keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung

nochdigger · 12.02.2009, 18:29

Hallo

Zitat:

Hm, du meinst also ich kann mir das ganze Gescanne und Gefixe eigentlich stecken, weil immer das Restrisiko besteht, dass sich irgendwo doch nochwas versteckt?

Fast, ich hab damit gemeint, ich würde dem System mein Geld nicht mehr anvertrauen und ja, es kann immer etwas unentdecktes zurückbleiben.
Wenn ihr/du keine Bankgeschäfte über den Rechner macht und es keine Hochsensiblen Daten auf dem System gibt, kann man eine Bereinigung überlegen, deine Entscheidung.

Zitat:

Ich schreckte bisher vor der schnurstracksen Neuaufsetzung zurück, da ich nicht sicher war, inwiefern sämtliche Backups Malware enthalten können und somit das System von Beginn an verseuchen.

das kann man evtl. anhand eines Combofix Logs ersehen.
Wenn du weiter bereinigen möchtest, kommt es eh zum Einsatz.

Zitat:

Ich denke da an Lesezeichen, Emails, Bilder, Musik, Filme. Kann man diese Dateien denn sicher auf der externen Platte untersuchen, bevor man sie ins System zurückkopiert?

Ziemlich sicher da die Dateien dann ja inaktiv auf der Platte liegen, d.h. bei dem Rootkit z.B. ist der Treiber zum "verstecken" nicht geladen.
Ein aktuelles Antivirenprogramm und ein zweiter Scanner ohne Hintergrundwächter z.B.
BitDefender 10 Free Edition
oder
Kaspersky - AVP Tool
so würde ich es machen, man kann aber im Vorwege viele Probleme ausschließen in dem man keine ausführbaren Dateien
und Dateien aus unsicheren Quellen wie P2P mitsichert.

Zitat:

Kannst du außerdem einen Link oder eine Anleitung posten wie man in Zukunft ev. selbst mit den logs umgehen kann?

Es gibt zu HijackThis eine Onlineauswertung die einen groben Überblick verschafft, wenn man aber ungeübt ist, kann man sich, mit etwas Mühe, das gesamte System zerlegen.
HijackThis Logfileauswertung
im Zweifel bitte immer in einem der genannten Foren nachfragen.

MFG

sfc4 · 13.02.2009, 15:48

Ok, selbst wenn also alles sauber scheint, könnte irgendein Programm noch sensible Daten nach draußen übermitteln?
Kann das dann nicht eventuell durch eine Firewall verhindert werden? Oder ist das alles etwas zu blauäugig gedacht?
Wie lautet das weitere Vorgehen für einen Säuberungsversuch?

Falls es zum Zurücksetzen auf Auslieferungszustand kommt: Wie verfahre ich jetzt genau mit den Daten? Nach der Neuaufsetzung die externe Festplatte mit welchen Programmen scannen?
BitDefender und Kaspersky?
Was jetzt runterladen und per Stick o.ä. vor dem ersten Internetzugang installieren?

Danke vielmals!

Robert

nochdigger · 13.02.2009, 16:34

Hallo

das sind ne Menge Fragen

Zitat:

Zitat von sfc4

Ok, selbst wenn also alles sauber scheint, könnte irgendein Programm noch sensible Daten nach draußen übermitteln?

Die Wahrscheinlichkeit ist zwar gering, es könnte aber sein.

Zitat:

Zitat von sfc4

Kann das dann nicht eventuell durch eine Firewall verhindert werden? Oder ist das alles etwas zu blauäugig gedacht?

Auf einem vorgeschädigtem System macht die installation keinen wirklichen Sinn, da Systemdateien z.B. häufig Netzzugriff verlangen und diese Dateien Manipuliert sein könnten.

Zitat:

Zitat von sfc4

Wie lautet das weitere Vorgehen für einen Säuberungsversuch?

Zunächst sollte Combofix ins Rennen geschickt werden und einige andere Tools, dazu aber mehr wenn es soweit ist.

Zitat:

Zitat von sfc4

Falls es zum Zurücksetzen auf Auslieferungszustand kommt: Wie verfahre ich jetzt genau mit den Daten?

Zitat:

Zitat von sfc4

Ich denke da an Lesezeichen, Emails, Bilder, Musik, Filme.

