Trojaner-Board - XP Antispyware 2009 komplett getilgt?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - XP Antispyware 2009 komplett getilgt? (https://www.trojaner-board.de/63041-xp-antispyware-2009-komplett-getilgt.html)

XP Antispyware 2009 komplett getilgt?

Ich habe mir am Wochenende den XP Antispyware 2009 eingefangen und bin seitdem am werkeln, um das vom System zu kriegen.

Ich fahre auf dem betroffenen Laptop (ein Thinkpad) Win XP SP2 mit Firefox.

Ich habe bisher mit Antivir gescannt einiges erwischt, hab den CCleaner durchlaufen lassen und mit Malwarebyte's auch was gefunden und entfernt und zudem von Hand brastk.exe, karna.dat und die beep.sys vom System gelöscht und auch aus der Registry entfernt. Achja F-Secure BlackLight ist auch einmal durch und hat nichts gefunden, Spybot SnD ebensowenig. Systemwiederherstellung ist ebenfalls schon aus.

Anbei das Hijackthis-Log, sowie das Malewarebyte's Log als er etwas gefunden hat. Seither ist mbam nochmals durch und hat nichts mehr gefunden.

Meine Frage ist nun, muss ich das System dennoch neu aufsetzen oder gibt es noch Möglichkeiten um eventuelle Kompromitierungen zu entdecken?

Folgendes ist schon behoben und wurde beim weiteren Durchlauf nicht mehr gefunden.

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1321

Windows 5.1.2600 Service Pack 2
 

27.10.2008 13:37:42

mbam-log-2008-10-27 (13-37-36).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 148464

Laufzeit: 3 hour(s), 8 minute(s), 20 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 9
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\TDSSdbjc.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSinwu.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSjiqg.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSnraw.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSucvd.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\TDSSvubm.log (Trojan.TDSS) -> No action taken.

C:\WINDOWS\system32\TDSSyham.dll (Rootkit.Agent) -> No action taken.

C:\WINDOWS\system32\drivers\TDSScqfs.sys (Rootkit.Agent) -> No action taken.

Diese Sachen sind vom Antivir und sind auch alle runter/gelöscht (auch wenn Quarantäne da steht).

Code:

Exportierte Ereignisse:
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096264.dll'

      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096262.dll'

      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096261.dll'

      wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096260.dll'

      wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096259.dll'

      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096258.dll'

      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

      Ausgeführte Aktion: Datei löschen
 

27.10.2008 16:44 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096257.sys'

      wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

      Ausgeführte Aktion: Datei löschen
 

26.10.2008 10:02 [Scanner] Malware gefunden

      Die Datei 'E:\symbian\6630\drauf\ALON_MP3Player_2.0.zip'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 09:16 [Scanner] Malware gefunden

      Die Datei 'C:\WINDOWS\system32\dllcache\figaro.sys'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 09:13 [Scanner] Malware gefunden

      Die Datei 'C:\WINDOWS\system32\av.dat'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Agent.eaq' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 08:49 [Scanner] Malware gefunden

      Die Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0096237.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 08:49 [Scanner] Malware gefunden

      Die Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095234.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 08:49 [Scanner] Malware gefunden

      Die Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095233.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 08:49 [Scanner] Malware gefunden

      Die Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095228.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde gelöscht.
 

26.10.2008 08:49 [Scanner] Malware gefunden

      Die Datei 'C:\System Volume 

      Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095227.exe'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].

      Durchgeführte Aktion(en):

      TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET 

      EXPLORER\MAIN]:<Default_Search_URL>=sz:google.com/ie>=SZ:http://www.microsoft.co

      m/isapi/redir.dll?prd=ie&ar=iesearch.

      TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET 

      EXPLORER\MAIN]:<Search 

      Page>=sz:google.com>=SZ:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesea

      rch.

      TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET 

      EXPLORER\MAIN]:<Start Page>=sz:google.com>=SZ:about:blank.

      Die Datei wurde gelöscht.
 

26.10.2008 01:26 [Scanner] Malware gefunden

      Die Datei 'C:\IBMWORK\3GHXQJA_\RRPC\superinstall.EXE'

      enthielt einen Virus oder unerwünschtes Programm 'BDS/Backdoor.Gen' [backdoor].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4973abae.qua' 

      verschoben!
 

