WIA) (stisvc) - C:\WINDOWS\system32\svchost.exe -k imgsvc
O23 - Service: MS Software Shadow Copy Provider (SwPrv) - C:\WINDOWS\system32\dllhost.exe /Processid:{001EECC4-8F57-4A82-8BE5-9E5A09BF1B9E}
O23 - Service: Leistungsdatenprotokolle und Warnungen (SysmonLog) - C:\WINDOWS\SYSTEM32\SMLOGSVC.EXE
O23 - Service: Telefonie (TapiSrv) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Terminaldienste (TermService) - C:\WINDOWS\System32\svchost -k DComLaunch
O23 - Service: Designs (Themes) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Telnet (TlntSvr) - C:\WINDOWS\SYSTEM32\TLNTSVR.EXE
O23 - Service: Überwachung verteilter Verknüpfungen (Client) (TrkWks) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Windows User Mode Driver Framework (UMWdf) - C:\WINDOWS\SYSTEM32\wdfmgr.exe
O23 - Service: Universeller Plug & Play-Gerätehost (upnphost) - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Unterbrechungsfreie Stromversorgung (UPS) - C:\WINDOWS\SYSTEM32\UPS.EXE
O23 - Service: Volumeschattenkopie (VSS) - C:\WINDOWS\SYSTEM32\VSSVC.EXE
O23 - Service: Windows Time (w32time) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: WebClient - C:\WINDOWS\system32\svchost.exe -k LocalService
O23 - Service: Windows-Verwaltungsinstrumentation (winmgmt) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Dienst für Seriennummern der tragbaren Medien (WmdmPmSN) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Treibererweiterungen für Windows-Verwaltungsinstrumentation (Wmi) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: WMI-Leistungsadapter (WmiApSrv) - C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE
O23 - Service: Sicherheitscenter (wscsvc) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Automatische Updates (wuauserv) - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Konfigurationsfreie drahtlose Verbindung (WZCSVC) - C:\WINDOWS\System32\svchost.exe -k netsvcs
O23 - Service: Netzwerkversorgungsdienst (xmlprov) - C:\WINDOWS\System32\svchost.exe -k netsvcs


-- File Associations -----------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
[COLOR=red].js - JSFile - "C:\Programme\Macromedia\Dreamweaver MX\Dreamweaver.exe" "%1"[/COLOR]
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