Das alles kann gesichert werden, bei den E-Mails würde ich allerdings die Anhänge genauer unter die Lupe nehmen.

Zitat:

Zitat von sfc4

Nach der Neuaufsetzung die externe Festplatte mit welchen Programmen scannen?
BitDefender und Kaspersky?

Sind beide ähnlich gut, ich hätte den Kasper genommen.
Wenn die Wechseldatenträger (MP3-Player, USB-Stick, externe Festplatte und Handy) ans frische System angeschlossen werden, sollte die Shift-Taste gedrückt sein, um eine Neuinfektion über die Autorunfunktion zu verhindern.
Diese Datenträger müssen natürlich auch geprüft werden.

Zitat:

Zitat von sfc4

Was jetzt runterladen und per Stick o.ä. vor dem ersten Internetzugang installieren?

Aber bitte auf einen sauberen Rechner runterladen

- Antivirenprogramm
- Servicepack 3 -> Downloaddetails: Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- Treiber für die Hardware wenn nicht vorhanden -> http://www.trojaner-board.de/63543-a...ibersuche.html

Die erste Seite im Netz sollte zu erst und mit dem InternetExplorer angesteuert werden.
Microsoft Windows Update
alle verfügbaren Updates installieren.
Anschließend kann man bei Adobe und Java vorbeischauen.

Zitat:

Zitat von sfc4

Danke vielmals!

Robert

Bitte

Weiter mit Combofix?

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

sfc4 · 13.02.2009, 18:17

Sehr ausführliche Antwort!
Habe erstmal bei der Säuberung weitergemacht, nach CCleaner spuckt Combofix folgendes aus:

Code:

ATTFilter

ComboFix 09-02-12.03 - Robert *** 2009-02-13 17:49:53.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3062.2327 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Robert ***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2009-01-13 bis 2009-02-13  ))))))))))))))))))))))))))))))
.

2009-02-13 17:28 . 2009-02-13 17:28	<DIR>	d--------	c:\programme\CCleaner
2009-02-12 14:17 . 2009-02-12 14:24	<DIR>	d--------	c:\programme\PC Security Test 2008
2009-02-12 11:21 . 2009-02-12 11:21	118	--a------	c:\windows\system32\MRT.INI
2009-02-12 01:20 . 2009-02-12 01:20	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\programme\SUPERAntiSpyware
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-11 19:01 . 2009-02-11 19:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-05 17:38 . 2009-02-12 00:47	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-05 17:38	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-05 17:38 . 2009-02-11 10:19	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-05 17:38 . 2009-02-11 10:19	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2009-02-05 14:31 . 2009-02-05 14:31	<DIR>	d--------	c:\programme\ClearProg
2009-02-03 14:01 . 2009-02-12 12:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-03 14:01 . 2009-01-18 22:30	64,160	--a------	c:\windows\system32\drivers\Lbd.sys
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\programme\Avira
2009-02-03 13:58 . 2009-02-03 13:58	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-15 12:51 . 2009-01-15 12:51	410,984	--a------	c:\windows\system32\deploytk.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-13 16:54	0	----a-w	c:\windows\system32\drivers\lvuvc.hs
2009-02-13 16:54	0	----a-w	c:\windows\system32\drivers\logiflt.iad
2009-02-13 16:41	---------	d-----w	c:\programme\Trillian
2009-02-13 16:41	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Skype
2009-02-13 16:39	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\uTorrent
2009-02-13 15:09	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\skypePM
2009-02-13 13:03	---------	d-----w	c:\programme\LingoPad
2009-02-12 11:29	---------	d-----w	c:\programme\Lavasoft
2009-02-11 18:01	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-03 10:42	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-20 20:31	---------	d-----w	c:\programme\Cisco Systems VPN Client
2009-01-15 11:51	---------	d-----w	c:\programme\Java
2009-01-10 13:14	---------	d-----w	c:\programme\PokerStars
2009-01-09 19:37	---------	d-----w	c:\programme\Valve
2009-01-09 03:24	---------	d-----w	c:\programme\RegCleaner
2009-01-09 02:19	---------	d-----w	c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Hamachi
2009-01-09 01:36	25,280	----a-w	c:\windows\system32\drivers\hamachi.sys
2009-01-04 16:24	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular
2009-01-04 15:41	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-01-04 15:41	---------	d-----w	c:\programme\ElsterFormular
2008-12-29 15:23	---------	d-----w	c:\programme\Gemeinsame Dateien\Logitech
2008-12-25 13:12	---------	d-----w	c:\programme\Unreal Tournament
2008-12-24 22:47	---------	d-----w	c:\programme\Quake III Arena
2008-12-24 22:13	---------	d-----w	c:\programme\Mplayer
2008-12-16 18:36	---------	d-----w	c:\programme\MediaMonkey
2003-06-26 10:19	6,598,656	----a-w	c:\programme\SAM.exe
2003-06-24 20:38	727,552	----a-w	c:\programme\mp3cutter.exe
2003-04-03 11:23	386,870	-c--a-w	c:\programme\SAM_Help_.chm
2003-04-02 14:21	905,216	-c--a-w	c:\programme\LocADO.dll
2003-04-02 13:39	641,536	-c--a-w	c:\programme\AOHikerdb.dll
2008-09-02 13:31	32,768	-csha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008090220080903\index.dat
.