26.10.2008 01:22 [Scanner] Malware gefunden

      Die Datei 'C:\IBMTOOLS\APPS\RRPC\RRPC\superinstall.EXE'

      enthielt einen Virus oder unerwünschtes Programm 'BDS/Backdoor.Gen' [backdoor].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4973aa98.qua' 

      verschoben!
 

26.10.2008 01:20 [Scanner] Malware gefunden

      Die Datei 'C:\IBMTOOLS\APPS\ACCSUPT\as_setup.ex2'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.agfz' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4962aa40.qua' 

      verschoben!
 

26.10.2008 00:42 [Scanner] Malware gefunden

      Die Datei 'C:\Andre\Tools\drauf\ACDSee 6 + Powerpack + Plugins + Keygen + 

      Serial.rar'

      enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.31856.A' [trojan].

      Durchgeführte Aktion(en):

      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4947a127.qua' 

      verschoben!

Und hier noch das letzte Hijackthis-Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:57:42, on 27.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\TpShocks.exe

C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

C:\Programme\Lenovo\HOTKEY\TPONSCR.exe

C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Programme\Lenovo\Zoom\TpScrex.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

C:\WINDOWS\system32\SKDAEMON.EXE

C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\StatBar\StatBar.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\phonostar\ps_timer.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

c:\programme\lenovo\system update\suservice.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe

E:\iPhone\rootkit\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [\\***\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE

O4 - HKLM\..\Run: [UltraNav Keyboard] C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe

O4 - HKLM\..\Run: [\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NPDTRAY] C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe

O4 - HKCU\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe

O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: JiWire WiFi Monitoring (JiWireWireless) - JiWire, Inc. - c:\documents and settings\jeffrey\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
 

--

End of file - 12394 bytes

Und das sagt smitfraudfix nach einem Suchlauf und einem Cleanlauf.

Code:

SmitFraudFix v2.367
 

Scan done at 20:51:42,94, 27.10.2008

Run from E:\iPhone\rootkit\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode
 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
 
 

»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 

127.0.0.1       localhost
 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
 

S!Ri's WS2Fix: LSP not Found.
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
 

GenericRenosFix by S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» RK
 
 

»»»»»»»»»»»»»»»»»»»»»»»» DNS
 

Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport

DNS Server Search Order: 192.168.178.1
 

Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport

DNS Server Search Order: 4.2.2.4

DNS Server Search Order: 4.2.2.5

DNS Server Search Order: 4.2.2.6
 

Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport

DNS Server Search Order: 192.168.178.1
 
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""
 
 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!
 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll
 
 

»»»»»»»»»»»»»»»»»»»»»»»» End

Hallo,

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Gibts für den veralteten Systemzustand einen Grund?
Führe bitte folgendes aus:

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

soll ich das im abgesicherten Modus machen oder im Normalzustand?

Systemzustand: Bin noch nicht dazu gekommen, SP3 zu installieren und den IE nutze ich nicht mehr (Firefox)

Anbei das Combofix-Log. Er hat am Anfang eine Rootkitpräsenz gefunden, rebootet und danach weitergemacht.

Code:

ComboFix 08-10-27.01 - Grummel 2008-10-27 21:28:41.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1105 [GMT 1:00]

.
 

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Programme\INSTALL.LOG

C:\WINDOWS\system32\dao350.dll

C:\WINDOWS\system32\drivers\npf.sys

C:\WINDOWS\system32\packet.dll

C:\WINDOWS\system32\pthreadVC.dll

C:\WINDOWS\system32\wanpacket.dll

C:\WINDOWS\system32\wpcap.dll
 

.

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_NPF

-------\Legacy_TDSSSERV.SYS)

-------\Service_NPF

-------\Service_TDSSserv.sys

-------\Service_TDSSserv.sys)
 
 

(((((((((((((((((((((((((   Files Created from 2008-09-27 to 2008-10-27  )))))))))))))))))))))))))))))))

.
 

