Hallo! Anbei die Ausgabe von ComboFix: (Upload hat geklappt)
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 12-12-20.02 - meikek 20.12.2012 21:01:45.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1387 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\meikek\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\meikek\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: FireWall *Enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
file zipped: c:\windows\pss\0.8829028754663306.exe.lnkStartup
file zipped: c:\windows\system32\rcimlbyb.dll
file zipped: c:\windows\Tasks\vrvoso.job
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\pss\0.8829028754663306.exe.lnkStartup
c:\windows\system32\rcimlbyb.dll
c:\windows\Tasks\vrvoso.job
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-11-20 bis 2012-12-20 ))))))))))))))))))))))))))))))
.
.
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\meikek\Anwendungsdaten\Malwarebytes
2012-12-16 19:55 . 2012-12-16 19:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-12-15 21:24 . 2012-12-15 22:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2012-12-15 21:23 . 2009-01-25 11:14 15224 ----a-w- c:\windows\system32\sdnclean.exe
2012-12-15 21:23 . 2012-12-15 21:24 -------- d-----w- c:\programme\Spybot - Search & Destroy 2
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- c:\windows\ERUNT
2012-12-15 21:00 . 2012-12-15 21:00 -------- d-----w- C:\JRT
2012-12-13 11:12 . 2012-12-13 11:12 -------- d--h--w- c:\windows\PIF
2012-12-07 15:19 . 2012-12-13 04:44 262112 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-12-07 15:19 . 2012-12-13 04:44 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
2012-12-07 15:19 . 2012-12-13 04:44 4220896 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-12-07 15:19 . 2012-12-13 04:44 58848 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2012-12-07 15:19 . 2012-12-13 04:44 472544 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2012-12-07 15:19 . 2012-12-13 04:44 192728 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice_installer.exe
2012-12-07 15:19 . 2012-12-13 04:44 15840 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2012-12-07 15:19 . 2012-12-13 04:44 124896 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
2012-12-07 15:19 . 2012-12-13 04:44 115168 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice.exe
2012-12-07 15:19 . 2012-12-13 04:44 2397152 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2012-12-07 15:19 . 2012-12-13 04:44 810976 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2012-11-25 10:07 . 2012-11-25 10:08 -------- dc-h--w- c:\windows\ie8
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 21:30 . 2012-04-28 19:31 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-15 21:30 . 2011-05-22 14:36 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-11-13 11:55 . 2004-08-04 10:00 1866496 ----a-w- c:\windows\system32\win32k.sys
2012-11-13 08:37 . 2011-10-11 11:37 92008 ----a-w- c:\windows\system32\drivers\avfwim.sys
2012-11-13 08:37 . 2011-10-11 11:37 112584 ----a-w- c:\windows\system32\drivers\avfwot.sys
2012-11-06 00:41 . 2004-08-04 10:00 290560 ----a-w- c:\windows\system32\atmfd.dll
2012-11-02 02:02 . 2004-08-04 10:00 375296 ----a-w- c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2006-03-04 03:34 916992 ----a-w- c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-04 10:00 43520 ------w- c:\windows\system32\licmgr10.dll
2012-11-01 12:17 . 2004-08-04 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-11-01 00:35 . 2004-08-04 10:00 385024 ------w- c:\windows\system32\html.iec
2012-10-26 10:09 . 2012-10-26 10:09 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-10-26 10:09 . 2012-10-26 10:09 477168 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-10-26 10:09 . 2010-06-12 12:12 473072 ----a-w- c:\windows\system32\deployJava1.dll
2012-10-02 18:04 . 2004-08-04 10:00 58368 ----a-w- c:\windows\system32\synceng.dll
2012-12-13 04:44 . 2012-12-07 15:19 262112 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"nwiz"="nwiz.exe" [2007-04-12 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="e:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"MMTray"="MMTray.exe" [2001-11-09 53248]
"TrueImageMonitor.exe"="e:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-09-15 4353088]
"AcronisTimounterMonitor"="e:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-09-15 962456]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-09-15 165144]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-07-31 348664]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"iTunesHelper"="e:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"QuickTime Task"="e:\programme\QuickTime\qttask.exe" [2012-04-18 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-09-17 254896]
"SDTray"="c:\programme\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^phase-6 Reminder.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 -c----r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-05-10 10:08 16342528 -c----r- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW20]
2006-12-15 02:58 208896 ----a-r- c:\windows\system32\sw20.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SW24]
2006-12-15 02:58 69632 ----a-r- c:\windows\system32\sw24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
2006-12-15 02:59 217088 ----a-r- c:\windows\system32\WinSys2.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"e:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"c:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
.
R0 snapman378;Acronis Snapshots Manager (Build 378);c:\windows\system32\drivers\snman378.sys [10.01.2010 01:27 134272]
R0 tdrpman124;Acronis Try&Decide and Restore Points filter (build 124);c:\windows\system32\drivers\tdrpm124.sys [10.01.2010 01:28 950848]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [11.10.2011 12:37 112584]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [11.10.2011 12:37 36000]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 AntiVirFirewallService;Avira FireWall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [11.10.2011 12:37 619472]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [11.10.2011 12:37 375760]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.10.2011 12:37 86224]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [11.10.2011 12:37 465360]
R2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [15.12.2012 22:23 1103392]
R2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [15.12.2012 22:23 1369624]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [11.10.2011 12:37 92008]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [15.12.2012 22:24 168384]
S3 CFcatchme;CFcatchme;\??\c:\dokume~1\meikek\LOKALE~1\Temp\CFcatchme.sys --> c:\dokume~1\meikek\LOKALE~1\Temp\CFcatchme.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-28 21:30]
.
2012-12-20 c:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDUpdate.exe [2012-12-15 13:08]
.
2012-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-04-05 17:45]
.
2012-12-15 c:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDImmunize.exe [2012-12-15 13:07]
.
2012-12-15 c:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- c:\programme\Spybot - Search & Destroy 2\SDScan.exe [2012-12-15 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\meikek\Anwendungsdaten\Mozilla\Firefox\Profiles\le3w3ys1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - ExtSQL: 2012-10-26 12:09; jqs@sun.com; c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - ExtSQL: 2012-10-26 12:09; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
FF - ExtSQL: !HIDDEN! 2010-12-05 09:25; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-20 21:09
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(1092)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(3876)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\FRITZ!DSL\IGDCTRL.EXE
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-20 21:12:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-12-20 20:12
.
Vor Suchlauf: 4.269.428.736 Bytes frei
Nach Suchlauf: 4.262.981.632 Bytes frei
.
- - End Of File - - AD423C1CB4967219419DEB432C38BEF8
Hochladen war erfolgreich
20.12.2012, 21:18
Baum-Darstellung