------- Sigcheck -------

2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\explorer.exe
2007-06-13 14:10  1036288  331ed93570baf3cfe30340298762cd56	c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2007-06-13 14:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6	c:\windows\$NtServicePackUninstall$\explorer.exe
2004-08-04 12:00  1035264  22fe1be02eadde1632e478e4125639e0	c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 03:22  979456  bb8e0ae6833a774f4792cb8892ca92e6	c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseSVN]
@="{30351346-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351346-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseSVN]
@="{30351347-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351347-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseSVN]
@="{30351348-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{30351348-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseSVN]
@="{3035134B-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134B-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseSVN]
@="{3035134C-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134C-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseSVN]
@="{3035134D-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134D-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseSVN]
@="{3035134E-7B7D-4FCC-81B4-1E394CA267EB}"
[HKEY_CLASSES_ROOT\CLSID\{3035134E-7B7D-4FCC-81B4-1E394CA267EB}]
2008-02-16 11:35	536576	--a------	c:\programme\TortoiseSVN\bin\tortoisesvn.dll 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"RocketDock"="c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-18 630784]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TabletWizard"="c:\windows\help\SplshWrp.exe" [2008-04-14 16384]
"TabletTip"="c:\programme\Gemeinsame Dateien\microsoft shared\ink\tabtip.exe" [2008-04-14 271872]
"TrackPointSrv"="c:\programme\Lenovo\TrackPoint\tp4serv.exe" [2008-03-04 92960]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]
"GzSndExePath"="c:\program files\Gunze\GZTP_Pack\GzSnd.exe" [2006-09-12 237568]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"IBMTBCTL"="c:\program files\ThinkPad\Tablet Shortcut\IBMTBCTL.EXE" [2007-10-29 782336]
"TSMResident"="c:\program files\ThinkPad\Tablet Shortcut\TSMRESIDENT.EXE" [2007-10-29 45056]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~2\PrdCtr\LPMGR.exe" [2008-06-09 165208]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 487424]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 196696]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-08-15 143360]
"Snippet"="c:\programme\Microsoft Enhancement Pack\Snipping Tool\SnippingTool.exe" [2005-10-31 68312]
"TPFNF7"="c:\progra~1\Lenovo\NPDIRECT\TPFNF7SP.exe" [2008-07-31 60192]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2008-08-15 425984]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-10-14 623992]
"LPMailChecker"="c:\progra~1\THINKV~2\PrdCtr\LPMLCHK.exe" [2008-06-09 124248]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2008-09-25 331776]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2008-09-25 208896]
"UltraMon"="c:\programme\UltraMon\UltraMon.exe" [2006-10-12 304640]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-05 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-05 137752]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"openvpn-gui"="c:\programme\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2008-06-06 c:\windows\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2005-10-17 c:\windows\system32\TP4EX.exe]
"WD Button Manager"="WDBtnMgr.exe" [2008-04-02 c:\windows\system32\WDBtnMgr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\Robert ***\Startmen\Programme\Autostart\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 630784]
TransBar.lnk - c:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - c:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - c:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-08-18 561213]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-02-15 50688]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EnableAutoTray"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-08-16 18:07 49152 c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]
2008-04-14 03:22 47104 c:\programme\Gemeinsame Dateien\Microsoft Shared\Ink\loginkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 15:54 89600 c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 16:37 34344 c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 19:14 28672 c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]
2002-08-29 03:43 11776 c:\windows\system32\tabbtnwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]
2008-04-14 03:22 32256 c:\windows\system32\tpgwlnot.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli ACGina psqlpwd