2008-10-27 21:15 . 2008-10-27 21:15        <DIR>        d--------        C:\Programme\CCleaner

2008-10-27 20:46 . 2008-10-27 20:51        5,132        --a------        C:\WINDOWS\system32\tmp.reg

2008-10-26 10:21 . 2008-10-27 13:37        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-26 10:21 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-26 10:21 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-26 09:03 . 2008-10-26 09:03        685,056        --a------        C:\WINDOWS\is-8FQIO.exe

2008-10-26 09:03 . 2008-10-26 09:03        12,782        --a------        C:\WINDOWS\is-8FQIO.msg

2008-10-26 09:03 . 2008-10-26 09:03        365        --a------        C:\WINDOWS\is-8FQIO.lst

2008-10-25 23:03 . 2008-10-25 23:03        <DIR>        d--------        C:\Programme\Avira

2008-10-25 21:39 . 2008-10-25 21:39        <DIR>        d--------        C:\Documents and Settings\Jeffrey\Application Data\Malwarebytes

2008-10-25 21:39 . 2008-10-25 21:39        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-25 19:54 . 2008-10-25 19:54        18,745        --a------        C:\WINDOWS\ebyxul.db

2008-10-25 19:54 . 2008-10-25 19:54        16,396        --a------        C:\WINDOWS\system32\abumup._dl

2008-10-25 19:54 . 2008-10-25 19:54        13,887        --a------        C:\WINDOWS\system32\abivin.scr

2008-10-25 19:54 . 2008-10-25 19:54        13,651        --a------        C:\WINDOWS\system32\ixopidadeg.com

2008-10-25 19:54 . 2008-10-25 19:54        12,916        --a------        C:\WINDOWS\dasygipov.dll

2008-10-25 19:54 . 2008-10-25 19:54        12,227        --a------        C:\WINDOWS\system32\ajure.bat

2008-10-25 19:54 . 2008-10-25 19:54        12,182        --a------        C:\WINDOWS\system32\gykahyxu.pif

2008-10-25 19:54 . 2008-10-25 19:54        11,496        --a------        C:\WINDOWS\system32\azyficyly.dat

2008-10-25 19:54 . 2008-10-25 19:54        10,907        --a------        C:\WINDOWS\system32\ubexaqupux.reg

2008-10-25 19:39 . 2008-10-25 19:39        164        --a------        C:\WINDOWS\system32\TDSSlolc.dat

2008-10-17 16:41 . 2008-10-17 16:41        <DIR>        d--------        C:\Programme\DivX

2008-10-07 10:45 . 2008-10-07 10:51        <DIR>        d--------        C:\Programme\ICQ6

2008-09-30 18:40 . 2008-09-30 18:40        <DIR>        d--------        C:\Programme\iPod

2008-09-30 18:39 . 2008-09-30 18:40        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-09-30 18:37 . 2008-09-30 18:37        <DIR>        d--------        C:\Programme\Bonjour

2008-09-30 18:29 . 2008-09-05 21:16        1,900,544        --a------        C:\WINDOWS\system32\usbaaplrc.dll
 

.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-27 20:16        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-10-25 22:03        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Avira

2008-10-25 20:00        ---------        d-----w        C:\Programme\Spybot - Search & Destroy

2008-10-25 14:02        7,892        ----a-w        C:\Programme\mplayerc.ini

2008-10-09 14:37        ---------        d-----w        C:\Documents and Settings\Jeffrey\Application Data\Skype

2008-10-07 09:51        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-10-07 09:51        ---------        d-----w        C:\Documents and Settings\Jeffrey\Application Data\ICQ

2008-10-07 09:49        ---------        d-----w        C:\Programme\ICQLite

2008-09-30 17:40        ---------        d-----w        C:\Programme\iTunes

2008-09-30 17:36        ---------        d-----w        C:\Programme\QuickTime

2008-09-30 17:35        ---------        d-----w        C:\Program Files\Common Files\Apple

2008-09-30 17:32        ---------        d-----w        C:\Programme\Apple Software Update

2008-09-05 20:16        36,864        ----a-w        C:\WINDOWS\system32\drivers\usbaapl.sys

2008-08-29 16:47        ---------        d-----w        C:\Programme\Lenovo

2008-08-29 16:46        ---------        d-----w        C:\Program Files\Common Files\Lenovo

2008-08-29 14:15        ---------        d-----w        C:\Documents and Settings\LocalService\Application Data\Intel

2008-08-29 14:15        ---------        d-----w        C:\Documents and Settings\Jeffrey\Application Data\Intel

2008-08-29 14:14        ---------        d-----w        C:\Programme\JiWire

2008-08-29 14:07        21,393        ----a-w        C:\WINDOWS\system32\drivers\AegisP.sys

2008-08-29 14:07        21,393        ----a-w        C:\WINDOWS\AegisP.sys

2008-08-29 14:06        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Intel

2008-08-29 14:05        ---------        d-----w        C:\Programme\Intel

2008-08-28 17:29        ---------        d-----w        C:\Documents and Settings\LocalService\Application Data\Avaya

2008-08-28 17:28        ---------        d-----w        C:\Documents and Settings\Jeffrey\Application Data\Avaya

2008-08-28 10:04        333,056        ----a-w        C:\WINDOWS\system32\drivers\srv.sys

2008-07-24 15:23        62,672        ----a-w        C:\Documents and Settings\Jeffrey\Application Data\GDIPFONTCACHEV1.DAT

2006-05-25 09:34        24,192        ----a-w        C:\Documents and Settings\Jeffrey\usbsermptxp.sys

2006-05-25 09:34        22,768        ----a-w        C:\Documents and Settings\Jeffrey\usbsermpt.sys

2004-03-28 17:46        1,340,416        ----a-w        C:\Programme\mplayerc.exe

2006-01-30 18:39        8,192        -csha-w        C:\WINDOWS\o2cLicStore.bin

2005-06-22 05:37        45,568        --sha-r        C:\WINDOWS\system32\cygz.dll

2006-05-03 09:06        163,328        --sh--r        C:\WINDOWS\system32\flvDX.dll

2007-02-21 10:47        31,232        --sh--r        C:\WINDOWS\system32\msfDX.dll

.
 

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StatBar"="C:\Programme\StatBar\StatBar.exe" [2003-07-25 335872]

"TPKMAPMN"="C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe" [2003-07-11 32768]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-28 110592]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-28 512000]

"TPHOTKEY"="C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]

"BMMLREF"="C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE" [2003-07-11 20480]

"TPKMAPHELPER"="C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe" [2003-09-02 897024]

"EZEJMNAP"="C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]

"UC_Start"="C:\IBMTools\Updater\ucstartup.exe" [2003-03-18 32768]

"BMMGAG"="C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2003-07-11 94208]

"BootSkin Startup Jobs"="C:\Programme\BootSkin\BootSkin.exe" [2004-04-26 270336]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"PCSuiteTrayApplication"="C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]

"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]

"\\andre\EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]

"ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-07-04 143360]

"UltraNav Keyboard"="C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe" [2007-02-09 258048]

"\andre\EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]

"TVT Scheduler Proxy"="C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]

"AppleSyncNotifier"="C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-08 289576]

"NPDTRAY"="C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe" [2007-03-09 221184]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"TpShocks"="TpShocks.exe" [2003-09-04 C:\WINDOWS\system32\TpShocks.exe]

"TP4EX"="tp4ex.exe" [2002-09-04 C:\WINDOWS\system32\TP4EX.exe]

"Hot Key Kbd Daemon"="SKDAEMON.EXE" [2003-10-11 C:\WINDOWS\system32\SKDAEMON.EXE]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]
 

C:\Documents and Settings\Jeffrey\Start Menu\Programs\Startup\

Registration-InstantCopy.lnk - C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe [2002-09-26 245760]
 

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-09-28 25214]

Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-07-29 110592]

VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-10-10 6144]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsNetHood"= 1 (0x1)
 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoEncryptOnMove"= 0 (0x0)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]

2006-09-06 15:37 34344 C:\Programme\Lenovo\HOTKEY\notifyf2.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]

2008-03-17 15:02 34080 C:\Programme\Lenovo\HOTKEY\tphklock.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]

2008-07-04 23:57 32768 C:\Programme\ThinkPad\ConnectUtilities\ACNotify.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm

"vidc.i420"= i420vfw.dll
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages        REG_MULTI_SZ           scecli ACGina
 

[HKLM\~\startupfolder\C:^Documents and Settings^Jeffrey^Start Menu^Programs^Startup^Registration-InstantCopy.lnk]

path=C:\Documents and Settings\Jeffrey\Start Menu\Programs\Startup\Registration-InstantCopy.lnk

backup=C:\WINDOWS\pss\Registration-InstantCopy.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QCTray]

--a------ 2004-03-12 12:10 663552 C:\PROGRA~1\ThinkPad\CONNEC~1\QCTRAY.EXE
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=C:\WINDOWS\System32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"ATIPTA"=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

"ATIModeChange"=Ati2mdxx.exe

"ibmmessages"=C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

"AGRSMMSG"=AGRSMMSG.exe

"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

"S3TRAY2"=S3Tray2.exe

"SSC_UserPrompt"=C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe

"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe"=

"C:\\Programme\\mIRC\\mirc.exe"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"C:\\Programme\\Skype\\Phone\\Skype.exe"=

"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"C:\\Programme\\TightVNC\\WinVNC.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)
 

R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-03-27 66686]

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2003-09-11 52136]

R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 29239]

R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2008-07-01 11520]

R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\Drivers\IBMBLDID.sys [2008-07-01 4224]

R1 TPPWR;TPPWR;C:\WINDOWS\system32\drivers\Tppwr.sys [2003-07-11 15360]

R2 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe [2008-04-07 98488]

R2 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2003-07-24 4225]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]

S2 JiWireWireless;JiWire WiFi Monitoring;c:\documents and settings\jeffrey\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe [2006-02-06 53248]

S3 DJCS;DJCS;C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\DJCS.exe [ ]

S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-10-18 154752]

S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\PCX504.sys [2004-05-04 119296]

S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2004-03-12 12288]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Contents of the 'Scheduled Tasks' folder
 

2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job

- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]
 

2008-10-27 C:\WINDOWS\Tasks\BMMTask.job

- C:\PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2003-07-11 10:34]
 

2005-10-12 C:\WINDOWS\Tasks\Symantec NetDetect.job

- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-27 14:39]

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Jeffrey\Application Data\Mozilla\Firefox\Profiles\l3r0jxdl.Standard-Benutzer\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-27 21:39:18

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ... 
 

scanning hidden autostart entries ...
 

scanning hidden files ... 
 

scan completed successfully

hidden files: 0
 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\PAStiSvc.exe

C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

C:\WINDOWS\system32\TpKmpSvc.exe

C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

C:\Programme\Lenovo\System Update\SUService.exe

C:\Programme\Lenovo\HOTKEY\TPONSCR.exe

C:\Programme\Lenovo\ZOOM\TpScrex.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

.

**************************************************************************

.

Completion time: 2008-10-27 21:58:21 - machine was rebooted [Grummel]

ComboFix-quarantined-files.txt  2008-10-27 20:58:13
 

Pre-Run: 4,440,637,440 bytes free

Post-Run: 4,377,378,816 bytes free
 

254        --- E O F ---        2008-10-25 22:32:31

Den Internet Explorer solltest du trotzdem immer aktuell halten, da er ein Teil des Systems ist.
TeaTimer schadet mehr, als man denkt, den am besten komplett deinstallieren.
Die nächsten zwei Schritte:

1.)

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Damit ist Combofix und alle weiteren Programme entfernt wurden.

2.)
SDFix anwenden:

Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
http://img.bleepingcomputer.com/swr-...ix-install.jpg
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Eine Frage:
Benötigst du Bonjour?

Bonjour.. Gute Frage. Ich kann nicht wirklich ausschließen, ob mein iPhone mit entsprechenden Apps über Bonjour kommuniziert. Daher lass ichs erstmal laufen. Anbei das SDFix-Log und das aktuelle Hijackthis-Log.

