Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-12-09.02 - Mama 10.12.2010 22:44:00.8.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.895.683 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mama\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Mama\Desktop\cfscript.txt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\LPeJORAAÒD*˜Ëicgwxpvi.exe
c:\programme\LPeJORAAÒD*˜Ëicgwxpvi.exe\icgwxpvi.exe
c:\programme\UUUUUUUUUUUUUUUUUUUUU.UUU
c:\programme\UUUUUUUUUUUUUUUUUUUUU.UUU\icgwxpvi.exe
c:\programme\VVVVVVVVVVVVVVVVVVVVV.VVV
c:\programme\VVVVVVVVVVVVVVVVVVVVV.VVV\icgwxpvi.exe
c:\programme\WWWWWWWWWWWWWWWWWWWWW.WWW
c:\programme\WWWWWWWWWWWWWWWWWWWWW.WWW\icgwxpvi.exe
c:\programme\XXXXXXXXXXXXXXXXXXXXX.XXX
c:\programme\XXXXXXXXXXXXXXXXXXXXX.XXX\icgwxpvi.exe
c:\programme\YYYYYYYYYYYYYYYYYYYYY.YYY
c:\programme\YYYYYYYYYYYYYYYYYYYYY.YYY\icgwxpvi.exe
c:\programme\ZZZZZZZZZZZZZZZZZZZZZ.ZZZ
c:\programme\ZZZZZZZZZZZZZZZZZZZZZ.ZZZ\icgwxpvi.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-10 bis 2010-12-10 ))))))))))))))))))))))))))))))
.
2010-12-10 16:49 . 2010-12-10 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2010-12-10 13:42 . 2010-12-10 13:51 -------- d-----w- C:\_OTL
2010-12-10 04:04 . 2010-12-10 04:04 -------- d-----w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\TeamViewer
2010-12-10 04:04 . 2010-12-10 04:04 -------- d-----w- c:\programme\TeamViewer
2010-12-09 22:54 . 2010-12-10 01:31 -------- d-----w- c:\winxp\system32\NtmsData
2010-12-09 22:42 . 2010-12-09 22:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-12-09 13:12 . 2010-12-09 13:12 -------- d-sh--w- c:\winxp\system32\config\systemprofile\IECompatCache
2010-12-07 23:06 . 2010-12-07 23:06 -------- d-----w- c:\dokumente und einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Vitalwerks
2010-12-07 23:06 . 2010-12-07 23:06 -------- d-----w- c:\programme\No-IP
2010-12-07 16:55 . 2010-12-08 00:33 -------- d-----w- c:\programme\BPKk
2010-12-06 23:37 . 2010-12-06 23:37 118784 ----a-w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\Microsoft\Hostprozess für Windows-Dienste\1.2.2.1\svchost.exe
2010-12-04 23:04 . 2010-12-04 23:09 -------- d-----w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\MSN6
2010-12-04 23:04 . 2010-12-04 23:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MSN6
2010-12-01 19:12 . 2010-12-09 03:26 -------- d-----w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\gtk-2.0
2010-12-01 19:11 . 2010-12-01 19:11 -------- d-----w- c:\dokumente und einstellungen\Mama\.thumbnails
2010-12-01 19:09 . 2010-12-09 03:27 -------- d-----w- c:\dokumente und einstellungen\Mama\.gimp-2.6
2010-12-01 19:09 . 2010-12-01 19:09 -------- d-----w- c:\programme\GIMP-2.0
2010-12-01 17:21 . 2010-12-01 17:32 -------- d-----w- c:\dokumente und einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\softonic-de3
2010-12-01 17:21 . 2010-12-01 17:21 -------- d-----w- c:\programme\softonic-de3
2010-12-01 17:21 . 2010-12-01 17:21 -------- d-----w- c:\dokumente und einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Temp
2010-12-01 17:15 . 2010-09-18 06:52 974848 ------w- c:\winxp\system32\dllcache\mfc42.dll
2010-12-01 17:15 . 2010-09-18 06:52 954368 ------w- c:\winxp\system32\dllcache\mfc40.dll
2010-12-01 17:15 . 2010-09-18 06:52 953856 ------w- c:\winxp\system32\dllcache\mfc40u.dll
2010-12-01 17:15 . 2010-08-23 16:11 617472 ------w- c:\winxp\system32\dllcache\comctl32.dll
2010-12-01 12:51 . 2010-12-01 14:39 -------- d-----w- c:\dokumente und einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\ConduitEngine
2010-12-01 12:51 . 2010-12-01 12:51 -------- d-----w- c:\programme\ConduitEngine
2010-12-01 12:44 . 2010-12-10 18:55 -------- d-----w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\FileZilla
2010-12-01 12:02 . 2010-12-07 16:55 -------- d-----w- c:\dokumente und einstellungen\Mama\Anwendungsdaten\GetRightToGo
2010-11-28 11:11 . 2009-12-08 19:19 114432 ----a-w- c:\winxp\system32\drivers\ewusbnet.sys
2010-11-28 11:11 . 2009-12-07 18:53 102912 ----a-w- c:\winxp\system32\drivers\ewusbmdm.sys
2010-11-28 11:11 . 2009-10-12 14:21 100736 ----a-w- c:\winxp\system32\drivers\ewusbdev.sys
