ducky_boy | 21.07.2014 17:59 | Ausgabe von combofix
Combofix Logfile: Code:
ComboFix 14-07-21.01 - Administrator 21.07.2014 18:44:34.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1789.1349 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-06-21 bis 2014-07-21 ))))))))))))))))))))))))))))))
.
.
2014-07-21 13:20 . 2014-07-02 03:11 8217224 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{086A03AD-EDD8-4DF2-AA6B-005BDF71F7FE}\mpengine.dll
2014-07-19 17:40 . 2014-07-19 17:40 -------- d-----w- c:\programme\ESET
2014-07-19 16:18 . 2014-07-19 20:37 -------- d-----w- C:\FRST
2014-07-19 15:54 . 2014-06-06 04:38 822384 ----a-w- c:\programme\Mozilla Firefox\icuuc52.dll
2014-07-19 15:54 . 2014-06-06 04:38 1022576 ----a-w- c:\programme\Mozilla Firefox\icuin52.dll
2014-07-19 15:54 . 2014-06-06 04:38 10594416 ----a-w- c:\programme\Mozilla Firefox\icudt52.dll
2014-07-19 15:48 . 2014-07-02 03:11 8217224 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-07-05 15:25 . 2007-04-04 16:53 81768 ----a-w- c:\windows\system32\xinput1_3.dll
2014-07-05 15:25 . 2014-07-05 15:25 -------- d-----w- c:\windows\Logs
2014-07-05 15:22 . 2014-07-05 15:25 -------- d-----w- c:\programme\Landwirtschafts Simulator 2011
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-19 16:24 . 2012-07-02 13:16 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-07-19 16:24 . 2012-07-02 13:16 699056 ----a-w- c:\windows\system32\FlashPlayerApp.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2014-03-11 951576]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-09-16 150040]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-09-16 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-09-16 178712]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-12-03 33718272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-11-21 959904]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe /startup [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Samsung\\Samsung Universal Print Driver 2\\PrinterSelector\\SUPDApp.exe"=
"c:\\Programme\\Landwirtschafts Simulator 2011\\FarmingSimulator2011.exe"=
"c:\\Programme\\Landwirtschafts Simulator 2011\\game.exe"=
.
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [31.10.2012 18:42 1617408]
S3 AMBFilt;AMBFilt;c:\windows\system32\drivers\Ambfilt.sys [02.07.2012 14:49 1656960]
.
Inhalt des "geplante Tasks" Ordners
.
2014-07-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-02 16:24]
.
2014-07-21 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job
- c:\windows\system32\xp_eos.exe [2014-03-27 23:28]
.
2014-07-08 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
- c:\windows\system32\xp_eos.exe [2014-03-27 23:28]
.
2014-07-21 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2014-03-11 08:13]
.
2014-07-21 c:\windows\Tasks\User_Feed_Synchronization-{2274B1BC-F61D-4C62-A481-136B2A82557F}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\fzk30xuc.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-07-21 18:48
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-448539723-1214440339-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1b,de,50,b7,59,83,bf,40,aa,ae,af,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1b,de,50,b7,59,83,bf,40,aa,ae,af,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_14_0_0_145_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3368)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2014-07-21 18:50:17
ComboFix-quarantined-files.txt 2014-07-21 16:50
.
Vor Suchlauf: 7 Verzeichnis(se), 238.296.690.688 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 238.299.205.632 Bytes frei
.
- - End Of File - - 1615BBDC68555DFCC00E39343D1D57A6 --- --- ---
72B8CE41AF0DE751C946802B3ED844B4 |