Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 12-01-18.04 - Toro 19.01.2012 10:23:01.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.712 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Toro\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-12-19 bis 2012-01-19 ))))))))))))))))))))))))))))))
.
.
2012-01-18 10:03 . 2012-01-18 10:03 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-01-17 20:11 . 2012-01-17 20:11 -------- d-----w- C:\_OTL
2012-01-16 22:22 . 2012-01-16 22:22 -------- d-----w- c:\programme\ESET
2012-01-15 11:36 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-01-15 11:36 . 2012-01-15 11:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-01-14 17:47 . 2012-01-14 17:47 -------- d-----w- c:\programme\Euro Truck Simulator
2012-01-14 15:39 . 2012-01-14 15:39 -------- d-----w- c:\dokumente und einstellungen\Toro\Anwendungsdaten\Malwarebytes
2012-01-14 15:39 . 2012-01-14 15:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-01-14 13:42 . 2012-01-14 13:42 -------- d-----w- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\PackageAware
2012-01-05 19:41 . 2012-01-05 19:41 -------- d-----w- c:\dokumente und einstellungen\Toro\Anwendungsdaten\Der Planer 4
2012-01-05 19:25 . 2012-01-05 19:40 -------- d-----w- c:\programme\Der Planer 4
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-25 21:57 . 2006-02-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2006-02-28 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-02-28 12:00 61952 ----a-w- c:\windows\system32\packager.exe
2011-11-14 06:23 . 2011-06-01 05:17 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2006-02-28 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-02-28 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-02-28 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-02-28 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-03 15:28 . 2006-02-28 12:00 387072 ----a-w- c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2006-02-28 12:00 1297920 ----a-w- c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-02-28 12:00 1288704 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2006-02-28 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2006-02-28 12:00 2151424 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2004-08-04 00:50 2029568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-12-21 07:42 . 2012-01-15 14:33 121816 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-10 16384000]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
"CamMonitor"="c:\programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe" [2002-10-06 90112]
"Share-to-Web Namespace Daemon"="c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Toro\Startmenü\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2010-5-1 679936]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
Reminder-hpc40415.lnk - c:\programme\HP PhotoSmart\C200-Kamera\Registration\Remind32.exe [2010-5-10 68608]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\WiselinkPro.exe"=
"c:\\Programme\\Samsung\\SAMSUNG PC Share Manager\\http_ss_win_pro.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.05.2010 17:33 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [29.06.2011 09:36 428200]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.01.2011 14:13 135664]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [01.05.2010 15:52 15104]
S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.01.2011 14:13 135664]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18.01.2012 11:03 40776]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\programme\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08.01.2009 08:38 4136960]
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-21 13:13]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-01-21 13:13]
.
2012-01-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003Core.job
- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-09-25 19:53]
.
2012-01-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1935655697-1770027372-725345543-1003UA.job
- c:\dokumente und einstellungen\Toro\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2011-09-25 19:53]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mStart Page = hxxp://de.yahoo.com
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Toro\Anwendungsdaten\Mozilla\Firefox\Profiles\xr0mrspl.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Yahoo
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
HKLM-Run-ApnUpdater - c:\programme\Ask.com\Updater\Updater.exe
AddRemove-FRITZ!DSL - c:\windows\IsUn0407.exe
AddRemove-HP PhotoSmart C200 Camera Software - c:\windows\IsUn0407.exe
AddRemove-HP PhotoSmart Photo Printing Software - c:\windows\IsUn0407.exe
AddRemove-Ulead Photo Explorer 4.2 Full - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-19 10:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b3,56,56,f2,28,21,ff,43,bc,dd,00,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b3,56,56,f2,28,21,ff,43,bc,dd,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(748)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2012-01-19 10:27:02
ComboFix-quarantined-files.txt 2012-01-19 09:27
.
Vor Suchlauf: 7 Verzeichnis(se), 126.025.031.680 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 125.980.598.272 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 31CEF20FF6642DCEEF767F4DA312DAA9
19.01.2012, 10:39
Baum-Darstellung