| |
| |||||||
Log-Analyse und Auswertung: SubSeven Malware?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.12.2009, 16:30
| #1 |
 |  SubSeven Malware? Hi, mein Bruder hat unglücklicherweise einige Fernverwaltungsprogramme auf meinem PC ausprobieren wollen, eigentlich ausschließlich legale, nur leider war auch Subseven dabei; als ich den Dateinamen auf dem PC sah, habe ich natürlich sofort AntiVir angeschmissen, was auch einige Dateien erkannt hat, die ich entfernt habe; der SpyDoctor hat etwa 300 Infizierungen erkannt; leider habe ich ja nicht die Lizenz für diesen, daher habe ich es separat aus der Registry gelöscht (indem ich die regedit.exe in .com änderte); jetzt bin ich mir aber eben nicht sicher, ob auch das trojanische Pferd tatsächlich auf meinem PC war, also, ob tatsächlich uach jemand Zugriff hatte, oder ob es "nur" das Programm war (bei soetwas schlagen Virenprogramm ja auch Alarm); man soll ja auch etwasw in der win.ini-Datei ändern; da war bei mir aber überhaupt nichts zu ändern, weil hinter =load und =run (ich glaube, da sollte man schauen) gar nichts stand bzw. load und run stand dort gar nicht. Was muss ich jetzt noch beachten? Oder muss ich tatsächlich neu formatieren? Wie wahrscheinlich ist jetzt überhaupt eine Infektion, wenn die Setup von Subseven selbst genutzt wurde, das Programm also installiert wurde? Hier das Log: --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:29:21, on 21.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\ICQ6.5\ICQ.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE C:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox 2\firefox.exe C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080 R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu257\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Engine\16.7.2.11\IPSBHO.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Download by Arles Download Manager - C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Crawler Search - tbr:iemenu O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132771464828 O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.7.2.11\ccSvcHst.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe -- End of file - 12391 bytes Vielen Dank für eure Hilfe! |
|
22.12.2009, 11:19
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | SubSeven Malware? Hallo und
__________________ Du solltest Norton AV deinstallieren und AntiVir behalten, nur wenige Virenscanner mit Hintergrundwächter vertragen sich. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
|
22.12.2009, 11:36
| #3 |
| | SubSeven Malware? sub7 ist so alt, er wurde gecodet, als noch ganz andere Betriebssysteme modern waren. Auf XP war sub7 nie richtig lauffähig, deshalb denke ich nicht, dass Du mit sub7 infiziert warst/bist.
__________________trotzdem kannst Du natürlich infiziert sein. Arne, bin schon wieder weg. 
__________________ |
|
25.12.2009, 18:01
| #4 |
| | SubSeven Malware? So hier die Logfiles (das Malwarebytes Programm habe ich jedoch vor dem CCCleaner ausgeführt); ich hoffe, es ist so in Ordnung mit den Files (hijack ist im ersten Beitrag; ich hoffe ich habe auch alle Namen anonymisiert; sonst bitte noch mal sagen). Vielen Dank für eure Hilfe! |
|
26.12.2009, 16:54
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | SubSeven Malware? 1.) Funde mit Malwarebytes entfernt? Da steht überall "no action taken" 2.) Was willst Du mit den Toolbars? ICQ, Yahoo, Google, PC-Tools?  Das ist idR unnötiger/unnützer Ballast, nach Möglichkeit deinstallieren! 3.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten: Code:
ATTFilter C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys
Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus. Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ Logfiles bitte immer in CODE-Tags posten |
|
26.12.2009, 22:37
| #6 |
| | SubSeven Malware? Hi, 1) Ja, habe ich alles entfernt; im Anhang ist noch einmal ein ganz aktuelles File. 2) Dann werde ich die wohl mal deinstallieren  3) zu taksman.exe -> http://www.virustotal.com/de/analisis/adfd871f1f50dc7953443fb6cc1882d2650f4dfc01e08bebcb6749557ccca33b-1261862910 (ich hoffe, das ist so richtig mit dem Link) update.exe und a90otbdk.sys habe ich nicht mehr gefunden. Leider gibt es ein Problem mit dem Log S&D Programm; wenn ich doppelklicke, erscheint kurz ein blaues Fenster, wo dann kurz kurz steht. Parameter falsch. Dann schließt es sich, und es kommt nichts mehr. |
|
26.12.2009, 23:21
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | SubSeven Malware? Die taksman.exe dürfte neue Malware sein, bitte bei uns hochladen! (Anleitung) Mach danach bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.12.2009, 01:35
| #8 |