3S actser - C:\WINDOWS\SYSTEM32\DRIVERS\actser.sys
0R agpCPQ (Compaq AGP-Bus-Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\AGPCPQ.SYS
3S alcan5wn (SpeedTouch USB ADSL PPP Networking Driver (NDISWAN)) - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5wn.sys
3S alcaudsl (SpeedTouch ADSL Modem ATM Transport) - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys
0R alim1541 (ALI AGP-Bus-Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\ALIM1541.SYS
0R amdagp (AMD AGP-Bus-Filtertreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\AMDAGP.SYS
3R Arp1394 (1394-ARP-Clientprotokoll) - C:\WINDOWS\SYSTEM32\DRIVERS\ARP1394.SYS
3R ati2mtag - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys
3R b57w2k (Broadcom NetXtreme 57xx Gigabit Controller) - C:\WINDOWS\SYSTEM32\DRIVERS\b57xp32.sys
3S BlueletAudio (Bluetooth Audio Service) - C:\WINDOWS\SYSTEM32\DRIVERS\blueletaudio.sys
3S BT (Bluetooth PAN Network Adapter) - C:\WINDOWS\SYSTEM32\DRIVERS\BtNetDrv.sys
3S Btcsrusb (Bluetooth USB For Bluetooth Service) - C:\WINDOWS\SYSTEM32\DRIVERS\btcusb.sys
3R BthEnum (Bluetooth-Anforderungsblocktreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\BthEnum.sys
3S BTHidEnum (Bluetooth HID Enumerator) - C:\WINDOWS\SYSTEM32\DRIVERS\vbtenum.sys
0R BTHidMgr (Bluetooth HID Manager Service) - C:\WINDOWS\SYSTEM32\DRIVERS\BTHidMgr.sys
3R BTHMODEM (Serieller Kommunikationstreiber für Bluetooth) - C:\WINDOWS\SYSTEM32\DRIVERS\bthmodem.sys
3R BthPan (Bluetooth-Gerät (PAN)) - C:\WINDOWS\SYSTEM32\DRIVERS\bthpan.sys
3S BTHPORT (Bluetooth-Porttreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\bthport.sys
3R BTHUSB (USB-Treiber für Bluetooth-Funkgerät) - C:\WINDOWS\SYSTEM32\DRIVERS\BTHUSB.SYS
0R cbidf - C:\WINDOWS\SYSTEM32\DRIVERS\CBIDF2K.SYS
3S CCDECODE (Untertiteldecoder) - C:\WINDOWS\SYSTEM32\DRIVERS\CCDECODE.sys
3R ctac32k (Creative AC3 Software Decoder) - C:\WINDOWS\SYSTEM32\DRIVERS\ctac32k.sys
3R ctaud2k (Creative Audio Driver (WDM)) - C:\WINDOWS\SYSTEM32\DRIVERS\ctaud2k.sys
3S ctdvda2k (Creative DVD-Audio Device Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ctdvda2k.sys
3R ctprxy2k (Creative Proxy Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ctprxy2k.sys
3R ctsfm2k (Creative SoundFont Management Device Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ctsfm2k.sys
0R dac2w2k - C:\WINDOWS\SYSTEM32\DRIVERS\DAC2W2K.SYS
3S E100B (Intel(R) PRO-Adaptertreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\E100B325.SYS
3R emupia (E-mu Plug-in Architecture Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\emupia2k.sys
3S ggsemc (Sony Ericsson USB Flash Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ggsemc.sys
3R ha10kx2k (Creative Hardware Abstract Layer Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ha10kx2k.sys
3R hap16v2k (Creative P16V HAL Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\haP16v2k.sys
3S HidBth (Microsoft Bluetooth-HID-Miniport) - C:\WINDOWS\SYSTEM32\DRIVERS\hidbth.sys
3R HidUsb (Microsoft HID Class-Treiber) - C:\WINDOWS\SYSTEM32\DRIVERS\hidusb.sys
0R iaStor (Intel RAID Controller) - C:\WINDOWS\SYSTEM32\DRIVERS\IASTOR.SYS
1R intelppm (Intel-Prozessortreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\INTELPPM.SYS
1R kbdhid (Tastatur-HID-Treiber) - C:\WINDOWS\SYSTEM32\DRIVERS\kbdhid.sys
