| Rechner verseucht, werde den Trojaner nicht los. Hallo,
ich habe mal wieder den (Windows XP) PC eines Bekannten auf dem OP-Tisch.
Das Symptom war:
Nach Hochfahren erscheint kurz der Desktop, dann verschwindet der Desktop wieder nach 2-3 Sekunden, es sind keine Handlungen mehr möglich, auch kein Taskmanager kann gestartet werden.
Was ich gemacht habe:
Ultimate-Boot-CD prüfen lassen/Malwarebytes laufen lassen und ein paar Autostarts entfernt etc.
Ergebnis:
PC kann wieder "benutzt" werden, Desktop bleibt erhalten. AAAABER: Ich bekomme den Trojaner nicht runter. Egal was ich (via Boot-CD entferne), ist beim Start leider wieder da. Ich bekomme immer wieder einen Autostart, die *.exe legt sich wieder an etc.
Auch infiziert das Biest jeden eingestöpselten USB-Stick (kopiert Dateien in den "Recycler"-Ordner und legt ein Autostart.inf an), ich hatte schon Glück, sonst hätte ich meine Kiste auch inifziert (mein Win7 hat den autorun.inf geblockt), seitdem schicke ich die Logs nur noch per Text-Mail hin und her.
Anbei die Logs, vielleicht habt ihr eine Idee: HijackThis Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:46:11, on 16.03.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Programme\oaooxywo\wggbiygf.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - hxxp://217.91.155.3:2250/activex/AMC.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
End of file - 3096 bytes
| Malwarebytes Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 6065
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.03.2011 08:45:50
mbam-log-2011-03-16 (08-45-42).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 262343
Laufzeit: 39 Minute(n), 51 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: c:\programme\Avira\antivir desktop\avguardmgr.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000112.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000113.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{31fd63dd-f75a-425f-820c-17a74eaddddf}\RP2\A0000114.exe (Trojan.Agent) -> No action taken. c:\windows\system32\config\systemprofile\startmenü\programme\autostart\wggbiygf.exe (Trojan.Agent) -> No action taken. | OTL Zitat:
OTL logfile created on: 16.03.2011 08:54:09 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Andreas\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 220,38 Gb Total Space | 194,98 Gb Free Space | 88,47% Space Free | Partition Type: NTFS
Drive D: | 74,50 Gb Total Space | 74,08 Gb Free Space | 99,43% Space Free | Partition Type: NTFS
Computer Name: AMBOSS | User Name: Andreas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ==========
PRC - C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ==========
MOD - C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ==========
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ==========
DRV - (catchme) -- File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (pavboot) -- C:\WINDOWS\system32\drivers\pavboot.sys (Panda Security, S.L.)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (zebrsce) -- C:\WINDOWS\system32\drivers\zebrsce.sys (MCCI)
DRV - (zebrmdmc) Sony Ericsson mRouter Port (WDM) -- C:\WINDOWS\system32\drivers\zebrmdmc.sys (MCCI)
DRV - (zebrmdm) Sony Ericsson Port (WDM) -- C:\WINDOWS\system32\drivers\zebrmdm.sys (MCCI)
DRV - (zebrmdfl) -- C:\WINDOWS\system32\drivers\zebrmdfl.sys (MCCI Corporation)
DRV - (zebrbus) -- C:\WINDOWS\system32\drivers\zebrbus.sys (MCCI)
DRV - (zebrceb) Sony Ericsson Cable Emulation Bus (WDM) -- C:\WINDOWS\system32\drivers\zebrceb.sys (MCCI)
DRV - (auusb) -- C:\WINDOWS\system32\drivers\auusb.sys (Auerswald GmbH & Co. KG )
DRV - (tausb) -- C:\WINDOWS\system32\drivers\tausb.sys (Auerswald GmbH & Co. KG )
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ==========
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ==========
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2
FF - prefs.js..keyword.URL: "hxxp://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..network.proxy.type: 0
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "chrome://browser-region/locale/region.properties"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties"
FF - HKLM\software\mozilla\Firefox\extensions\\{E5886C91-CDD7-4832-B32D-0830705A9C60}: C:\WINDOWS\system32\5012 [2011.03.04 15:24:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.03.16 00:05:06 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.15\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.16 00:05:06 | 000,000,000 | ---D | M]
[2010.10.23 13:54:42 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Extensions