| | SubSeven Malware? So, ich habe die Datei hochgeladen; muss ich sie denn jetzt separat löschen?`Das habe ihc noch nicht gemacht; ich habe vom ComboFix zwei Logs, weil ich den ersten Durchgang versentlich ohne Internetverbindung gemacht habe; ich poste daher beide. ComboFix 09-12-26.01 - *** 27.12.2009 1:07.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.565 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-3540043398-1865561849-1674238358-1003 c:\windows\Fonts\Setup\SETUPLNG.DLL c:\windows\system32\SIntf16.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-11-27 bis 2009-12-27 )))))))))))))))))))))))))))))) . 2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD 2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 20:47 . 2009-12-26 21:56 -------- d-----w- c:\programme\NortonInstaller 2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys 2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll 2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit 2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner 2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro 2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler 2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2009-12-20 11:43 . 2009-12-20 11:43 1920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_180001704B9E6FD48A54ACFA0D394E77.dll 2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_18555481990E8AB4CBB63FB4F26006C0.dll 2009-12-20 11:43 . 2009-12-20 11:43 1172 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0F007175D9BDA3B40BD3531AB45B39F9.dll 2009-12-20 11:43 . 2009-12-20 11:43 41 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_096825A1D2A65CB41B34C8A48E1DD969.dll 2009-12-20 11:43 . 2009-12-20 11:43 152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0E23E40C6140D434FA9B96967D309AFE.dll 2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0DC1503A46F231838AD88BCDDC8E8F7C.dll 2009-12-20 11:43 . 2009-12-20 11:43 769 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_01E4D47B488600000000000000001030.dll 2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns 2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files 2009-12-19 18:41 . 2003-12-19 18:41 105984 --s---w- c:\windows\system32\taksman.exe 2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP 2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe 2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox 2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe 2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup 2009-12-27 00:01 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2 2009-12-26 23:57 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec 2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX 2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google 2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor 2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-12-20 16:15 . 2009-10-21 19:54 -------- d-----w- c:\programme\Ask.com 2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab 2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial 2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue 2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet 2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon 2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager 2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat 2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat 2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming 2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys 2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe 2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe 2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll 2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll 2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll 2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll 2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys 2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys 2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip 2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll 2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll 2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys 2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NSS"="c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" [2009-12-26 634792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk backup=c:\windows\pss\TrayMin220.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe backup=c:\windows\pss\Microsoft.exeStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe backup=c:\windows\pss\PowerReg Scheduler.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] 2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client] 2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget] 2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray] 2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor] 2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] 2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza] 2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] 2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "CLSched"=2 (0x2) "CyberLink Media Library Service"=2 (0x2) "CLCapSvc"=2 (0x2) "iPodService"=3 (0x3) "ISSVC"=2 (0x2) "RichVideo"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\Msmsgs.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Shareaza\\Shareaza.