hab jetzt combofix laufen lassen; nachfolgend der Report:Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-08-24.0C - Steinhart 26.08.2010 11:11:38.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.495.294 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Steinhart\Eigene Dateien\Downloads\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl
c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe
c:\windows\lmhosts
c:\windows\system32\kWab.dll
c:\windows\system32\nfr.assembly
c:\windows\system32\nfr.gpref
C:\xcrashdump.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-26 bis 2010-08-26 ))))))))))))))))))))))))))))))
.
2010-08-25 14:14 . 2010-08-25 14:14 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Malwarebytes
2010-08-25 14:14 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-25 14:13 . 2010-08-25 14:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-25 14:13 . 2010-08-25 14:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-25 14:13 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-25 13:53 . 2010-08-25 13:53 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Uniblue
2010-08-25 13:53 . 2010-08-25 13:53 -------- d-----w- c:\programme\Uniblue
2010-08-25 13:47 . 2010-08-25 13:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinMaximizer
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-26 08:55 . 2006-02-02 13:32 -------- d-----w- c:\programme\Symantec AntiVirus
2010-08-25 13:40 . 2004-11-23 11:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-08-25 12:37 . 2003-11-20 11:32 -------- d-----w- c:\programme\IVECO Angebotsverwaltung
2010-07-28 10:03 . 2003-11-04 14:15 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-07-23 10:53 . 2004-02-26 17:24 -------- d-----w- c:\programme\QuickTime
2010-07-23 10:47 . 2010-07-23 10:47 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Apple Computer
2010-07-23 10:38 . 2010-07-23 10:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-07-23 10:37 . 2010-07-23 10:37 -------- d-----w- c:\programme\Apple Software Update
2010-07-23 10:37 . 2010-07-23 10:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-21 13:41 . 2010-07-21 13:41 0 ----a-w- c:\windows\nsreg.dat
2010-07-15 07:21 . 2010-07-15 07:21 -------- d-----w- c:\programme\OnlineControl
2010-07-01 15:07 . 2010-07-01 15:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ascentive
2010-07-01 15:07 . 2010-07-01 15:07 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Ascentive
2010-07-01 14:42 . 2010-07-01 14:42 -------- d-----w- c:\programme\Ascentive
2010-07-01 14:42 . 2003-11-19 17:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-07-01 14:39 . 2010-07-01 14:39 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\InstallShield
2010-07-01 13:31 . 2010-07-01 12:36 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\ElevatedDiagnostics
2010-06-30 14:23 . 2010-06-30 14:21 -------- d-----w- c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\TeamViewer
2010-06-30 11:46 . 2010-06-30 11:46 -------- d-----w- c:\programme\CCleaner
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Performance Center"="c:\programme\Ascentive\Performance Center\ApcMain.exe" [2009-04-21 3239936]
"PC SpeedScan Pro"="c:\programme\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [2010-05-31 2080768]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 196608]
"GW Port Controller"="c:\progra~1\samsung\smarthru\PORTCTRL.EXE" [2004-02-09 163840]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-07-12 48752]
"vptray"="c:\progra~1\SYMANT~2\VPTray.exe" [2005-08-19 86112]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
"ALUAlert"="c:\programme\Symantec\LiveUpdate\ALUNotify.exe" [2005-04-11 263776]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2010-7-15 126976]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{0D3BCEA8-4976-4486-958B-5CCC018D11E8}"= "c:\windows\system32\seqsb.dll" [2004-11-17 45056]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SmarThru Engine.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SmarThru Engine.lnk
