Trojaner-Board - Gema Trojaner - logfiles im Thread

Code:
ComboFix 12-03-30.06 - Administrator 30.03.2012  18:51:18.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1015.721 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\Administrator\WINDOWS

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-02-28 bis 2012-03-30  ))))))))))))))))))))))))))))))

.

.

2012-03-30 06:37 . 2005-06-21 14:49        167936        ----a-w-        c:\windows\system32\igfxres.dll

2012-03-30 06:07 . 2012-03-30 06:07        --------        d-----w-        C:\_OTL

2012-03-17 21:53 . 2012-03-17 21:53        --------        d-----w-        c:\programme\ESET

2012-03-17 21:47 . 2012-03-17 21:47        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes

2012-03-17 21:47 . 2012-03-17 21:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2012-03-17 21:47 . 2012-03-17 21:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2012-03-17 21:47 . 2011-12-10 14:24        20464        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-03-17 17:18 . 2012-03-17 17:18        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira

2012-03-17 15:37 . 2012-03-17 15:38        --------        d-----w-        c:\dokumente und einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\AskToolbar

2012-03-17 15:37 . 2012-01-31 07:57        74640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2012-03-17 15:37 . 2012-01-31 07:57        137416        ----a-w-        c:\windows\system32\drivers\avipbb.sys

2012-03-17 15:37 . 2011-09-16 15:09        36000        ----a-w-        c:\windows\system32\drivers\avkmgr.sys

2012-03-17 15:37 . 2012-03-17 15:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2012-03-17 15:37 . 2012-03-17 15:37        --------        d-----w-        c:\programme\Avira

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-16 11:07 . 2011-07-03 22:05        414368        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-02-03 09:57 . 2003-04-02 12:00        1860224        ----a-w-        c:\windows\system32\win32k.sys

2012-01-11 19:06 . 2012-02-17 08:35        3072        ------w-        c:\windows\system32\iacenc.dll

2012-01-09 16:20 . 2009-09-02 09:19        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Logitech . Produktregistrierung.lnk]

path=c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk

backup=c:\windows\pss\Logitech . Produktregistrierung.lnkStartup

.

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NkbMonitor.exe.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NkbMonitor.exe.lnk

backup=c:\windows\pss\NkbMonitor.exe.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-01-02 09:07        843712        ----a-r-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2012-01-03 21:51        37296        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 02:22        15360        ----a-w-        c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

2005-06-21 14:44        126976        ----a-w-        c:\windows\system32\hkcmd.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IE]

2009-03-08 12:09        638816        ----a-w-        c:\programme\Internet Explorer\iexplore.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2005-06-21 14:48        155648        ----a-w-        c:\windows\system32\igfxtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]

2009-05-08 09:35        2780432        ----a-w-        d:\programme\Logitech\Logitech WebCam Software\LWS.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]

2012-01-13 13:53        460872        ----a-w-        c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-04-08 10:59        254696        ----a-w-        c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

.

R0 NBVol;Nero Backup Volume Filter Driver;c:\windows\system32\drivers\NBVol.sys [24.12.2011 00:07 56496]

R0 NBVolUp;Nero Backup Volume Upper Filter Driver;c:\windows\system32\drivers\NBVolUp.sys [24.12.2011 00:07 12464]

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.03.2012 17:37 36000]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.03.2012 17:37 86224]

R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [17.03.2012 23:47 652360]

R2 NAUpdate;Nero Update;c:\programme\Nero\Update\NASvc.exe [25.11.2011 17:32 687400]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17.03.2012 23:47 20464]

S2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [17.03.2012 17:37 463824]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.07.2010 19:11 135664]

S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 11:58 11336]

S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.07.2010 19:11 135664]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - 28626534

*Deregistered* - 28626534

.

Inhalt des "geplante Tasks" Ordners

.

2012-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-08 17:11]

.

2012-03-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-07-08 17:11]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyServer = 10.10.0.120:3128

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 83.169.185.33 83.169.185.97

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\th6lf7co.default\

FF - prefs.js: browser.startup.homepage - about:blank

FF - prefs.js: network.proxy.ftp - 10.10.0.120

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.http - 10.10.0.120

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - 10.10.0.120

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - 10.10.0.120

FF - prefs.js: network.proxy.ssl_port - 3128

FF - prefs.js: network.proxy.type - 0

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

MSConfigStartUp-ApnUpdater - c:\programme\Ask.com\Updater\Updater.exe

AddRemove-{79A765E1-C399-405B-85AF-466F52E918B0} - c:\programme\Ask.com\Updater\Updater.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-03-30 18:58

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_USERS\S-1-5-21-790525478-1500820517-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,15,69,e9,c7,17,7c,bb,46,87,2f,ec,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,15,69,e9,c7,17,7c,bb,46,87,2f,ec,\

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'explorer.exe'(312)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2012-03-30  19:02:37

ComboFix-quarantined-files.txt  2012-03-30 17:02

.

Vor Suchlauf: 8.242.794.496 Bytes frei

Nach Suchlauf: 8.436.465.664 Bytes frei

.

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

.

- - End Of File - - 4A147A8BA1A91D794B7FEDC5857D84C6