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\SmartFTP Client\\SmartFTP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336] R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289] R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.07.2008 17:52 222968] R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064] S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624] S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040] S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080 uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) Notify-WgaLogon - (no file) MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe MSConfigStartUp-Micosoft Systems - c:\windows\System32\update.exe MSConfigStartUp-SpywareTerminatorUpdate - c:\programme\Spyware Terminator\SpywareTerminatorUpdate.exe ActiveSetup-xalhj - c:\windows\system32\xalhj.exe AddRemove-MP3-Cutter - c:\programme\MP3-Cutter\Uninst.isu ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(720) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-12-27 01:16:54 ComboFix-quarantined-files.txt 2009-12-27 00:16 Vor Suchlauf: 20 Verzeichnis(se), 132.672.589.824 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 136.331.988.992 Bytes frei - - End Of File - - A805F4DF382CC1FDA2676458FE5476B0 --- ComboFix 09-12-26.01 - *** 27.12.2009 1:20.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.528 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2009-11-27 bis 2009-12-27 )))))))))))))))))))))))))))))) . 2009-12-27 00:06 . 2009-12-27 00:17 -------- d-----w- C:\Cofi 2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD 2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 20:47 . 2009-12-26 21:56 -------- d-----w- c:\programme\NortonInstaller 2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys 2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll 2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit 2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner 2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro 2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler 2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2009-12-20 11:43 . 2009-12-20 11:43 1920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_180001704B9E6FD48A54ACFA0D394E77.dll 2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_18555481990E8AB4CBB63FB4F26006C0.dll 2009-12-20 11:43 . 2009-12-20 11:43 1172 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0F007175D9BDA3B40BD3531AB45B39F9.dll 2009-12-20 11:43 . 2009-12-20 11:43 41 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_096825A1D2A65CB41B34C8A48E1DD969.dll 2009-12-20 11:43 . 2009-12-20 11:43 152 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0E23E40C6140D434FA9B96967D309AFE.dll 2009-12-20 11:43 . 2009-12-20 11:43 10 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_0DC1503A46F231838AD88BCDDC8E8F7C.dll 2009-12-20 11:43 . 2009-12-20 11:43 769 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan\icn_01E4D47B488600000000000000001030.dll 2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns 2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files 2009-12-19 18:41 . 2003-12-19 18:41 105984 --s---w- c:\windows\system32\taksman.exe 2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP 2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe 2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox 2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe 2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-27 00:17 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2 2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup 2009-12-26 23:57 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec 2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX 2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google 2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor 2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-12-20 16:15 . 2009-10-21 19:54 -------- d-----w- c:\programme\Ask.com 2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab 2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial 2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue 2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet 2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon 2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager 2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat 2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat 2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming 2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys 2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe 2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe 2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll 2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll 2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll 2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll 2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys 2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys 2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip 2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll 2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll 2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys 2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NSS"="c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe" [2009-12-26 634792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk backup=c:\windows\pss\TrayMin220.