firefox öffnet selbstständig neue fenster mit viren als inhalt

ComboFix 10-07-16.01 - **** 17.07.2010  21:45:29.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.665 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\intelide.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-17 bis 2010-07-17  ))))))))))))))))))))))))))))))
.

2010-07-17 19:24 . 2010-07-17 19:24	--------	d-----w-	C:\_OTL
2010-07-16 22:05 . 2010-07-16 22:05	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-07-16 22:04 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-16 22:04 . 2010-07-16 22:04	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-16 22:04 . 2010-07-16 22:04	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-16 22:04 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-07-16 17:14 . 2010-07-17 19:51	639008	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-07-16 17:10 . 2010-07-17 19:46	--------	d-----w-	c:\windows\Internet Logs
2010-07-15 19:54 . 2010-07-17 13:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-15 19:54 . 2010-07-15 19:55	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-07-11 21:30 . 2010-07-11 21:30	--------	d-----w-	c:\programme\SiSoftware
2010-07-11 13:17 . 2010-07-11 13:17	--------	d-s---w-	c:\dokumente und einstellungen\NetworkService\UserData
2010-07-03 09:45 . 2010-07-03 09:45	--------	d-----w-	c:\windows\Sun
2010-07-03 09:44 . 2010-07-03 09:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-07-03 09:42 . 2010-07-03 09:42	503808	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25e941cb-n\msvcp71.dll
2010-07-03 09:42 . 2010-07-03 09:42	499712	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25e941cb-n\jmc.dll
2010-07-03 09:42 . 2010-07-03 09:42	348160	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-25e941cb-n\msvcr71.dll
2010-07-03 09:42 . 2010-07-03 09:42	61440	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-150eda83-n\decora-sse.dll
2010-07-03 09:42 . 2010-07-03 09:42	12800	----a-w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-150eda83-n\decora-d3d.dll
2010-07-03 09:42 . 2010-07-03 09:42	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-07-03 09:42 . 2010-07-03 09:42	--------	d-----w-	c:\programme\Java
2010-07-01 18:26 . 2010-07-15 20:52	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Agew

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-17 19:43 . 2010-07-16 17:14	9152	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-07-16 17:12 . 2010-07-16 17:11	4212	---h--w-	c:\windows\system32\zllictbl.dat
2010-07-16 17:11 . 2010-07-16 17:11	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2010-07-16 17:11 . 2010-07-16 17:11	--------	d-----w-	c:\programme\Zone Labs
2010-07-12 13:55 . 2010-07-12 13:55	1629	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml87.tmp
2010-07-12 13:55 . 2010-07-12 13:55	15110	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml86.tmp
2010-07-12 13:55 . 2010-07-12 13:55	10390	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml85.tmp
2010-07-11 21:33 . 2010-07-11 21:33	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml34.tmp
2010-07-11 21:33 . 2010-07-11 21:33	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml33.tmp
2010-07-11 21:33 . 2010-07-11 21:33	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml32.tmp
2010-07-11 21:33 . 2010-07-11 21:33	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml31.tmp
2010-07-11 21:31 . 2010-07-11 21:31	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml30.tmp
2010-07-11 21:31 . 2010-07-11 21:31	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2F.tmp
2010-07-11 21:31 . 2010-07-11 21:31	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2E.tmp
2010-07-11 21:31 . 2010-07-11 21:31	0	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2D.tmp
2010-06-23 12:50 . 2001-08-18 12:00	81114	----a-w-	c:\windows\system32\perfc007.dat
2010-06-23 12:50 . 2001-08-18 12:00	451980	----a-w-	c:\windows\system32\perfh007.dat
2010-06-13 20:41 . 2010-04-25 19:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-05-31 14:59 . 2010-04-25 17:36	78184	----a-w-	c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-31 14:58 . 2010-04-25 18:14	65536	----a-r-	c:\dokumente und einstellungen\****\Anwendungsdaten\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\Shortcut0.C3A146F5_4B48_11D5_A819_00B0D0428C0C.exe
2010-05-31 14:58 . 2010-04-25 18:14	10134	----a-r-	c:\dokumente und einstellungen\****\Anwendungsdaten\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\ARPPRODUCTICON.exe
2010-05-31 14:55 . 2010-05-31 14:55	--------	d-----w-	c:\programme\Gemeinsame Dateien\Corel
2010-05-31 14:55 . 2010-05-31 14:55	--------	d-----w-	c:\programme\Corel
2010-05-21 20:13 . 2010-04-25 19:59	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\Winamp
2010-05-21 20:12 . 2010-05-21 20:12	--------	d-----w-	c:\dokumente und einstellungen\****\Anwendungsdaten\streamripper
2010-05-21 20:11 . 2010-05-21 20:11	--------	d-----w-	c:\programme\Streamripper
2010-05-02 08:05 . 2008-04-14 05:23	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-26 17:00 . 2010-04-25 15:53	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-25 17:45 . 2010-04-25 17:45	552	----a-w-	c:\windows\system32\d3d8caps.dat
2010-04-25 17:14 . 2010-04-25 17:14	376832	----a-w-	c:\windows\system32\AegisI5Installer.exe
2010-04-25 17:14 . 2010-04-25 17:14	21361	----a-w-	c:\windows\system32\drivers\AegisP.sys
2010-04-25 17:05 . 2010-04-25 17:05	0	----a-w-	c:\windows\nsreg.dat
2010-04-25 15:50 . 2010-04-25 15:50	21740	----a-w-	c:\windows\system32\emptyregdb.dat
2010-04-20 05:29 . 2008-04-14 05:50	285696	----a-w-	c:\windows\system32\atmfd.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	\0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Programme\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=
"c:\\Programme\\Streamripper\\wstreamripper.exe"=
"c:\\Programme\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2010.SP2\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2010.SP2\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.04.2010 18:42 135336]
R3 TTCinergyT2;TerraTec Cinergy T² (BDA);c:\windows\system32\drivers\TTCinergyT2BDA.sys [12.07.2007 21:38 29216]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2010.SP2\RpcAgentSrv.exe [11.07.2010 23:30 93848]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\3iiq7pz9.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-17 21:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-07-17  21:53:16
ComboFix-quarantined-files.txt  2010-07-17 19:53

Vor Suchlauf: 6 Verzeichnis(se), 61.948.559.360 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 61.929.930.752 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 11E1CC74D1DE4AA1799DF62B3BB9F67F