[2011.03.16 00:05:51 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions
[2010.10.30 11:02:00 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.10 13:57:37 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.10.23 13:54:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.03.16 00:05:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2011.03.16 00:05:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.03.16 00:05:01 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2011.03.16 00:05:01 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2011.03.16 00:05:01 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2011.03.16 01:03:34 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} hxxp://217.91.155.3:2250/activex/AMC.cab (AxisMediaControlEmb Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Programme\oaooxywo\wggbiygf.exe) - C:\Programme\oaooxywo\wggbiygf.exe File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.07.06 20:34:00 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ==========
[2011.03.16 08:53:26 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2011.03.16 08:04:24 | 000,401,720 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
[2011.03.16 07:52:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.03.16 07:52:53 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.03.16 00:53:29 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.03.16 00:52:35 | 000,000,000 | ---D | C] -- C:\Programme\oaooxywo
[2011.03.15 19:05:34 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2011.03.15 16:46:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Desktop\back
[2011.03.15 15:25:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Malwarebytes
[2011.03.15 15:25:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.03.15 15:25:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.03.15 15:25:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.03.15 15:25:12 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.03.15 15:25:12 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.03.04 15:24:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5012
[2011.02.15 08:41:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5011
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ==========
[2011.03.16 08:53:37 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andreas\Desktop\OTL.exe
[2011.03.16 08:04:31 | 000,401,720 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Andreas\Desktop\HiJackThis.exe
[2011.03.16 07:40:42 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.03.16 07:40:33 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.03.16 03:00:25 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.03.16 01:51:14 | 004,287,930 | R--- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
[2011.03.16 01:03:34 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.03.16 00:03:20 | 000,097,130 | ---- | M] () -- C:\WINDOWS\Explorermgr.exe
[2011.03.15 19:03:06 | 000,000,354 | RHS- | M] () -- C:\boot.ini
[2011.03.15 15:25:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.08 15:00:02 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.03.07 10:41:30 | 000,000,482 | ---- | M] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Verknüpfung mit Sounds und Audiogeräte.lnk
[2011.02.28 18:18:46 | 000,002,351 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Lexware financial office.lnk
[2011.02.23 17:36:52 | 000,000,765 | ---- | M] () -- C:\WINDOWS\CAD-Symbols_Technobox.ini
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ==========
[2011.03.16 01:49:48 | 004,287,930 | R--- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\ComboFix.exe
[2011.03.16 00:03:20 | 000,097,130 | ---- | C] () -- C:\WINDOWS\Explorermgr.exe
[2011.03.15 15:25:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.03.07 10:41:30 | 000,000,482 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Desktop\Verknüpfung mit Sounds und Audiogeräte.lnk
[2011.01.20 18:18:19 | 000,000,144 | ---- | C] () -- C:\WINDOWS\PCFK32.INI
[2011.01.20 10:24:30 | 000,233,547 | R--- | C] () -- C:\WINDOWS\System32\aucoinst.dll
[2011.01.20 10:24:30 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\RasXP.exe
[2011.01.20 10:24:30 | 000,010,570 | R--- | C] () -- C:\WINDOWS\drvinfo.ini
[2011.01.20 10:16:02 | 000,315,444 | ---- | C] () -- C:\WINDOWS\System32\isdnapi32.dll
[2011.01.20 10:16:02 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\AuerCapiJNINative.dll
[2011.01.20 10:16:02 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\AuerUsbJNINative.dll
