| Veitstaenzer | 29.12.2013 13:19 |
Hey Schrauber,
ComboFix sagt: Code:
ComboFix 13-12-26.01 - Line 29.12.2013 13:06:19.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.422 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Line\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-11-28 bis 2013-12-29 ))))))))))))))))))))))))))))))
.
.
2013-12-28 12:09 . 2013-12-28 12:09 -------- d-----w- C:\FRST
2013-12-28 11:03 . 2013-12-28 11:03 -------- d-----w- c:\programme\CCleaner
2013-12-28 10:59 . 2013-12-28 10:59 -------- d-----w- c:\dokumente und einstellungen\Line\Lokale Einstellungen\Anwendungsdaten\DoNotTrackPlus
2013-12-28 10:59 . 2013-12-28 11:00 -------- d-----w- c:\dokumente und einstellungen\Line\Anwendungsdaten\CallingID
2013-12-28 10:59 . 2013-12-28 10:59 -------- d-----w- c:\dokumente und einstellungen\Line\Anwendungsdaten\AskToolbar
2013-12-28 10:59 . 2013-12-28 10:59 -------- d-----w- c:\dokumente und einstellungen\Line\Anwendungsdaten\Delta
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-12 12:31 . 2013-03-02 10:38 90400 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-12-12 12:31 . 2013-03-02 10:38 135648 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-12-11 10:24 . 2012-08-21 18:00 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-12-11 10:24 . 2012-02-28 19:12 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-12-01 17:23 . 2013-03-02 10:38 37352 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-11-13 02:59 . 2006-03-17 11:45 150528 ----a-w- c:\windows\system32\imagehlp.dll
2013-11-07 05:38 . 2006-03-17 11:45 591360 ----a-w- c:\windows\system32\rpcrt4.dll
2013-11-06 01:36 . 2008-05-05 06:25 8192 ----a-w- c:\windows\system32\xpsp4res.dll
2013-10-30 02:51 . 2006-03-17 11:45 1879168 ----a-w- c:\windows\system32\win32k.sys
2013-10-29 07:57 . 2006-03-17 11:45 920064 ----a-w- c:\windows\system32\wininet.dll
2013-10-29 07:57 . 2006-03-17 11:45 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-10-29 07:57 . 2006-03-17 11:45 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-10-29 07:57 . 2006-03-17 11:45 18944 ----a-w- c:\windows\system32\corpol.dll
2013-10-29 00:45 . 2006-03-17 11:45 385024 ----a-w- c:\windows\system32\html.iec
2013-10-23 23:45 . 2006-03-17 11:45 172032 ----a-w- c:\windows\system32\scrrun.dll
2013-10-12 15:56 . 2006-03-17 11:45 279552 ----a-w- c:\windows\system32\oakley.dll
2013-10-09 13:12 . 2006-03-17 11:45 287744 ----a-w- c:\windows\system32\gdi32.dll
2013-10-07 10:59 . 2006-03-17 11:45 608256 ----a-w- c:\windows\system32\crypt32.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2013-02-08 1521800]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-12-29 61952]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-02 761948]
"Toshiba Hotkey Utility"="c:\programme\Toshiba\Windows Utilities\Hotkey.exe" [2006-03-15 1769472]
"NDSTray.exe"="NDSTray.exe" [BU]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"DLPSP"="c:\programme\Dell Printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE" [2007-07-25 393944]
"BCSSync"="c:\programme\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-12-12 684600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ActivControl]
2010-12-17 13:37 1094000 ----a-w- c:\programme\Activ Software\ActivDriver\ActivControl2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater]
2013-02-08 14:10 1644680 ----a-w- c:\programme\Ask.com\Updater\Updater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Communicator]
2013-04-10 12:44 5164712 ----a-w- c:\programme\Microsoft Office Communicator\communicator.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-07-16 13:35 5458704 ----a-w- c:\programme\Logitech\Logitech Vid\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-10-14 11:36 2793304 ----a-w- c:\programme\Logitech\Logitech WebCam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2013-03-20 12:38 162856 ----a-w- c:\programme\PDF24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-04-19 13:19 18678376 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2005-05-13 10:01 118784 ----a-w- c:\programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Programme\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Microsoft Office Communicator\\communicator.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Logitech\\Logitech Vid\\Vid.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [02.03.2013 11:38 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.03.2013 11:38 440376]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [02.03.2013 11:38 1011768]
R2 DLSDB;Dell Printer Status Database;c:\programme\Dell Printers\Additional Color Laser Software\Status Monitor\dlsdbnt.exe [12.07.2008 21:16 140184]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [22.03.2006 07:47 7040]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [28.02.2013 17:45 161384]
S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [31.03.2009 05:55 47128]
S4 RsFx0103;RsFx0103 Driver;c:\windows\system32\drivers\RsFx0103.sys [30.03.2009 03:09 239336]
S4 SQLAgent$MSSMLBIZ;SQL Server-Agent (MSSMLBIZ);c:\programme\Microsoft SQL Server\MSSQL10.MSSMLBIZ\MSSQL\Binn\SQLAGENT.EXE [30.03.2009 03:23 366936]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www1.delta-search.com/?affID=120518&tt=220413_www1&babsrc=HP_ss&mntrId=98280018DECEE2C4
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Line\Anwendungsdaten\Mozilla\Firefox\Profiles\2t5i2u5v.default\
FF - prefs.js: browser.search.selectedEngine - Delta Search
FF - prefs.js: browser.startup.homepage - google.de
FF - ExtSQL: !HIDDEN! 2010-12-12 16:47; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: extensions.delta.tlbrSrchUrl -
FF - user.js: extensions.delta.id - 9828c1860000000000000018decee2c4
FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
FF - user.js: extensions.delta.instlDay - 15818
FF - user.js: extensions.delta.vrsn - 1.8.16.16
FF - user.js: extensions.delta.vrsni - 1.8.16.16
FF - user.js: extensions.delta.vrsnTs - 1.8.16.1611:59
FF - user.js: extensions.delta.prtnrId - delta
FF - user.js: extensions.delta.prdct - delta
FF - user.js: extensions.delta.aflt - babsst
FF - user.js: extensions.delta.smplGrp - none
FF - user.js: extensions.delta.tlbrId - base
FF - user.js: extensions.delta.instlRef - sst
FF - user.js: extensions.delta.dfltLng - en
FF - user.js: extensions.delta.excTlbr - false
FF - user.js: extensions.delta.ffxUnstlRst - true
FF - user.js: extensions.delta.admin - false
FF - user.js: extensions.delta.autoRvrt - false
FF - user.js: extensions.delta.rvrt - false
FF - user.js: extensions.delta.newTab - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-PC-Diagnose-Tool - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-12-29 13:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,95,b1,00,94,50,73,23,4e,81,d4,0c,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,95,b1,00,94,50,73,23,4e,81,d4,0c,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\igfxdev.dll
.
- - - - - - - > 'lsass.exe'(748)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2013-12-29 13:14:51
ComboFix-quarantined-files.txt 2013-12-29 12:14
.
Vor Suchlauf: 14 Verzeichnis(se), 73.784.115.200 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 74.258.526.208 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - EE1F22D51E1C840027F8A1BC466B0852
8F558EB6672622401DA993E1E865C861
Gruß,
Maddo |
FRST 32-Bit | FRST 64-Bit
Malwarebytes Anti-Malware 
AdwCleaner auf deinen Desktop.
SecurityCheck und:
