Hey Cosinus,
hier der Log von ComboFix.
[code]
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 11-08-10.03 - Papa 11.08.2011 11:14:25.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.142 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Papa\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Papa\Desktop\Setup.exe
c:\dokumente und einstellungen\Papa\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\encapi32.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-07-11 bis 2011-08-11 ))))))))))))))))))))))))))))))
.
.
2011-08-08 10:56 . 2011-08-08 10:56 -------- d-----w- C:\_OTL
2011-08-04 17:01 . 2011-08-04 17:01 -------- d-----w- c:\dokumente und einstellungen\Papa\Anwendungsdaten\Malwarebytes
2011-08-04 15:36 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-04 15:36 . 2011-08-04 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-08-04 15:36 . 2011-08-04 18:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-08-04 15:36 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-04 15:29 . 2011-08-04 15:29 -------- d-----w- c:\dokumente und einstellungen\Administrator
2011-07-31 22:03 . 2011-08-03 21:37 -------- d-----w- c:\windows\system32\NtmsData
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-10 08:48 . 2010-04-03 21:23 66616 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-07-10 08:48 . 2010-04-03 21:23 138192 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-06-06 11:35 . 2004-08-17 12:07 1859072 ----a-w- c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2011-03-09 247728]
"Advanced SystemCare 4"="c:\programme\IObit\Advanced SystemCare 4\ASCTray.exe" [2011-04-21 402832]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-06-18 3698688]
"BusinessOnline Log"="c:\programme\T-DSL Business\bolog.exe" [2005-06-23 622592]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Papa\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Access 97\FINDFAST.EXE [1997-10-18 111376]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCMSMMSG]
2003-08-29 03:59 122880 ----a-w- c:\windows\BCMSMMSG.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BusinessOnline Log]
2005-06-23 11:00 622592 ----a-w- c:\programme\T-DSL Business\BOLog.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DadApp]
2004-03-04 10:36 211828 ----a-w- c:\programme\Dell\AccessDirect\DadApp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
2004-04-11 10:43 53248 ------w- c:\programme\CyberLink\PowerDVD\DVDLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2004-06-18 12:31 790528 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmaTel StacMon]
2004-04-29 13:15 90169 ------w- c:\programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-03-14 01:43 83608 ----a-w- c:\programme\Java\jre1.6.0_01\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
2006-03-30 15:45 313472 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
.
R1 RsFx0150;RsFx0150 Driver;c:\windows\system32\drivers\RsFx0150.sys [03.04.2010 11:02 240608]
R2 AdvancedSystemCareService;Advanced SystemCare Service;c:\programme\IObit\Advanced SystemCare 4\ASCService.exe [02.05.2011 14:38 352656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [03.04.2010 23:23 136360]
R2 MSSQL$PERSONAL2010;SQL Server (PERSONAL2010);c:\programme\Microsoft SQL Server\MSSQL10_50.PERSONAL2010\MSSQL\Binn\sqlservr.exe [03.04.2010 20:56 42884448]
R2 SageDeploymentService;Sage Verteilungsdienst;c:\programme\Gemeinsame Dateien\Sage Software Shared\Deploymentservice.exe [08.01.2010 14:28 419480]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [09.03.2011 14:30 92592]
R3 BOAdapter;BusinessOnline PPPoE Adapter;c:\windows\system32\drivers\BOPPPoE.sys [24.02.2006 20:44 39120]
R3 BOVOLUME;BOVOLUME;c:\progra~1\T-DSLB~1\BOVOLUME.SYS [24.02.2006 20:44 9408]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 BOProtocol;BusinessOnline PPPoE Protokoll;c:\windows\system32\DRIVERS --> c:\windows\system32\DRIVERS [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S3 NETIMFLT;PANDA NDIS IM Filter Miniport;c:\windows\system32\drivers\netimflt.sys [21.10.2007 11:43 142128]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696]
S3 TS111;T-Sinus 111card Driver;c:\windows\system32\drivers\TS111NDS.sys [24.02.2006 20:56 653312]
S3 w32n5223;w32n5223 Protocol Driver;c:\programme\DT\DT 11Mbps Wireless Cardbus Card\Installer\WINXP\w32n5223.sys [12.05.2003 18:30 15104]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\programme\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08.01.2009 09:38 4136960]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [03.04.2010 20:56 44896]
S4 SQLAgent$PERSONAL2010;SQL Server-Agent (PERSONAL2010);c:\programme\Microsoft SQL Server\MSSQL10_50.PERSONAL2010\MSSQL\Binn\SQLAGENT.EXE [03.04.2010 20:56 367456]
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-11 c:\windows\Tasks\ASC4_PerformanceMonitor.job
- c:\programme\IObit\Advanced SystemCare 4\PMonitor.exe [2011-05-02 14:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
uInternet Connection Wizard,ShellNext = hxxp://www.blitzbox.de/sygate/registrierung/standard.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-BOL Master - D:\Setup.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-IKK Personalinfo Januar 2007 - c:\windows\IsUn0407.exe
AddRemove-Windows CE Services - c:\windows\ISUN0407.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-08-11 11:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\BOProtocol]
"ImagePath"="system32\DRIVERS"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1454471165-1547161642-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~�*]
"7040C10900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2011-08-11 11:27:31
ComboFix-quarantined-files.txt 2011-08-11 09:27
.
Vor Suchlauf: 18 Verzeichnis(se), 31.336.407.040 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 31.477.227.520 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 1113C6FEAD806F82B629E8BF3E02EE85
--- --- ---
Baum-Darstellung