[2010.12.18 15:06:54 | 000,000,765 | ---- | C] () -- C:\WINDOWS\CAD-Symbols_Technobox.ini
[2010.11.02 08:36:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010.10.23 13:54:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.10.21 14:19:42 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2010.10.21 14:18:46 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2010.10.21 14:16:58 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2010.10.21 14:16:34 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2010.10.12 16:41:48 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Bhabebazo.dat
[2010.10.12 16:41:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Rtanirumecahale.bin
[2010.07.22 12:59:07 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.17 00:27:54 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.02.17 00:27:54 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.02.17 00:27:54 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.02.17 00:27:54 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.02.17 00:27:54 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2009.12.29 13:56:30 | 000,000,043 | ---- | C] () -- C:\WINDOWS\FAFirmAssi.INI
[2009.08.06 11:50:42 | 000,000,031 | ---- | C] () -- C:\WINDOWS\DeskCalc.INI
[2009.07.08 07:11:03 | 000,000,630 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.07.08 07:11:03 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\BD2040.DAT
[2009.07.08 07:09:08 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2009.07.08 07:09:08 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI
[2009.07.08 07:09:08 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.07.08 07:09:00 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL
[2009.07.08 07:09:00 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL
[2009.07.08 07:09:00 | 000,009,013 | ---- | C] () -- C:\WINDOWS\HL-2040.INI
[2009.07.08 07:09:00 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL
[2009.07.06 23:52:38 | 000,000,148 | ---- | C] () -- C:\WINDOWS\LFOInterChangeServer.INI
[2009.07.06 22:53:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2009.07.06 22:50:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.07.06 22:38:28 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.07.06 22:37:59 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2009.07.06 21:59:33 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2009.07.06 21:27:56 | 000,004,359 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.07.06 21:27:04 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.07.06 20:35:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009.07.06 20:31:48 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009.02.25 21:58:44 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2009.02.25 21:58:44 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2009.01.26 18:55:37 | 000,182,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2007.12.05 12:39:14 | 000,343,040 | ---- | C] () -- C:\WINDOWS\System32\lffpx7.dll
[2007.12.05 12:39:14 | 000,116,736 | ---- | C] () -- C:\WINDOWS\System32\lfkodak.dll
[2006.12.06 08:18:24 | 001,683,456 | ---- | C] () -- C:\WINDOWS\System32\LTCLR13n.dll
[2005.03.29 16:54:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005.03.29 16:54:44 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 11:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 11:00:00 | 000,495,242 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 11:00:00 | 000,475,136 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 11:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 11:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 11:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 11:00:00 | 000,091,150 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 11:00:00 | 000,076,170 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 11:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 11:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 11:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 11:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 11:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 11:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2001.12.12 12:41:36 | 000,041,472 | ---- | C] () -- C:\WINDOWS\System32\W32btstp.dll
[2001.12.12 12:41:36 | 000,025,088 | ---- | C] () -- C:\WINDOWS\System32\W32btxlt.dll
< End of report >
| Combofix Zitat:
ComboFix 11-03-15.01 - Andreas 16.03.2011 7:45.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1681 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-16 bis 2011-03-16 ))))))))))))))))))))))))))))))
.
.