3R mfeavfk (McAfee Inc.) - C:\WINDOWS\SYSTEM32\DRIVERS\mfeavfk.sys
3R mfebopk (McAfee Inc.) - C:\WINDOWS\SYSTEM32\DRIVERS\mfebopk.sys
3R mfehidk (McAfee Inc.) - C:\WINDOWS\SYSTEM32\DRIVERS\mfehidk.sys
3S mferkdk (McAfee Inc.) - C:\WINDOWS\SYSTEM32\DRIVERS\mferkdk.sys
3R mfesmfk (McAfee Inc.) - C:\WINDOWS\SYSTEM32\DRIVERS\mfesmfk.sys
3R mouhid (Maus-HID-Treiber) - C:\WINDOWS\SYSTEM32\DRIVERS\mouhid.sys
1R MPFP - C:\WINDOWS\SYSTEM32\DRIVERS\Mpfp.sys
3S MSTEE (Microsoft Streaming Tee/Sink-to-Sink-Konvertierung) - C:\WINDOWS\SYSTEM32\DRIVERS\MSTEE.sys
3S NABTSFEC (NABTS/FEC VBI-Codec) - C:\WINDOWS\SYSTEM32\DRIVERS\NABTSFEC.sys
3S NdisIP (Microsoft TV-/Videoverbindung) - C:\WINDOWS\SYSTEM32\DRIVERS\NdisIP.sys
3R NIC1394 (1394-Netzwerktreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\NIC1394.SYS
3S NPF (Netgroup Packet Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\packet.sys
3S nv - C:\WINDOWS\SYSTEM32\DRIVERS\NV4_MINI.SYS
0R ohci1394 (OHCI-konformer IEEE 1394-Hostcontroller) - C:\WINDOWS\SYSTEM32\DRIVERS\ohci1394.sys
1R omci (OMCI WDM Device Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\omci.sys
3R ossrv (Creative OS Services Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ctoss2k.sys
2R PfModNT - C:\WINDOWS\SYSTEM32\DRIVERS\pfmodnt.sys
0R PxHelp20 - C:\WINDOWS\SYSTEM32\DRIVERS\pxhelp20.sys
3R RFCOMM (Bluetooth-Gerät (RFCOMM-Protokoll-TDI)) - C:\WINDOWS\SYSTEM32\DRIVERS\rfcomm.sys
3S ROOTMODEM (Microsoft Legacy Modem Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\ROOTMDM.SYS
0R sisagp (SIS AGP-Bus-Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\SISAGP.SYS
3S SLIP (BDA Slip De-Framer) - C:\WINDOWS\SYSTEM32\DRIVERS\SLIP.sys
3S SONYPVU1 (Sony USB-Filtertreiber (SONYPVU1)) - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS
3S streamip (BDA-IPSink) - C:\WINDOWS\SYSTEM32\DRIVERS\StreamIP.sys
3S usbaudio (USB-Audiotreiber (WDM)) - C:\WINDOWS\SYSTEM32\DRIVERS\USBAUDIO.sys
3R usbccgp (Microsoft Standard-USB-Haupttreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\usbccgp.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\SYSTEM32\DRIVERS\USBEHCI.SYS
3R usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\SYSTEM32\DRIVERS\usbprint.sys
3R usbscan (USB-Scannertreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\usbscan.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\SYSTEM32\DRIVERS\USBSTOR.SYS
3S VComm (Virtual Serial port driver) - C:\WINDOWS\SYSTEM32\DRIVERS\VComm.sys
3R VcommMgr (Bluetooth VComm Manager Service) - C:\WINDOWS\SYSTEM32\DRIVERS\VcommMgr.sys
0R viaagp (VIA AGP-Bus-Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\VIAAGP.SYS
3S w810bus (Sony Ericsson W810 Driver driver (WDM)) - C:\WINDOWS\SYSTEM32\DRIVERS\w810bus.sys
3S w810mdfl (Sony Ericsson W810 USB WMC Modem Filter) - C:\WINDOWS\SYSTEM32\DRIVERS\w810mdfl.sys
3S w810mdm (Sony Ericsson W810 USB WMC Modem Driver) - C:\WINDOWS\SYSTEM32\DRIVERS\w810mdm.sys
3S w810mgmt (Sony Ericsson W810 USB WMC Device Management Drivers (WDM)) - C:\WINDOWS\SYSTEM32\DRIVERS\w810mgmt.sys
3S w810obex (Sony Ericsson W810 USB WMC OBEX Interface) - C:\WINDOWS\SYSTEM32\DRIVERS\w810obex.sys
4S WS2IFSL (Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung) - C:\WINDOWS\SYSTEM32\DRIVERS\WS2IFSL.SYS
3S WSTCODEC (World Standard Teletext-Codec) - C:\WINDOWS\SYSTEM32\DRIVERS\WSTCODEC.SYS


