Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 11-04-20.03 - San 21.04.2011 11:16:17.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.625 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\San\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Gast\WINDOWS
c:\dokumente und einstellungen\San\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\San\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{CA4A6ABB-34A1-4CB4-9665-84E8B5130EAF}
c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{CA4A6ABB-34A1-4CB4-9665-84E8B5130EAF}\chrome.manifest
c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{CA4A6ABB-34A1-4CB4-9665-84E8B5130EAF}\chrome\content\_cfg.js
c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{CA4A6ABB-34A1-4CB4-9665-84E8B5130EAF}\chrome\content\overlay.xul
c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{CA4A6ABB-34A1-4CB4-9665-84E8B5130EAF}\install.rdf
c:\dokumente und einstellungen\San\Startmenü\Programme\Windows Recovery
c:\dokumente und einstellungen\San\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk
c:\dokumente und einstellungen\San\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk
c:\dokumente und einstellungen\San\WINDOWS
c:\programme\AskSearch\bin\DefaultSearch.dll
c:\windows\system32\Chip.dll
c:\windows\system32\restart.exe
.
Infizierte Kopie von c:\windows\system32\drivers\volsnap.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-21 bis 2011-04-21 ))))))))))))))))))))))))))))))
.
.
2011-04-20 14:33 . 2011-04-20 16:10 -------- d-----w- C:\Malwarebytes' Anti-Malware
2011-04-20 13:56 . 2011-04-20 14:09 -------- d-----w- C:\_OTL
2011-04-20 09:10 . 2011-04-20 09:10 -------- d--h--w- c:\dokumente und einstellungen\San\Anwendungsdaten\Malwarebytes
2011-04-20 09:07 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-20 09:07 . 2011-04-20 09:07 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-19 18:59 . 2011-04-19 18:59 -------- d--h--w- c:\dokumente und einstellungen\San\Anwendungsdaten\Avira
2011-04-19 18:55 . 2011-03-04 14:11 137656 ---ha-w- c:\windows\system32\drivers\avipbb.sys
2011-04-19 18:55 . 2011-03-04 12:36 61960 ---ha-w- c:\windows\system32\drivers\avgntflt.sys
2011-04-19 18:55 . 2010-06-17 12:27 45416 ---ha-w- c:\windows\system32\drivers\avgntdd.sys
2011-04-19 18:55 . 2010-06-17 12:27 22360 ---ha-w- c:\windows\system32\drivers\avgntmgr.sys
2011-04-19 18:55 . 2011-04-19 18:55 -------- d--h--w- c:\programme\Avira
2011-04-19 18:55 . 2011-04-19 18:55 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-01 21:02 . 2009-05-01 21:02 1044480 -c-ha-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 -c-ha-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2011-03-18 17:56 . 2011-04-19 18:51 142296 ---ha-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2007-12-29 486856]
"Steam"="g:\games\steam\steam.exe" [2010-10-30 523834]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SANSUNMouse "="c:\progra~1\MOUSED~1\mousedriver.exe" [2004-12-28 253952]
"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-08-20 45056]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-03-25 142120]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2007-10-30 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gizmo Project\\mDNSResponder.exe"=
"c:\\Programme\\AirPort\\APAgent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"g:\\Games\\Crysis\\Bin32\\Crysis.exe"=
"g:\\Games\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"g:\\Games\\Steam\\Steam.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"g:\\Games\\World of Warcraft\\Launcher.exe"=
"g:\\Games\\PacSteamT\\SteamApps\\jonne_dc\\counter-strike source\\hl2.exe"=
"g:\\Games\\PacSteamT\\SteamApps\\san_dc\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:Bonjour
.
R0 phmcd;phmcd;c:\windows\system32\drivers\phmcd.sys [08.04.2008 20:41 44696]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22.01.2008 16:50 715248]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.04.2011 20:56 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.05.2010 21:16 136176]
S3 DT154_A02;T-Sinus 154data Driver;c:\windows\system32\DRIVERS\TS154USB.sys --> c:\windows\system32\DRIVERS\TS154USB.sys [?]
S3 ldiskl;ldiskl;\??\c:\dokume~1\San\LOKALE~1\Temp\ldiskl.sys --> c:\dokume~1\San\LOKALE~1\Temp\ldiskl.sys [?]
S3 w32n5223;w32n5223 Protocol Driver;\??\c:\progra~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS --> c:\progra~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS [?]
.
Inhalt des "geplante Tasks" Ordners
.
2010-05-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-04-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-16 19:16]
.
2011-04-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-16 19:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tattoodle.com?tid={B1310335-40C3-4490-97C0-C6FA98242D82}
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Vorlesen mit MWS Reader 4
FF - ProfilePath - c:\dokumente und einstellungen\San\Anwendungsdaten\Mozilla\Firefox\Profiles\dh96igz4.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Notify-WgaLogon - (no file)
AddRemove-Armagetron Advanced - h:\eigene dateien\Armagetron Advanced\uninst.exe
AddRemove-Free Studio_is1 - g:\eigene dateien\Free Studio\unins000.exe
AddRemove-Steam App 10190 - g:\games\PacSteamT\steam.exe
AddRemove-Steam App 240 - g:\games\PacSteamT\steam.exe
AddRemove-Teamspeak 2 RC2_is1 - c:\programme\Teamspeak2_RC2\unins000.exe
AddRemove-Zattoo - c:\programme\Zattoo\uninst.exe
AddRemove-{7353BAE6-5E49-46C4-A9B5-8A269A313789} - c:\dokumente und einstellungen\San\Lokale Einstellungen\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}\setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-21 11:24
Windows 5.1.2600 Service Pack 3, v.5857 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-515967899-789336058-1708537768-1003\Software\SecuROM\License information*]
"datasecu"=hex:ea,ac,15,b8,49,73,ac,57,3b,af,8a,2f,37,45,76,6d,6a,07,25,6a,c3,
64,a2,4b,62,cf,77,5c,11,0f,12,7c,8d,7b,fd,e1,1e,c5,4f,70,78,71,98,9f,59,de,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(640)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3756)
c:\programme\iTunes\iTunesMiniPlayer.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\de.lproj\iTunesMiniPlayerLocalized.dll
c:\programme\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-21 11:31:49 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-04-21 09:31
.
Vor Suchlauf: 7.355.449.344 Bytes frei
Nach Suchlauf: 7.230.181.376 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
Current=2 Default=2 Failed=1 LastKnownGood=3 Sets=1,2,3,4
- - End Of File - - 296FDE6561C164EC3204587DF852A725
21.04.2011, 10:45
Baum-Darstellung