Trojaner-Board - HiJackThis Log bitte prüfen & auswerten !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJackThis Log bitte prüfen & auswerten ! (https://www.trojaner-board.de/77201-hijackthis-log-bitte-pruefen-auswerten.html)

HiJackThis Log bitte prüfen & auswerten !

Hab ein paar probleme mit meinen Rechner, er ist sehr langsam und stürzt gelegentlich mal ab, helft mir bitte und prüft mal den HiJackThis log und wertet ihn mal aus.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:43, on 07.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S14.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1246018861625
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1246018849703
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Unknown owner - C:\Programme\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 6646 bytes

Hallo und :hallo:

Das Logfile ist unauffällig, aber der IE8 ist noch nicht installiert! Bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo :)
Muss der denn unbedingt installiert sein der IE8? ja, wie mache ich das denn mit den Dateien? ich wollte es kopieren und da einfügen aber ich komme ja direkt in meinen Ordner und nun weiß ich nicht wie es gehen soll o.o

achso jetzt hab ichs auch kapiert lol, sorry hehe also hier der link...

File-Upload.net - hijackthis.log

Das ist nur von Hijackthis. Was ist mit RSIT und MalwareBytes?

so hier einmal von RSIT.

File-Upload.net - log.txt

von malwarebytes kommt gleich, lasse den eben durchlaufen ;)

und nun von malwarebytes:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

08.09.2009 14:16:17
mbam-log-2009-09-08 (14-16-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|J:\|K:\|L:\|M:\|)
Durchsuchte Objekte: 158803
Laufzeit: 49 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\PROG\Unipatch.exe (Trojan.Downloader) -> Delete on reboot.

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run | WinSys2
 

files to delete:

C:\WINDOWS\system32\winsys2.exe

C:\WINDOWS\DUMP21ff.tmp

C:\WINDOWS\system32\drivers\ntiomin.sys

E:\PROG\Unipatch.exe
 

drivers to delete:

ntiomin

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

gut, hab ich gemacht, also hier:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\winsys2.exe" deleted successfully.
File "C:\WINDOWS\DUMP21ff.tmp" deleted successfully.

Error: file "C:\WINDOWS\system32\drivers\ntiomin.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\ntiomin.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open file "E:\PROG\Unipatch.exe"
Deletion of file "E:\PROG\Unipatch.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Driver "ntiomin" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WinSys2" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Okay soweit. Wie machst sich mittlerweile Dein Rechner?

Ja ganz ok soweit... :)

Nur beim hochfahren ist er ziemlich langsam bzw kommt bissl schwer in die gänge... aber ansonsten gehts ^^

hey! naja der rechner spinnt immernoch :( vorhin wieder abgestürzt! Ich weiß auch net was da los ist... so ein blauer bildschirm kam!!!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Wichtig! Bitte die combofix.exe per Rechtsklick, "Ziel speichern unter" unter smss.exe abspeichern!
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken!

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die in smss.exe umbenannte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Code:

 ComboFix 09-09-13.05 - Administrator 14.09.2009 10:42.8.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.2952 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
 

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-08-14 bis 2009-09-14  ))))))))))))))))))))))))))))))

.
 

2009-09-10 19:53 . 2009-09-10 19:53        --------        d-----w-        c:\programme\CleanUp!

2009-09-03 09:30 . 2009-09-03 09:30        --------        d-----w-        c:\programme\Trend Micro

2009-08-17 14:14 . 2009-08-17 14:14        --------        d-----w-        c:\programme\GIMP-2.0
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-13 17:07 . 2009-05-24 13:21        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\gtk-2.0

2009-09-13 12:45 . 2009-01-04 21:45        47912        ----a-w-        c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2009-09-10 20:16 . 2009-07-04 07:48        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\UseNeXT

2009-09-10 10:48 . 2009-01-09 16:45        --------        d-----w-        c:\programme\Rockstar Games

2009-09-10 10:47 . 2009-01-04 17:09        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-08-31 10:59 . 2009-01-04 20:01        1984        ----a-w-        c:\windows\system32\d3d9caps.dat

2009-07-28 14:33 . 2009-03-18 11:39        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys

2009-07-27 18:31 . 2009-06-16 10:04        --------        d-----w-        c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Zylom

2009-07-27 17:49 . 2005-10-10 12:00        --------        d--h--w-        c:\programme\PrintSpooler

2009-07-16 14:41 . 2009-07-16 14:41        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf

2009-07-16 14:41 . 2009-07-16 14:41        0        ---ha-w-        c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2009-07-12 09:47 . 2009-07-12 09:47        604416        ----a-w-        c:\windows\system32\TUProgSt.exe

2009-07-12 09:47 . 2009-07-12 09:47        361216        ----a-w-        c:\windows\system32\TuneUpDefragService.exe

2009-07-04 16:31 . 2009-07-04 16:26        2516        --sha-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys

2009-07-04 16:26 . 2009-07-04 16:26        8        --sh--r-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BE50616D1B.sys

2008-10-27 09:37 . 2008-10-27 09:37        699488        ----a-w-        c:\programme\JUN2007_d3dx10_34_x86.cab

2008-10-27 09:36 . 2008-10-27 09:36        526160        ----a-w-        c:\programme\DXSETUP.exe

2008-03-09 06:25 . 2009-03-17 08:29        236        ---ha-w-        c:\programme\Gemeinsame Dateien\dx.reg

2006-05-03 10:06 . 2009-01-29 17:47        163328        --sh--r-        c:\windows\system32\flvDX.dll

2009-01-24 16:37 . 2009-01-04 21:56        848        --sha-w-        c:\windows\system32\KGyGaAvL.sys

2007-02-21 11:47 . 2009-01-29 17:47        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 13:30 . 2009-01-29 17:47        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

(((((((((((((((((((((((((((((   SnapShot_2009-08-31_10.57.24   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-01-04 15:23 . 2009-09-11 03:57        2055808              c:\windows\system32\FNTCACHE.DAT

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 86016]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2007-03-21 16126464]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-02 1657376]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Programme\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

"c:\\Programme\\Ubisoft\\Far Cry 2\\bin\\farcry2.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

"c:\\Programme\\Ubisoft\\Techland\\Call of Juarez - Bound in Blood\\CoJBiBGame_x86.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4
 

R3 DLKRTS;D-Link DFE-530TX+ PCI Adapter;c:\windows\system32\drivers\DLKRTS.SYS [10.10.2005 14:00 25434]

S2 AntiVirSchedulerService;Avira AntiVir Planer;"c:\programme\Avira\AntiVir Desktop\sched.exe" --> c:\programme\Avira\AntiVir Desktop\sched.exe [?]

S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [12.07.2009 11:47 604416]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [13.07.2009 19:32 1527900]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

Inhalt des "geplante Tasks" Ordners
 

2009-09-14 c:\windows\Tasks\1-Click Maintenance.job

- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 13:37]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s

FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6ztbtm1t.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=

FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - true

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-14 10:44

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(596)

c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
 

- - - - - - - > 'explorer.exe'(4040)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2009-09-14 10:45

ComboFix-quarantined-files.txt  2009-09-14 08:45

ComboFix2.txt  2009-09-14 08:40

ComboFix3.txt  2009-09-10 20:11

ComboFix4.txt  2009-08-31 11:10

ComboFix5.txt  2009-09-14 08:42
 

Vor Suchlauf: 16 Verzeichnis(se), 125.454.815.232 Bytes frei

Nach Suchlauf: 17 Verzeichnis(se), 125.431.283.712 Bytes frei
 

131