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

3S Adobe LM Service - "C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe"
3S aspnet_state (ASP.NET State Service) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
2R Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe
2R BthServ (Bluetooth Support Service) - C:\WINDOWS\system32\svchost.exe -k bthsvcs
3S clr_optimization_v2.0.50727_32 (.NET Runtime Optimization Service v2.0.50727_X86) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
2R Creative Service for CDROM Access - C:\WINDOWS\system32\CTsvcCDA.EXE
3R Emproxy (McAfee E-mail Proxy) - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
2R IAANTMon (IAA Event Monitor) - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
3R lxci_device - C:\WINDOWS\system32\lxcicoms.exe -service
2R McAfee HackerWatch Service - "C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe"
3S mcmispupdmgr (McAfee Update Manager) - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
2R mcmscsvc (McAfee Services) - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
2R McNASvc (McAfee Network Agent) - "c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe"
2R McODS (McAfee Scanner) - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
2R mcpromgr (McAfee Protection Manager) - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
2R McRedirector (McAfee Redirector Service) - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
2R McShield (McAfee Real-time Scanner) - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
2R McSysmon (McAfee SystemGuards) - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
2R MSSQL$EAZYSALES - C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlservr.exe -sEAZYSALES
3S MSSQLServerADHelper - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe
2R MWAgent - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
2R O&O Defrag - C:\WINDOWS\system32\oodag.exe
3S SQLAgent$EAZYSALES - C:\Programme\Microsoft SQL Server\MSSQL$EAZYSALES\Binn\sqlagent.EXE -i EAZYSALES
2R UMWdf (Windows User Mode Driver Framework) - C:\WINDOWS\system32\wdfmgr.exe


-- Scheduled Tasks -------------------------------------------------------------

2007-03-02 09:44:32       366 --a------ C:\WINDOWS\Tasks\McDefragTask.job<MCDEFR~1.JOB>
2007-03-02 09:44:31       344 --a------ C:\WINDOWS\Tasks\McQcTask.job
2005-05-25 22:45:00       258 --a------ C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job<ISP-AN~1.JOB>

 

[Christian]

Teil 3:

-- Files created between 2007-02-09 and 2007-03-09 -----------------------------

2007-03-06 15:31:41    123412 --a------ C:\WINDOWS\system32\oemfwmpk.dll
2007-03-06 15:22:06    123412 --a------ C:\WINDOWS\system32\hlhghreo.dll
2007-03-06 15:16:24         0 d-------- C:\WINDOWS\CSC
2007-03-06 14:37:34    123412 --a------ C:\WINDOWS\system32\kivvgqta.dll
2007-03-06 14:01:00    123412 --a------ C:\WINDOWS\system32\gltkajtb.dll
2007-03-06 11:07:55         0 d-------- C:\WINDOWS\Content.IE5
2007-03-06 10:27:19         0 d-------- C:\PUB
2007-03-06 10:27:01    184428 --a------ C:\WINDOWS\winsbak2.reg
2007-03-06 10:27:01     27578 --a------ C:\WINDOWS\winsbak.reg
2007-03-06 10:26:57    140800 --a------ C:\WINDOWS\system32\TASKMGR.COM
2007-03-06 10:26:57    140800 --a------ C:\WINDOWS\system32\T.COM
2007-03-06 10:26:57    153600 --a------ C:\WINDOWS\REGEDIT.COM
2007-03-06 10:26:57    153600 --a------ C:\WINDOWS\R.COM
2007-03-06 10:26:57         0 d-------- C:\Programme\Gemeinsame Dateien\MicroWorld<MICROW~1>
2007-03-06 10:26:43     41984 --a------ C:\WINDOWS\killproc.exe
2007-03-06 10:26:35    118784 --a------ C:\WINDOWS\system32\mwnsp.dll
2007-03-06 10:26:35    950272 --a------ C:\WINDOWS\system32\contfilt.dll
2007-03-06 10:26:33      7680 --a------ C:\WINDOWS\sporder.exe
2007-03-06 10:26:33      9488 --a------ C:\WINDOWS\sporder.dll
2007-03-06 10:26:32    130560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2007-03-06 10:26:32    125440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2007-03-06 10:26:30    339968 --a------ C:\WINDOWS\system32\mwtsp.dll
2007-03-06 10:26:30     40448 --a------ C:\WINDOWS\inst_tsp.exe
2007-03-06 10:26:27         0 d-------- C:\WINDOWS\system32\FLCSS.EXE
2007-03-04 12:10:00      3638 --a------ C:\WINDOWS\system32\tmp.reg
2007-03-04 12:09:39     79360 --a------ C:\WINDOWS\system32\swxcacls.exe
2007-03-04 12:09:39    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-03-04 12:09:39     51200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-03-04 12:09:38     40960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-04 12:09:38    135168 --a------ C:\WINDOWS\system32\swreg.exe
2007-03-04 12:09:38     53248 --a------ C:\WINDOWS\system32\Process.exe
2007-03-02 09:44:42     37480 --a------ C:\WINDOWS\system32\drivers\mfesmfk.sys
2007-03-02 09:44:42     32008 --a------ C:\WINDOWS\system32\drivers\mferkdk.sys
2007-03-02 09:44:41    170408 --a------ C:\WINDOWS\system32\drivers\mfehidk.sys
2007-03-02 09:44:41     34184 --a------ C:\WINDOWS\system32\drivers\mfebopk.sys
2007-03-02 09:44:40     71496 --a------ C:\WINDOWS\system32\drivers\mfeavfk.sys
2007-03-02 09:44:38    107608 --a------ C:\WINDOWS\system32\drivers\Mpfp.sys
2007-03-02 09:44:19         0 d-------- C:\Programme\McAfee
2007-03-02 09:44:18         0 d-------- C:\Programme\Gemeinsame Dateien\McAfee
2007-03-01 16:50:07         0 d-------- C:\WINDOWS\system32\oodag
2007-03-01 16:22:54         0 d-------- C:\Programme\OO Software<OOSOFT~1>
2007-03-01 13:29:37         0 d-------- C:\Programme\Software4u<SOFTWA~1>
2007-02-25 22:30:54         0 d-------- C:\Programme\EasyCash&Tax<EASYCA~1>
2007-02-15 13:45:36    707344 --a------ C:\WINDOWS\system32\oodag.exe
2007-02-15 13:34:30    217360 --a------ C:\WINDOWS\system32\oodbs.exe
2007-02-15 13:27:22    277264 --a------ C:\WINDOWS\system32\oodssrs.dll
2007-02-15 13:25:08     11536 --a------ C:\WINDOWS\system32\oodbsrs.dll
2007-02-15 13:24:58     17168 --a------ C:\WINDOWS\system32\oodagrs.dll
2007-02-15 13:24:48     18192 --a------ C:\WINDOWS\system32\oodagmg.dll
2007-02-15 12:36:32    937984 --a------ C:\WINDOWS\system32\ooscrsav.scr
2007-02-15 09:44:32     16656 --a------ C:\WINDOWS\system32\ootmapi.dll
2007-02-15 09:41:38     38160 --a------ C:\WINDOWS\system32\drivers\oobctm.sys
2007-02-11 16:22:10         0 d-------- C:\Programme\ElsterFormular<ELSTER~1>