2011-03-15 23:52 . 2011-03-16 06:40 -------- d-----w- c:\programme\oaooxywo
2011-03-15 23:03 . 2011-03-15 23:03 97130 ----a-w- c:\windows\Explorermgr.exe
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2011-03-15 14:25 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-15 14:25 . 2011-03-15 14:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-03-15 14:25 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-09 09:19 . 2011-03-09 09:19 -------- d-----w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Pnpdep
2011-03-04 14:24 . 2011-03-04 14:24 -------- d-----w- c:\windows\system32\5012
2011-02-28 14:49 . 2011-03-09 09:18 -------- d-----r- c:\windows\system32\config\systemprofile\Eigene Dateien
2011-02-15 07:41 . 2011-02-15 07:41 -------- d-----w- c:\windows\system32\5011
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2004-08-04 10:00 270848 ------w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 10:00 186880 ------w- c:\windows\system32\encdec.dll
2011-02-07 16:02 . 2011-02-07 16:02 1425408 ----a-w- c:\windows\system32\FormAssi80.dll
2011-02-05 15:25 . 2011-02-05 15:25 57344 ----a-w- c:\windows\system32\FKStampPainter20.dll
2011-02-04 11:00 . 2011-02-04 07:49 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-02-04 11:00 . 2011-02-04 07:49 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-02-02 17:43 . 2011-02-02 17:43 90112 ----a-w- c:\windows\system32\lxdao11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 81920 ----a-w- c:\windows\system32\LxCI12.dll
2011-02-02 17:43 . 2011-02-02 17:43 69632 ----a-w- c:\windows\system32\PXTTool80VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 61440 ----a-w- c:\windows\system32\LXCurr12VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 4648960 ----a-w- c:\windows\system32\LxXtreme70VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 27648 ----a-w- c:\windows\system32\LXTPSW20VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 196608 ----a-w- c:\windows\system32\LxBasics91VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 188416 ----a-w- c:\windows\system32\LxDBAL11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 135168 ----a-w- c:\windows\system32\LxMail30VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 1335296 ----a-w- c:\windows\system32\LXTool91VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 118784 ----a-w- c:\windows\system32\LxOdbc11VC8.dll
2011-02-02 17:43 . 2011-02-02 17:43 110592 ----a-w- c:\windows\system32\LxUISettings20Native.dll
2011-02-02 07:58 . 2009-07-06 19:31 2067456 ------w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2009-07-06 19:31 677888 ------w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-04 10:00 440832 ------w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 10:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-08-04 10:00 1855104 ------w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-04 10:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2004-08-04 10:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2004-08-04 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2004-08-04 10:00 737792 ------w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2004-08-04 10:00 385024 ------w- c:\windows\system32\html.iec
.
.
((((((((((((((((((((((((((((( SnapShot@2011-03-16_00.03.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 10:00 . 2009-07-27 23:16 135680 c:\windows\system32\shsvcs.dll
+ 2009-07-27 23:16 . 2009-07-27 23:16 135680 c:\windows\system32\dllcache\shsvcs.dll
+ 2011-02-09 13:53 . 2011-02-09 13:53 270848 c:\windows\system32\dllcache\sbe.dll
+ 2011-01-27 11:57 . 2011-01-27 11:57 677888 c:\windows\system32\dllcache\lhmstsc.exe
+ 2011-02-09 13:53 . 2011-02-09 13:53 186880 c:\windows\system32\dllcache\encdec.dll
+ 2011-02-02 07:58 . 2011-02-02 07:58 2067456 c:\windows\system32\dllcache\lhmstscx.dll
+ 2009-07-06 20:40 . 2011-03-16 02:00 37943240 c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ------w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-06-17 06:24 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advuser]
2011-03-14 14:52 500105 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Pnpdep\gramod.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2011-02-04 11:00 281768 ------w- c:\programme\Avira\AntiVir Desktop\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 05:52 15360 ------w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 09:11 339312 ------w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite for Smartphones]
2007-11-08 12:06 704877 ----a-r- c:\programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2006-03-20 14:00 282624 ----a-w- c:\windows\stsystra.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-06 23:15 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Intuwave\\Shared\\mRouterRuntime\\mRouterRuntime.exe"=
"c:\\Programme\\Sony Ericsson\\Mobile4\\Sync Manager\\DXP SyncML.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [16.02.2010 18:48 28552]
S2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [04.02.2011 08:49 339624]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.02.2011 08:49 135336]
S2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [04.02.2011 08:49 403624]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [20.01.2011 10:24 71184]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [20.01.2011 10:25 69392]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://217.91.155.3:2250/activex/AMC.cab
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\h3g5eh3t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: browser.search.selectedEngine - SweetIM Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-16 07:51
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwQueryDirectoryFile
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(752)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(4092)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
.
Zeit der Fertigstellung: 2011-03-16 07:52:55
ComboFix-quarantined-files.txt 2011-03-16 06:52
ComboFix2.txt 2011-03-16 00:04
ComboFix3.txt 2010-10-23 12:42
.
Vor Suchlauf: 12 Verzeichnis(se), 210.405.605.376 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 210.389.999.616 Bytes frei
.
- - End Of File - - DA8B1FF6E2884347F3E0E2A77CE6A1D5
| |