Code:

SDFix: Version 1.238 

Run by Grummel on 27.10.2008 at 23:03
 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix
 
 Checking Services :
 
 

Restoring Default Security Values

Restoring Default Hosts File
 

Rebooting
 
 
 Checking Files : 
 

Trojan Files Found:
 

C:\WINDOWS\SYSTEM32\TDSSLOLC.DAT - Deleted
 
 
 
 
 

Removing Temp Files
 
 ADS Check :

 
 
 

                                 Final Check :
 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-27 23:19:58

Windows 5.1.2600 Service Pack 2 NTFS
 

scanning hidden processes ...
 

scanning hidden services & system hive ...
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd104f24]

"00174bd2b8e4"=hex:86,72,1c,1f,1d,7d,be,15,1a,e1,2a,d7,b3,14,f6,ef

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0009dd104f24]

"00174bd2b8e4"=hex:86,72,1c,1f,1d,7d,be,15,1a,e1,2a,d7,b3,14,f6,ef
 

scanning hidden registry entries ...
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120%"
 

scanning hidden files ...
 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0
 
 
 Remaining Services :
 
 
 
 

Authorized Application Key Export:
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"

"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"

"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"

"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"

"C:\\Programme\\TightVNC\\WinVNC.exe"="C:\\Programme\\TightVNC\\WinVNC.exe:*:Enabled:TightVNC Win32 Server"
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
 Remaining Files :
 
 

File Backups: - C:\SDFix\backups\backups.zip
 
 Files with Hidden Attributes :
 

Wed 13 Oct 2004     1,694,208 ..SH. --- "C:\Programme\messenger\msmsgs.exe"

Wed 30 Jul 2008     4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Copy of SpybotSD.exe"

Thu 14 Aug 2008     1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"

Wed 30 Jul 2008     4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"

Tue 16 Sep 2008     1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"

Sun 26 Jun 2005       616,448 ..SHR --- "C:\Programme\SUPER\cygwin1.dll"

Tue 21 Jun 2005        45,568 ..SHR --- "C:\Programme\SUPER\cygz.dll"

Fri 14 Sep 2007        72,704 ..SHR --- "C:\Programme\SUPER\Setup.exe"

Fri 27 Oct 2006        16,896 A.SHR --- "C:\Programme\SUPER\_Setup.dll"

Wed 22 Jun 2005        45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"

Wed  3 May 2006       163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"

Wed 21 Feb 2007        31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"

Sat 21 Jun 2003       377,344 A..H. --- "C:\Programme\IsoBuster\Help\AHlp.exe"

Tue  4 Jun 2002        84,992 ...HR --- "C:\Programme\SUPER\mencoder\14_43260.dll"

Tue  4 Jun 2002        44,032 ...HR --- "C:\Programme\SUPER\mencoder\28_83260.dll"

Tue 10 Dec 2002        73,766 ...HR --- "C:\Programme\SUPER\mencoder\atrc3260.dll"

Tue 10 Dec 2002        65,575 ...HR --- "C:\Programme\SUPER\mencoder\cook3260.dll"

Sun  9 Jun 2002        36,864 ...HR --- "C:\Programme\SUPER\mencoder\ddnt3260.dll"

Tue  4 Jun 2002        20,480 ...HR --- "C:\Programme\SUPER\mencoder\dnet3260.dll"

Tue 10 Dec 2002       102,437 ...HR --- "C:\Programme\SUPER\mencoder\drv13260.dll"

Tue 10 Dec 2002       176,165 ...HR --- "C:\Programme\SUPER\mencoder\drv23260.dll"

Tue 10 Dec 2002       208,935 ...HR --- "C:\Programme\SUPER\mencoder\drv33260.dll"

Tue 10 Dec 2002       217,127 ...HR --- "C:\Programme\SUPER\mencoder\drv43260.dll"

Sun  9 Jun 2002        40,448 ...HR --- "C:\Programme\SUPER\mencoder\dspr3260.dll"

Sat  3 Nov 2001       225,280 ...HR --- "C:\Programme\SUPER\mencoder\ivvideo.dll"

Tue 10 Apr 2001       225,280 ...HR --- "C:\Programme\SUPER\mencoder\qtmlClient.dll"

Fri 20 Feb 2004       232,960 ...HR --- "C:\Programme\SUPER\mencoder\raac.dll"

Sun  9 Jun 2002       525,824 ...HR --- "C:\Programme\SUPER\mencoder\rnco3260.dll"

Tue 10 Dec 2002       245,805 ...HR --- "C:\Programme\SUPER\mencoder\rnlt3260.dll"

Tue 10 Dec 2002        45,093 ...HR --- "C:\Programme\SUPER\mencoder\rv103260.dll"