-- Find3M Report ---------------------------------------------------------------

2007-03-09 11:44:29         0 d-------- C:\Programme\Mozilla Thunderbird<MOZILL~2>
2007-03-09 09:17:00       384 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000004-00000000-00000001-00001102-00000004-20061102}.dat<DVCSTA~4.DAT>
2007-03-09 09:17:00       384 --a------ C:\WINDOWS\system32\DVCState-{00000004-00000000-00000001-00001102-00000004-20061102}.dat<DVCSTA~3.DAT>
2007-03-08 13:38:12         0 d-------- C:\Programme\Lx_cats
2007-03-08 12:25:00         0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-03-07 21:13:46         0 d-------- C:\Programme\SmartFTP Client 2.0<SMARTF~1.0>
2007-03-07 21:13:24         0 d-------- C:\Programme\SmartFTP Client 2.0 Setup Files<SMARTF~1.0SE>
2007-03-07 21:01:59         0 d-------- C:\Programme\Soulseek
2007-03-07 09:41:04         0 d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Adobe
2007-03-06 11:33:52    462254 --a----c- C:\WINDOWS\system32\PERFH007.DAT
2007-03-06 11:33:52     96148 --a----c- C:\WINDOWS\system32\PERFC007.DAT
2007-03-06 10:26:57         0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-03-02 09:47:06         0 d-------- C:\Programme\McAfee.com
2007-03-01 13:32:20         0 d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Software4u<SOFTWA~1>
2007-03-01 13:30:17         0 d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared<MICROS~1>
2007-02-11 16:37:50         0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-02-11 13:41:51         0 d-------- C:\Programme\Java
2007-02-08 09:58:06         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-01-29 09:58:06     60416 -----n--- C:\WINDOWS\system32\tzchange.exe
2007-01-24 16:47:15         0 d-------- C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\AdobeUM
2007-01-21 15:25:37         0 d-------- C:\Programme\Microsoft SQL Server<MICROS~4>
2007-01-21 15:25:37         0 d-------- C:\Programme\JTL-Software<JTL-SO~1>
2007-01-21 00:36:20         0 d-------- C:\Programme\EMS
2007-01-21 00:35:22         0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard<WISEIN~1>
2007-01-13 12:42:09         0 d-------- C:\Programme\Opera
2007-01-13 12:36:48         0 d-------- C:\Programme\Sony Ericsson<SONYER~1>
2007-01-13 10:51:10         0 d-------- C:\Programme\audiograbber<AUDIOG~1>
2007-01-12 09:27:42    232960 --a------ C:\WINDOWS\system32\webcheck.dll
2007-01-12 09:27:42     51712 -----n--- C:\WINDOWS\system32\msfeedsbs.dll<MSFEED~1.DLL>
2007-01-12 09:27:42    458752 -----n--- C:\WINDOWS\system32\msfeeds.dll
2007-01-12 09:27:42   6054400 --a------ C:\WINDOWS\system32\ieframe.dll
2007-01-08 19:04:54    105984 --a------ C:\WINDOWS\system32\url.dll
2007-01-08 19:04:08    102400 --a------ C:\WINDOWS\system32\occache.dll
2007-01-08 19:02:04    266752 --a------ C:\WINDOWS\system32\iertutil.dll
2007-01-08 19:02:04     44544 --a------ C:\WINDOWS\system32\iernonce.dll
2007-01-08 19:02:02    384000 --a------ C:\WINDOWS\system32\iedkcs32.dll
2007-01-08 19:02:02    383488 --a------ C:\WINDOWS\system32\ieapfltr.dll
2007-01-08 19:02:02    161792 --a------ C:\WINDOWS\system32\ieakui.dll
2007-01-08 19:02:02    230400 --a------ C:\WINDOWS\system32\ieaksie.dll
2007-01-08 19:02:02    153088 --a------ C:\WINDOWS\system32\ieakeng.dll
2007-01-08 19:01:14     17408 --a------ C:\WINDOWS\system32\corpol.dll
2007-01-08 19:00:48    124928 --a------ C:\WINDOWS\system32\advpack.dll
2007-01-08 18:08:14     56832 --a------ C:\WINDOWS\system32\ie4uinit.exe
2007-01-08 18:08:10     13824 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-12-19 22:49:41    135168 --a------ C:\WINDOWS\system32\shsvcs.dll
2006-12-19 19:17:03    334336 --a------ C:\WINDOWS\system32\wiaservc.dll


-- Registry Dump ---------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"IAAnotif"="C:\\Programme\\Intel\\Intel Application Accelerator\\iaanotif.exe"
"DVDLauncher"="\"C:\\Programme\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
"DMXLauncher"="C:\\Programme\\Dell\\Media Experience\\DMXLauncher.exe"
"CTSysVol"="C:\\Programme\\Creative\\SBAudigy2ZS\\Surround Mixer\\CTSysVol.exe /r"
"CTHelper"="CTHELPER.EXE"
"CTDVDDET"="C:\\Programme\\Creative\\SBAudigy2ZS\\DVDAudio\\CTDVDDET.EXE"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"LXCICATS"="rundll32 C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\LXCItime.dll,_RunDLLEntry@16"
"lxcimon.exe"="\"C:\\Programme\\Lexmark 7300 Series\\lxcimon.exe\""
"EzPrint"="\"C:\\Programme\\Lexmark 7300 Series\\ezprint.exe\""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
	