2010-11-28 11:11 . 2007-08-09 03:13 24448 ----a-w- c:\winxp\system32\drivers\ewdcsc.sys
2010-11-28 11:11 . 2010-11-28 11:13 -------- d-----w- c:\programme\Surf & E-Mail-Stick
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2007-10-09 18:07 974848 ----a-w- c:\winxp\system32\mfc42u.dll
2010-09-18 06:52 . 2007-10-09 18:07 953856 ----a-w- c:\winxp\system32\mfc40u.dll
2010-09-18 06:52 . 2004-08-03 22:57 974848 ----a-w- c:\winxp\system32\mfc42.dll
2010-09-18 06:52 . 2001-08-23 12:00 954368 ----a-w- c:\winxp\system32\mfc40.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- c:\programme\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-10-18 11:26 3908192 ----a-w- c:\programme\softonic-de3\tbsoft.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-10-18 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\programme\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "c:\programme\softonic-de3\tbsoft.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2009-02-09 13680640]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
c:\dokumente und einstellungen\Mama\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2008-7-9 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-7-9 679936]
icgwxpvi.exe [2010-12-9 66574]
c:\dokumente und einstellungen\Mama\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2008-7-9 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-7-9 679936]
icgwxpvi.exe [2010-12-9 66574]
c:\dokumente und einstellungen\Mama\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2008-7-9 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-7-9 679936]
icgwxpvi.exe [2010-12-9 66574]
c:\dokumente und einstellungen\Mama\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2008-7-9 917504]
FRITZ!DSL Startcenter.lnk - c:\programme\FRITZ!DSL\StCenter.exe [2008-7-9 679936]
icgwxpvi.exe [2010-12-9 66574]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\winxp\system32\logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AutoStartNPSAgent"=c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\WINXP\\system32\\PnkBstrA.exe"=
"c:\\WINXP\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [17.11.2008 10:20 682232]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S2 FsUsbExService;FsUsbExService;c:\winxp\system32\FsUsbExService.Exe [26.04.2010 17:12 233472]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [05.09.2008 02:01 4352]
S3 FsUsbExDisk;FsUsbExDisk;c:\winxp\system32\FsUsbExDisk.Sys [26.04.2010 17:12 36608]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [05.09.2008 02:01 265088]
S3 ZSMC0305;VIMICRO USB PC Camera V;c:\winxp\system32\drivers\usbVM305.sys [30.09.2008 11:06 390379]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2567732
uInternet Settings,ProxyOverride = fritz.box
LSP: c:\programme\FRITZ!DSL\sarah.dll
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mama\Anwendungsdaten\Mozilla\Firefox\Profiles\ayegd9lm.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2567732&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Messenger Plus Live Germany Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2567732&SearchSource=13
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF - Extension: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Extension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Extension: German Dictionary: de-DE@dictionaries.addons.mozilla.org - c:\dokumente und einstellungen\Mama\Anwendungsdaten\Mozilla\Firefox\Profiles\ayegd9lm.default\extensions\de-DE@dictionaries.addons.mozilla.org
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-10 22:50
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(620)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\winxp\system32\WgaTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-10 22:56:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-12-10 21:56
ComboFix2.txt 2010-12-10 19:19
ComboFix3.txt 2010-12-10 16:19
Vor Suchlauf: 16 Verzeichnis(se), 37.181.464.576 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 37.166.002.176 Bytes frei
Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - 737C9AF6BA846B8A4DA6C52B87A8D876
--- --- ---
und ?
10.12.2010, 23:00
Baum-Darstellung