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe backup=c:\windows\pss\Microsoft.exeStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe backup=c:\windows\pss\PowerReg Scheduler.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] 2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client] 2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget] 2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray] 2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor] 2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] 2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza] 2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] 2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "CLSched"=2 (0x2) "CyberLink Media Library Service"=2 (0x2) "CLCapSvc"=2 (0x2) "iPodService"=3 (0x3) "ISSVC"=2 (0x2) "RichVideo"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\Msmsgs.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Shareaza\\Shareaza.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\SmartFTP Client\\SmartFTP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336] R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289] R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [01.07.2008 17:52 222968] R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064] S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624] S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040] S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080 uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-27 01:25 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(720) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1776) c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui c:\windows\system32\ieframe.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-12-27 01:27:17 ComboFix-quarantined-files.txt 2009-12-27 00:27 ComboFix2.txt 2009-12-27 00:16 Vor Suchlauf: 23 Verzeichnis(se), 136.326.447.104 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 136.313.110.528 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptOut - - End Of File - - 85401AA3B5FAF709D8A06AC5011ADA92 |
|
27.12.2009, 16:06
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | SubSeven Malware? Bitte mal den Avenger anwenden: Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) und benenne es beim Herunterladen bitte um in "gehweg.exe". 2.) Entpack das zip-Archiv, führe die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter folders to delete:
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
c:\programme\Ask.com
files to delete:
c:\programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys
drivers to delete:
ICQ Service
a90otbdk
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Lad bitte die Datei c:\avenger\backup.zip bei gile-upload.net hoch und verlink es hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.12.2009, 19:35
| #10 |
| | SubSeven Malware? Hier ist das Logfile - ich habe es zwei Mal benutzt, daher ist das jetzt hier das zweite Logfile; hier der Link (das ist das erste Backup) - hoffentlich ist das so in Ordnung; ich war erst etwas verwundert, weil ja so etwas kryptisches im Wordpad zunächst rauskommt, daher hatte ich es noch einmal gemacht. http://www.file-upload.net/download-2109459/backup.zip.html L o g f i l e o f T h e A v e n g e r V e r s i o n 2 . 0 , ( c ) b y S w a n d o g 4 6 h t t p : / / s w a n d o g 4 6 . g e e k s t o g o . c o m P l a t f o r m : W i n d o w s X P * * * * * * * * * * * * * * * * * * * S c r i p t f i l e o p e n e d s u c c e s s f u l l y . S c r i p t f i l e r e a d s u c c e s s f u l l y . B a c k u p s d i r e c t o r y o p e n e d s u c c e s s f u l l y a t C : \ A v e n g e r * * * * * * * * * * * * * * * * * * * B e g i n n i n g t o p r o c e s s s c r i p t f i l e : R o o t k i t s c a n a c t i v e . N o r o o t k i t s f o u n d ! E r r o r : f o l d e r " c : \ d o k u m e n t e u n d e i n s t e l l u n g e n \ A l l U s e r s \ A n w e n d u n g s d a t e n \ S e c T a s k M a n " n o t f o u n d ! D e l e t i o n o f f o l d e r " c : \ d o k u m e n t e u n d e i n s t e l l u n g e n \ A l l U s e r s \ A n w e n d u n g s d a t e n \ S e c T a s k M a n " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : f o l d e r " c : \ p r o g r a m m e \ A s k . c o m " n o t f o u n d ! D e l e t i o n o f f o l d e r " c : \ p r o g r a m m e \ A s k . c o m " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : f i l e " c : \ p r o g r a m m e \ I C Q 6 T o o l b a r \ I C Q S e r v i c e . e x e " n o t f o u n d ! D e l e t i o n o f f i l e " c : \ p r o g r a m m e \ I C Q 6 T o o l b a r \ I C Q S e r v i c e . e x e " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ t a k s m a n . e x e " n o t f o u n d ! D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ t a k s m a n . e x e " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ u p d a t e . e x e " n o t f o u n d ! D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ u p d a t e . e x e " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ a 9 0 o t b d k . s y s " n o t f o u n d ! D e l e t i o n o f f i l e " C : \ W I N D O W S \ s y s t e m 3 2 \ d r i v e r s \ a 9 0 o t b d k . s y s " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : r e g i s t r y k e y " \ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ I C Q S e r v i c e " n o t f o u n d ! D e l e t i o n o f d r i v e r " I C Q S e r v i c e " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t E r r o r : r e g i s t r y k e y " \ R e g i s t r y \ M a c h i n e \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ a 9 0 o t b d k " n o t f o u n d ! D e l e t i o n o f d r i v e r " a 9 0 o t b d k " f a i l e d ! S t a t u s : 0 x c 0 0 0 0 0 3 4 ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D ) - - > t h e o b j e c t d o e s n o t e x i s t C o m p l e t e d s c r i p t p r o c e s s i n g . * * * * * * * * * * * * * * * * * * * F i n i s h e d ! T e r m i n a t e . |
|
28.12.2009, 08:20
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | SubSeven Malware? Also irgendwie klappte das nicht mit dem Avenger  Bitte das hier mal machen: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter KILLALL::
Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
c:\programme\Ask.com
File::
c:\programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\taksman.exe
C:\WINDOWS\system32\update.exe
C:\WINDOWS\system32\drivers\a90otbdk.sys
Driver::
ICQ Service
a90otbdk
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (28.12.2009 um 08:39 Uhr) |
|
28.12.2009, 15:45
| #12 |
| | SubSeven Malware? Aber warum soll es denn nicht geklappt haben mit dem Avenger? Es war ja der zweite Durchlauf, vllt. sind die Dateien deshalb nicht gefunden worden? Hatte ja leider das erste nicht gespeichert. Aber hier das Combolog: --- ComboFix 09-12-27.03 - *** 28.12.2009 15:25:39.3.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.555 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\programme\ICQ6Toolbar\ICQ Service.exe" "c:\windows\system32\drivers\a90otbdk.sys" "c:\windows\system32\taksman.exe" "c:\windows\system32\update.exe" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ICQ_SERVICE ((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 )))))))))))))))))))))))))))))) . 2009-12-28 14:20 . 2009-12-28 14:23 -------- d-----w- C:\Cofi20873C 2009-12-27 00:06 . 2009-12-27 00:17 -------- d-----w- C:\Cofi 2009-12-26 21:36 . 2009-12-26 21:36 -------- d-----w- C:\Lop SD 2009-12-26 10:15 . 2009-12-26 10:15 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 17:31 . 2009-11-14 00:49 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys 2009-12-25 17:31 . 2009-11-14 00:49 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2009-12-25 17:31 . 2009-11-14 00:49 129784 ------w- c:\windows\system32\pxafs.dll 2009-12-25 17:30 . 2009-12-25 17:30 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2009-12-25 17:30 . 2009-12-25 17:47 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-12-25 16:54 . 2009-12-25 17:00 -------- d-----w- C:\rsit 2009-12-25 16:34 . 2009-12-25 16:35 -------- d-----w- c:\programme\CCleaner 2009-12-25 12:48 . 2009-12-25 12:48 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Threat Expert 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-21 16:26 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-21 16:26 . 2009-12-21 16:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-20 15:25 . 2009-12-20 15:25 -------- d-----w- c:\programme\Trend Micro 2009-12-20 15:02 . 2009-12-25 12:53 -------- d-----w- c:\programme\Crawler 2009-12-20 14:35 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\PC Tools 2009-12-20 14:29 . 2009-12-20 14:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools 2009-12-20 11:36 . 2009-12-20 11:36 -------- d-----w- C:\Autoruns 2009-12-19 18:49 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 4.0 Setup Files 2009-12-19 18:12 . 2009-12-19 18:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SmartFTP 2009-12-19 18:12 . 2009-12-19 18:49 -------- d-----w- c:\programme\SmartFTP Client 2009-12-14 18:17 . 2009-12-14 18:17 89845 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Uninstall.exe 2009-12-14 18:17 . 2009-12-20 11:10 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox 2009-12-12 00:38 . 2009-12-12 00:38 21953384 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe 2009-12-09 01:19 . 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-28 14:33 . 2007-05-31 21:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-12-28 14:11 . 2009-06-22 18:11 -------- d-----w- c:\programme\Mozilla Firefox 2 2009-12-27 18:08 . 2008-07-01 16:52 -------- d-----w- c:\programme\ICQ6Toolbar 2009-12-27 00:13 . 2007-01-05 23:32 -------- d-----w- c:\windows\Fonts\Setup 2009-12-26 10:16 . 2005-11-22 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec 2009-12-25 17:47 . 2006-01-31 10:35 -------- d-----w- c:\programme\DivX 2009-12-25 17:32 . 2007-05-31 21:15 -------- d-----w- c:\programme\Google 2009-12-24 12:03 . 