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C47A9554-195A-4769-9B13-04F15B450A39}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"=dword:00000000
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000001
"NoRecentDocsMenu"=dword:00000000

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\MCODS

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter	REG_MULTI_SZ   	HTTPFilter\0\0
LocalService	REG_MULTI_SZ   	Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService	REG_MULTI_SZ   	DnsCache\0\0
DcomLaunch	REG_MULTI_SZ   	DcomLaunch\0TermService\0\0
rpcss	REG_MULTI_SZ   	RpcSs\0\0
imgsvc	REG_MULTI_SZ   	StiSvc\0\0
termsvcs	REG_MULTI_SZ   	TermService\0\0
bthsvcs	REG_MULTI_SZ   	BthServ\0\0



-- End of ComboScan: finished at 2007-03-09 at 13:25:59 ------------------------

 

[raman]

Hm, da hat gewaltig was auf deinem Rechner gewütet. Ob das nun die Malware, oder die Programme(u.a. Escan) waren, die den PC versucht haben zu reinigen, kann ich dir nicht sagen.

Prüfe auf jeden Fall bitte diese Datei C:\WINDOWS\system32\oemfwmpk.dll hier: http://www.virustotal.com/en/indexf.html und berichte uns von dem Ergebnis....

 

[Christian]

Hallo & danke!

Hm, da hat gewaltig was auf deinem Rechner gewütet. Ob das nun die Malware, oder die Programme(u.a. Escan) waren, die den PC versucht haben zu reinigen, kann ich dir nicht sagen.

Das heisst, DA IST NOCH ETWAS??? :spider:

Ich hatte es mehrfach mit verschiedenen smitfraudfix.exe und vundofix.exe probiert, das brachte alles nichts. McAfee entfernte nach Neustart immer wieder Trojaner. Unter anderem hatte ich dann auch eScan installiert, die Software hatte dann auch etwas geputzt, der Rechner aber lief damit gar nicht mehr, also deinstallierte ich eScan wieder. Schlussendlich funktionierte es (scheinbar) mit irgendeiner vundofix.exe, zumindest findet Spybot nix mehr und McAfee hält auch den Schnabel.

Warum ich das schreibe? Nun ja, vielleicht hilft das irgendwem bei der Diagnose und ausserdem hänge ich bei dem File-Upload in der Warteschleife, bin aber gleich fran *trommel*.

Und da ist das Ergebnis:

Virtumonde? Ich kann nicht mehr.
Soll ich es mit dem Symantec-Removal-Tool ( http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-adware.virtumonde.html ) probieren?

 

[raman]

Schaden kann es nicht, den Cleaner zu nutzen, aber helfen wird es nichts!

Wenn Cleaner, dann versuch es mit Drweb Cureit, da laut Virustotal Drweb ihn ja finden kann: http://freedrweb.com/?lng=de

Du kannst nachher den Report posten um zu sehen, ob er alles beseitigt hat

 

[Christian]

Hallo!

Wie wahr, Symantec fand nix.
Der erste automatisch startende Express-Scan von Dr. Web ergab Folgendes:

Das komplette Laufwerk C wird gerade auf :spider: überprüft *spannung*.

 

[raman]

Also diese Dinge scheinen Fehlalarme zu sein.....

 

[Christian]

Oh jeeeeee, gleich ist das Ding fertig.

:spider: :spider: :spider: :spider: :spider:
:spider: :spider: :spider: :spider:

 

[Christian]

Sooooo. Und jetzt? :sad:

 

[raman]

Passt! Vundo ist geloescht worden, der Rest nicht, sind auch Fehlalarme, bzw tools die in diesem Zusammenhang harmlos sind.

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zuusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Ansonsten sehe ich nichts mehr.....

 

[Christian]

Hallo

und vielen vielen Dank für die Echtzeit-Online-Hilfe!