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digital Line Detect.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digital Line Detect.lnk
backup=c:\windows\pss\Digital Line Detect.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HotSync Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HotSync Manager.lnk
backup=c:\windows\pss\HotSync Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VPN Client.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Robert ***^Startmenü^Programme^Autostart^WD Anywhere Backup Launcher.lnk]
path=c:\dokumente und einstellungen\Robert ***\Startmenü\Programme\Autostart\WD Anywhere Backup Launcher.lnk
backup=c:\windows\pss\WD Anywhere Backup Launcher.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--------- 2006-11-12 11:48 157592 c:\programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:22 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"aawservice"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"c:\\Programme\\uTorrent\\utorrent.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\ThinkPad\\ConnectUtilities\\ACMainGUI.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\TVAnts\\Tvants.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Quake III Arena\\quake3.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Unreal Tournament\\System\\UnrealTournament.exe"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Dokumente und Einstellungen\\Robert ***\\Eigene Dateien\\Downloads\\ChickenTournament\\CT.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoftware Sandra Lite XIIc\\RpcSandraSrv.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-03 64160]
R0 Shockprf;Shockprf;c:\windows\system32\drivers\ApsX86.sys [2008-05-14 114728]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [2008-05-14 19496]
R1 ANC;ANC;c:\windows\system32\drivers\ANC.sys [2007-03-22 11520]
R1 IBMTPCHK;IBMTPCHK;c:\windows\system32\drivers\IBMBLDID.sys [2007-03-22 4224]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [2007-03-22 4442]
R1 TSMSMI;Lenovo System Interface Driver;c:\windows\system32\drivers\TSMSMI32.sys [2007-03-22 6656]
R2 ACEDRV09;ACEDRV09;c:\windows\system32\drivers\ACEDRV09.sys [2007-04-13 110304]
R2 ASRSVC;ASR Service;c:\program files\ThinkPad\Tablet Shortcut\ASR\ASRSVC.exe [2008-01-12 73728]
R2 Power Manager DBC Service;Power Manager DBC Service;c:\programme\ThinkPad\Utilities\PWMDBSVC.exe [2008-08-27 94208]
R2 smihlp2;SMI Helper Driver (smihlp2);c:\programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2007-08-14 10896]
R2 TabletSVC;TABLET Service;c:\program files\ThinkPad\Tablet Shortcut\TSMService.exe [2008-01-12 69632]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [2007-02-08 569344]
R2 UltraMonUtility;UltraMon Utility Driver;c:\programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 11776]
R3 GzTpHid;Touch Panel Filter Driver;c:\windows\system32\drivers\GzTpHid.sys [2006-10-30 27008]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [2006-10-01 26624]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [2007-03-22 22568]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [2006-09-13 30336]
R3 UltraMonMirror;UltraMonMirror;c:\windows\system32\drivers\UltraMonMirror.sys [2006-09-24 3584]
R3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\drivers\wisdpen.sys [2006-10-30 28544]
S3 CpqPjb;Personal Jukebox USB Device Driver;c:\windows\system32\drivers\CPQPJB.SYS [2005-02-27 61444]
S3 palmusb;USB COM-Treiber (WDM);c:\windows\system32\drivers\palmusb.sys [2008-09-17 72800]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2008-03-06 10112]
S4 Messagcr;Messagcr;c:\temp\svchost.exe --> c:\temp\svchost.exe [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dc7767ed-bc6f-11dd-8b2f-00059a3c7800}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2009-02-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-02-13 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-09-25 01:47]

2007-03-22 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-04-11 17:38]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-NavLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.lenovo.com/welcome/thinkpad
uInternet Settings,ProxyServer = 35.9.27.26:3127
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Robert ***\Anwendungsdaten\Mozilla\Firefox\Profiles\9qj8xdqw.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\dokumente und einstellungen\Robert ***\Lokale Einstellungen\Anwendungsdaten\myVRnpapi\npmyvr.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\programme\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 17:59:47
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung

Log-Analyse und Auswertung: keine Updates von Sicherheitssoftware & gefixte Odessaweiterleitung