so... hier ist die logdatei
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-08-06.03 - Andi 07.08.2010 12:02:43.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1521 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Andi\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-07 bis 2010-08-07 ))))))))))))))))))))))))))))))
.
2010-08-06 09:41 . 2010-08-06 14:29 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-07-14 09:58 . 2010-07-14 09:58 -------- d-----w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\ElevatedDiagnostics
2010-07-14 09:41 . 2010-07-14 09:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\F-Secure
2010-07-14 09:21 . 2010-07-14 09:21 -------- d-----w- c:\windows\Sun
2010-07-14 09:21 . 2010-07-14 09:21 503808 ----a-w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-78296233-n\msvcp71.dll
2010-07-14 09:21 . 2010-07-14 09:21 499712 ----a-w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-78296233-n\jmc.dll
2010-07-14 09:21 . 2010-07-14 09:21 348160 ----a-w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-78296233-n\msvcr71.dll
2010-07-14 09:21 . 2010-07-14 09:21 61440 ----a-w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1bd0da6c-n\decora-sse.dll
2010-07-14 09:21 . 2010-07-14 09:21 12800 ----a-w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-1bd0da6c-n\decora-d3d.dll
2010-07-14 09:20 . 2010-07-14 09:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-07-14 09:20 . 2010-07-14 09:20 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-07-14 09:19 . 2010-07-14 09:19 -------- d-----w- c:\programme\Java
2010-07-14 08:31 . 2010-07-14 08:31 -------- d-----w- c:\dokumente und einstellungen\Andi\Anwendungsdaten\Malwarebytes
2010-07-14 08:31 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-14 08:31 . 2010-07-14 08:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-14 08:31 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-11 11:02 . 2010-07-11 11:34 -------- d-----w- c:\dokumente und einstellungen\Andi\Lokale Einstellungen\Anwendungsdaten\oaonxpwfc
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-07 09:12 . 2008-12-15 16:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-07-13 17:54 . 2001-08-18 12:00 84714 ----a-w- c:\windows\system32\perfc007.dat
2010-07-13 17:54 . 2001-08-18 12:00 459050 ----a-w- c:\windows\system32\perfh007.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="c:\programme\Lenovo\TrackPoint\tp4serv.exe" [2008-03-04 92960]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"ACUMon"="c:\program files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe" [2004-02-23 217088]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 88363]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2005-04-20 110592]
"BMMLREF"="c:\programme\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-20 20480]
"BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2005-04-20 396288]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-20 208896]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]
"Adobe Reader Speed Launcher"="d:\utility\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"PhiBtn"="c:\windows\System32\drivers\PhiBtn.exe" [2005-09-12 155648]
"Traymin900"="c:\windows\System32\drivers\Tray900.exe" [2005-09-12 266240]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 15:37 34344 ----a-w- c:\programme\Lenovo\HOTKEY\notifyf2.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-08-08 18:14 28672 ----a-w- c:\programme\Lenovo\HOTKEY\tphklock.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [11.12.2008 19:05 3026]
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [13.12.2008 20:25 16384]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.08.2009 12:19 108289]
R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 13:35 119296]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [04.03.2008 16:28 22568]
S3 Ca100v;Smart Cam, WDM Video Capture;c:\windows\system32\drivers\Ca100v.sys [15.12.2009 21:09 527269]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [11.12.2008 17:44 223232]
S3 camvid40;Philips SPC 900NC PC Camera;c:\windows\system32\drivers\camdrv41.sys [12.06.2009 15:42 1239552]
S3 DsiUsb;DsiUsb;c:\windows\system32\drivers\DsiUsb.sys [12.12.2008 01:01 48128]
.
Inhalt des "geplante Tasks" Ordners
2010-01-23 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2008-12-13 00:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
Trusted Zone: microsoft.com\support
Trusted Zone: microsoft.com\update
Trusted Zone: microsoft.com\v4.windowsupdate
Trusted Zone: microsoft.com\windowsupdate
Trusted Zone: windowsupdate.com\download
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Toolbar-Locked - (no file)
HKLM-Run-VCheck - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-07 12:07
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(796)
c:\windows\system32\cswGina.dll
c:\windows\system32\ACrd10SM.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\Lenovo\HOTKEY\tphklock.dll
- - - - - - - > 'explorer.exe'(3864)
c:\windows\system32\SSSensor.dll
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-08-07 12:10:08
ComboFix-quarantined-files.txt 2010-08-07 10:10
Vor Suchlauf: 524.369.920 Bytes frei
Nach Suchlauf: 552.685.568 Bytes frei
- - End Of File - - 24C8026156D5B065628E19F27AFD60F4
--- --- ---
07.08.2010, 10:44
Baum-Darstellung