1. Passt! Vundo ist geloescht worden, der Rest nicht, sind auch Fehlalarme, bzw tools die in diesem Zusammenhang harmlos sind.

2. Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zuusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

3. Ansonsten sehe ich nichts mehr.....

1. ENDLICH! :bigthumb:

2. Erledigt.

3. Das beruhigt ganz ernsthaft.

Nun noch meine abschliessende Frage:
- Soll ich mir tatsächlich über die restlichen gefundenen Dinge keine Sorgen machen oder sie anders entfernen (lassen)?
- 100%igen Schutz gibt es vielleicht nicht. Aber was kann ich denn zu Spybot und McAfee VirusScan noch tun, damit so etwas nicht mehr passiert?
- Ist Dr.Web der beste Virenscanner, den ich ab und zu mal über das Laufwerk drüberlaufen lassen soll? Oder gibt es 'wirkungsvolleres'?

Vielen Dank noch einmal.

 

[raman]

Drweb Cureit ist als "Zweitscanner" recht gut zu gebrauchen, wenn man um dessen Schwaeche(ab und an Fehlalarme) weiss.

Diese "Tool" Dinge sind von smitfraudfix und die "Moeglicherweise" Dinge sind hier von Mcafee(Updater) und Escan/Microworld(rest)

 

[Christian]

Hello again!

Hier steht noch ein zweiter PC .

(ab und an Fehlalarme)

Sind die Zeilen 3 & 4 denn auch Fehlalarme? :fear:

 

[raman]

<g >Das erste koennte man so bezeichnen, beim 2. bin ich mir nicht sicher, dafuer habe ich nicht genug infos(comboscan)

 

[Christian]

Hallo mal wieder!

Danke für Deine Geduld.
Und damit es nicht durcheinander geht, mache ich mal für den 2. Rechner gleich ein neues Thema auf. Denn spasseshalber habe ich eben bei Rechner 1 einen erneuten Virenscan mit Dr Web gemacht und stosse dabei auf lauter Virtumod-infizierte Dateien, so dass der erste Löschdurchgang wohl nix gebracht hat leider. Oder aber ich habe etwas falsch gemacht... Das Scan-Ergebnis füge ich dann in dieses Thema wieder als Bild ein.

 

[Christian]

Ich wollte das da oben editieren, aber man hat dazu nur 15 Minuten Zeit .

Hier der neueste Stand:

"Hallo mal wieder!

Danke für Deine Geduld.

Edit: Das mit Rechner 2 hat sich geklärt (es ist nicht meiner), also bleibe ich beim ursprünglichen Problem.

Folgendes: Ich hatte erneut gescannt, dabei gab es 4 x Virtumod. Eine dieser Virtumodszeilen habe ich markiert, habe links am Rand auf 'Löschen' geklickt. Und dabei wurde dann eine ganz andere Zeile als gelöscht markiert. Ich probierte es erneut, was schon wieder eine andere Zeile als 'gelöscht' markierte. Und aus irgendwelchen Gründen habe ich dann auch noch eine Datei verschoben. Jetzt sieht das so aus:

Kann ich das 2 x Löschen und 1 x Verschieben rückgängig machen?"

:-|

 

[Christian]

Die verschobene Datei ist wieder da, wo sie hingehört :angel: .

 

[raman]

Die Dateien unter "system Volume Information" kannst du ignorieren, oder aber die Systemwiederherstellung deaktivieren, neu starten und erneut aktivieren. Dann sind diese Dateien weg. Ueber die Datentraegerbereinigung/ Systemwiederherstellung bereinigen waere das aber auch verschwunden, sobald ein neuer Systemwiederherstellungspunkt erstellt wurde.

 

[Christian]

Ein abschliessendes DANKESCHÖN!

Bei meinem letzten Scan jetzt habe ich nur noch 3 Fehlalarme, sonst nix. Einzig die eine fehlende Datei ist etwas doof, aber die kann ich sicher wieder auftreiben. Morgen!

Einen schönen Abend noch!!!

C.