2009-12-20 14:29 -------- d-----w- c:\programme\Spyware Doctor 2009-12-22 17:49 . 2009-06-30 18:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton 2009-12-22 17:47 . 2005-11-22 21:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-12-20 15:14 . 2007-05-11 22:19 -------- d-----w- c:\programme\FDRLab 2009-12-20 15:14 . 2007-05-11 22:18 -------- d-----w- c:\programme\UZC Trial 2009-12-20 14:35 . 2009-12-20 14:29 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Uniblue 2009-12-20 14:32 . 2009-12-20 14:32 -------- d-----w- c:\programme\Uniblue 2009-12-20 14:25 . 2008-05-27 15:50 -------- d-----w- c:\programme\FlashGet 2009-12-20 14:13 . 2006-08-04 21:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon 2009-12-20 11:43 . 2005-12-17 16:50 -------- d-----w- c:\programme\Security Task Manager 2009-12-19 17:55 . 2008-07-01 16:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ICQ 2009-12-11 17:31 . 2009-08-08 16:39 122552 ----a-w- c:\dokumente und einstellungen\the storm 2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-11 13:02 . 2005-11-07 08:38 566590 ----a-w- c:\windows\system32\perfh007.dat 2009-12-11 13:02 . 2005-11-07 08:38 123086 ----a-w- c:\windows\system32\perfc007.dat 2009-12-07 18:38 . 2009-11-07 22:23 79488 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-12-07 16:47 . 2009-08-31 18:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-11-26 20:44 . 2009-11-26 20:41 -------- d-----w- c:\programme\PartyGaming 2009-11-14 00:49 . 2006-01-31 10:35 43528 ------w- c:\windows\system32\drivers\PxHelp20.sys 2009-11-14 00:49 . 2006-01-31 10:35 120056 ------w- c:\windows\system32\pxcpyi64.exe 2009-11-14 00:49 . 2006-01-31 10:35 118520 ------w- c:\windows\system32\pxinsi64.exe 2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll 2009-11-10 09:28 . 2009-12-20 14:35 149456 ----a-w- c:\windows\SGDetectionTool.dll 2009-11-10 09:28 . 2009-12-20 14:35 1640400 ----a-w- c:\windows\PCTBDCore.dll 2009-11-10 09:28 . 2009-12-20 14:35 165840 ----a-w- c:\windows\PCTBDRes.dll 2009-11-09 10:20 . 2009-12-20 14:30 207792 ----a-w- c:\windows\system32\drivers\PCTCore.sys 2009-10-30 10:11 . 2009-12-20 14:30 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys 2009-10-28 00:36 . 2009-12-20 14:35 1152444 ----a-w- c:\windows\UDB.zip 2009-10-21 05:38 . 2005-11-07 08:37 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2005-11-07 08:37 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-18 01:14 . 2009-10-18 01:14 2117632 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Python25.dll 2009-10-13 10:32 . 2005-11-07 08:37 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2005-11-07 08:37 79872 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:38 . 2005-11-07 08:37 150528 ----a-w- c:\windows\system32\rastls.dll 2009-10-06 15:31 . 2009-12-20 14:30 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys 2006-05-03 09:06 . 2007-11-17 21:27 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2007-11-17 21:27 31232 --sh--r- c:\windows\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-12-09 01:19 94208 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-24 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952] "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 14854144] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Office-Bibliothek-Direktsuche.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Office-Bibliothek-Direktsuche.lnk backup=c:\windows\pss\Office-Bibliothek-Direktsuche.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk backup=c:\windows\pss\TrayMin220.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=c:\windows\pss\Adobe Gamma.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Dropbox.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Dropbox.lnk backup=c:\windows\pss\Dropbox.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Microsoft.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\Microsoft.exe backup=c:\windows\pss\Microsoft.exeStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^PowerReg Scheduler.exe] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\PowerReg Scheduler.exe backup=c:\windows\pss\PowerReg Scheduler.exeStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AIM] 2002-11-14 00:50 61440 ----a-w- c:\programme\AIM95\aim.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client] 2006-12-13 14:15 2785256 ----a-w- c:\programme\Babylon\Babylon-Pro\Babylon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2008-04-14 02:22 15360 ------w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_14546890] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07DXLRD_663703] 2006-06-12 20:00 351000 ----a-w- c:\programme\Microsoft Encarta\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flashget] 2007-09-25 09:29 2007088 ----a-w- c:\programme\FlashGet\flashget.