Tue 10 Dec 2002        98,341 ...HR --- "C:\Programme\SUPER\mencoder\rv203260.dll"

Tue 10 Dec 2002        94,247 ...HR --- "C:\Programme\SUPER\mencoder\rv303260.dll"

Tue 10 Dec 2002        90,151 ...HR --- "C:\Programme\SUPER\mencoder\rv403260.dll"

Tue 10 Dec 2002       102,439 ...HR --- "C:\Programme\SUPER\mencoder\sipr3260.dll"

Sun  9 Jun 2002        49,152 ...HR --- "C:\Programme\SUPER\mencoder\tokr3260.dll"
 
 Finished!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:31:00, on 27.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\TpShocks.exe

C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

C:\Programme\Lenovo\HOTKEY\TPONSCR.exe

C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Programme\Lenovo\Zoom\TpScrex.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

C:\WINDOWS\system32\SKDAEMON.EXE

C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\StatBar\StatBar.exe

C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Mozilla Firefox\firefox.exe

E:\iPhone\rootkit\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe

O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe

O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [\\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\***\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe

O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE

O4 - HKLM\..\Run: [UltraNav Keyboard] C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe

O4 - HKLM\..\Run: [\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\***\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NPDTRAY] C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe

O4 - HKCU\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\Yinsthelper.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)

O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe

O23 - Service: Access Connections Main Service (AcSvc) - Lenovo  - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: DJCS - Unknown owner - C:\DOCUME~1\***\LOCALS~1\Temp\DJCS.exe (file missing)

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: JiWire WiFi Monitoring (JiWireWireless) - JiWire, Inc. - c:\documents and settings\***\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
 

--

End of file - 12280 bytes

Sieht gut aus. ;)
Update dein System noch (SP3 und IE7) und führe den letzten Schritt noch aus, dann bin ich zufrieden. :D

Mit HijackThis fixen:

Öffne HijackThis
Klicke auf "do a system scan only"
Setze ein Häkchen bei:

Code:

O23 - Service: DJCS - Unknown owner - C:\DOCUME~1\***\LOCALS~1\Temp\DJCS.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
Klicke auf "fix checked"
Starte den Rechner neu

Danke erstmal. Die Updates werd ich morgen rüberprügeln. Und du meinst, dass sich soweit erstmal kein BDS o.ä. mehr versteckt? Bzw. gibts noch irgendwas, dass ich noch machen könnte?

Backdoor Server und Rogue Software kannst du klar trennen. ;)
Letzteres war bei dir der Fall.

Das Wichtigste ist, das du dein System dann updatest und auch up to date haltest (gilt auch für den IE!). Auch wichtig ist, das jede Software aktuell gehalten wird. Dies kannst du bei Secunia überprüfen.

hm najut. mir is halt nur n bissl unbehaglich, weil ich auch online-banking etc. mit diesem system mache.

Das wäre es mir sowieso permanent, da ich eh nicht der große Freund vom Online Banking bin.

Hier noch das Log vom RootkitRevealer für alle Fälle. Könnte sich das mal jemand mit Ahnung ansehen, denn das übersteigt mein Wissen doch.

Code:

HKU\.DEFAULT\Control Panel\International        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKU\.DEFAULT\Control Panel\International\Geo        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKU\S-1-5-21-3451850684-3687613942-1845728339-1005\Control Panel\International        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKU\S-1-5-21-3451850684-3687613942-1845728339-1005\Control Panel\International\Geo        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKU\S-1-5-18\Control Panel\International        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKU\S-1-5-18\Control Panel\International\Geo        10/27/2008 9:58 PM        0 bytes        Security mismatch.

HKLM\SECURITY\Policy\Secrets\SAC*        2/20/2003 6:30 PM        0 bytes        Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI*        2/20/2003 6:30 PM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*        7/1/2005 9:05 AM        0 bytes        Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName        3/5/2007 9:41 AM        26 bytes        Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        10/28/2008 1:23 PM        80 bytes        Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName        3/5/2007 9:43 AM        26 bytes        Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet003\Services\a347scsi\Config\jdgg40        3/27/2007 1:26 PM        0 bytes        Hidden from Windows API.