backup=c:\windows\pss\SmarThru Engine.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45 63712 ----a-w- c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CARPService]
2002-03-20 16:48 4608 ----a-w- c:\windows\system32\carpserv.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-09-05 17:14 69632 -c--a-w- c:\windows\Dit.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
2004-04-21 18:23 102912 -c--a-w- c:\programme\FreePDF_XP\fpassist.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2002-10-08 10:03 155648 ----a-r- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\T-Eumex\\Tk-Suite-Basic\\tkserver\\tksock.exe"=
"c:\\Programme\\T-Eumex\\Tk-Suite-Basic\\tkserver\\tkmedia.exe"=
"c:\\Programme\\Samsung\\SmarThru\\UtlServer.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Java\\jre1.5.0_04\\bin\\java.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7070:TCP"= 7070:TCP:nfra
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [17.11.2003 11:56 37568]
R3 fpcmbase;FRITZ!Card PCMCIA;c:\windows\system32\drivers\fpcmbase.sys [17.11.2003 11:56 481104]
S2 agfucapi;T-Eumex;c:\windows\system32\drivers\AGFUCAPI.sys [28.09.2004 12:18 273664]
S3 CVIA2AUD;Fujitsu VIA2 3D Environmental Audio;c:\windows\system32\drivers\cvia2aud.sys [04.11.2003 16:19 321472]
S3 CVIA2HALA;CVIA2HALA;c:\windows\system32\drivers\cvia2hal.sys [04.11.2003 16:19 217024]
S3 HSFHWVIA;HSFHWVIA;c:\windows\system32\drivers\HSFHWVIA.sys [04.11.2003 16:19 154148]
S3 IwUSB;IwUSB Driver;c:\windows\system32\drivers\IwUSB.sys [29.11.2002 00:01 20645]
S3 TOMCATWAN;T-Online DynamicISDN (WDM);c:\windows\system32\DRIVERS\WTOMCAT.SYS --> c:\windows\system32\DRIVERS\WTOMCAT.SYS [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
yucoajiyw
.
Inhalt des "geplante Tasks" Ordners
2010-07-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://collaboration.fiatgroup.com/CookieAuth.dll?GetLogon?curl=Z2FsitesZ2FIvecoShareZ2FGermany&reason=0&formdir=3
uInternet Settings,ProxyServer = http=127.0.0.1:6522
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: fiat.de\www.fis
TCP: {24CA77FE-D855-4D07-80C2-C129089B305C} = 192.168.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - hxxp://install.power-url.de/InstallationsAssistent.ocx
FF - ProfilePath - c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Mozilla\Firefox\Profiles\ktwl66su.default\
FF - prefs.js: browser.startup.homepage - hxxps://collaboration.fiatgroup.com/CookieAuth.dll?GetLogon?curl=Z2FsitesZ2FIvecoShareZ2FGermany&reason=0&formdir=3
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 7070
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-lbeqvbqt - c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe
HKCU-Run-RegistryBooster - c:\programme\Uniblue\RegistryBooster\launcher.exe
HKLM-Run-lbeqvbqt - c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe
MSConfigStartUp-AuditMode - c:\sysprep\factory.exe
MSConfigStartUp-hid - c:\windows\hid.exe
MSConfigStartUp-ISDN SpeedManager - c:\programme\T-Online\ISDN SpeedManager\Tomcat.exe
MSConfigStartUp-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe
MSConfigStartUp-pp - c:\windows\pp03.exe
MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\qttask.exe
MSConfigStartUp-spywarefighterguard - c:\programme\Fighters\spywarefighter\SpywarefighterUser.exe
MSConfigStartUp-sysldtray - c:\windows\ld02.exe
MSConfigStartUp-Windows AdControl - c:\program files\Windows AdControl\WinAdCtl.exe
MSConfigStartUp-Yahoo! Pager - c:\programme\Yahoo!\Messenger\ypager.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-08-26 11:15
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@DACL=(02 0010)
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@DACL=(02 0010)
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@DACL=(02 0010)
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-08-26 11:19:27
ComboFix-quarantined-files.txt 2010-08-26 09:19
Vor Suchlauf: 14 Verzeichnis(se), 11.120.848.896 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 11.109.470.208 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - BB09221B2FFCC349A6DBB45AAD725373
--- --- ---
26.08.2010, 10:24
Baum-Darstellung