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray] 2009-11-18 11:47 1243088 ----a-w- c:\programme\Spyware Doctor\pctsTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2006-02-23 13:45 278528 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor] 2006-11-03 09:01 319488 ----a-w- c:\windows\Philips\SPC220NC\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2005-08-31 19:27 1658592 ----a-w- c:\progra~1\MESSEN~1\Msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] 2005-11-01 11:23 143360 ------w- c:\programme\CyberLink\PowerCinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2006-04-29 13:43 155648 ----a-w- c:\programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] 2005-04-15 15:13 45056 -c--a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza] 2007-02-05 03:05 4354048 -c--a-w- c:\programme\Shareaza\Shareaza.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-06-15 11:56 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-06-24 15:39 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 2005-11-28 20:09 180269 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] 2005-08-18 10:49 307200 ----a-r- c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "CLSched"=2 (0x2) "CyberLink Media Library Service"=2 (0x2) "CLCapSvc"=2 (0x2) "iPodService"=3 (0x3) "ISSVC"=2 (0x2) "RichVideo"=3 (0x3) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\Msmsgs.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"= "c:\\Programme\\CyberLink\\PowerCinema\\PCMService.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FlashGet\\flashget.exe"= "c:\\Programme\\Shareaza\\Shareaza.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Dokumente und Einstellungen\\***\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"= "c:\\Programme\\SmartFTP Client\\SmartFTP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 878BDA;DVB-TV 878 BDA Driver;c:\windows\system32\drivers\878BDA.sys [07.11.2005 09:45 78336] R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [20.12.2009 15:30 207792] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07.07.2006 14:24 611064] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [31.08.2009 19:53 108289] R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [20.12.2009 15:35 112592] R3 PhilCap;PhilCap service;c:\windows\system32\drivers\PhilCap.sys [07.11.2005 09:45 787840] S2 gupdate1ca8587f132a42c;Google Update Service (gupdate1ca8587f132a42c);c:\programme\Google\Update\GoogleUpdate.exe [25.12.2009 18:30 133104] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [20.12.2009 15:29 359624] S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [07.11.2005 09:45 215040] S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [09.09.2008 16:58 507136] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyServer = ftp=192.168.0.1:4480;http=192.168.0.1:4480;https=192.168.0.1:4480;socks=192.168.0.1:1080 uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com IE: &Alles mit FlashGet laden - c:\programme\FlashGet\jc_all.htm IE: &Download by Arles Download Manager - c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Ariel Download Manager\DownloadManager.htm IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: &Mit FlashGet laden - c:\programme\FlashGet\jc_link.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ocmzychx.Standard-Benutzer\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-NSS - c:\programme\NortonInstaller\{397E31AA-0D78-4649-A01C-339D73A2ED35}\NSS\LicenseType\2.3.0.44\InstStub.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-28 15:34 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys sptd.sys >>UNKNOWN [0x86F8A73C]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf767af28 \Driver\ACPI -> ACPI.sys @ 0xf73eccb8 \Driver\atapi -> atapi.sys @ 0xf73a7b40 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8 NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7260bb0 PacketIndicateHandler -> NDIS.sys @ 0xf726da21 SendHandler -> NDIS.sys @ 0xf724b87b user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(772) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2188) c:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui c:\windows\system32\ieframe.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\Ati2evxx.exe c:\windows\RTHDCPL.EXE c:\programme\Microsoft ActiveSync\Wcescomm.exe c:\progra~1\MICROS~3\rapimgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-12-28 15:40:04 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-28 14:40 ComboFix2.txt 2009-12-27 00:27 ComboFix3.txt 2009-12-27 00:16 Vor Suchlauf: 24 Verzeichnis(se), 136.243.056.640 Bytes frei Nach Suchlauf: 26 Verzeichnis(se), 136.126.382.080 Bytes frei - - End Of File - - C2E56444A7DAF7C7353BB09E9D98D9FB |
|
28.12.2009, 16:03
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | SubSeven Malware? Hm okay, dann wurden die Dateien schon zuvor gelöscht. Ich war nur etwas irritiert wegen des ungewöhnlichen Logs vom Avenger mit den vielen Leerzeichen in den Buchstaben  Wie verhäl sich Dein PC denn jetzt?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu SubSeven Malware? |
| .com, antivir, antivir guard, antivirus, avira, babylon, bho, browser, browser guard, desktop, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, intrusion prevention, malware, malware?, mozilla, nicht sicher, object, pferd, plug-in, registry, security, software, spyware, spyware terminator, subseven, symantec, system, trojanische, windows, windows xp, ändern |
Linear-Darstellung
