Combofix Logfile: Code:
ComboFix 13-09-02.02 - Daniel 03.09.2013 10:20:26.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.958.84 [GMT 2:00]
ausgeführt von:: g:\dokumente und einstellungen\Daniel\Desktop\ComboFix.exe
AV: Norton Internet Security CBE *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security CBE *Enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
g:\dokumente und einstellungen\Daniel\4.0
g:\programme\mbar-1.07.0.1005.exe
g:\programme\Microsoft\Microsoft
g:\programme\Microsoft\Microsoft\Search Enhancement Pack\Search Box Extension\querydat.xml
g:\programme\Microsoft\Microsoft\User Account Pictures\Daniel.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Astronaut.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Auto.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Ball.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Ente.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Fisch.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Flugzeug.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Frosch.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Gitarre.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Hund.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Karate.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Katze.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Motocross.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Palmen.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Pferde.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Rosa Blume.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Rote Blume.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Schach.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Schmetterling.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Schneeflocke.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Skater.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Start.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Strand.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Default Pictures\Tropfen.bmp
g:\programme\Microsoft\Microsoft\User Account Pictures\Gast.bmp
g:\programme\Microsoft\Microsoft\USMT\iconlib.dll
g:\programme\Microsoft\Microsoft\WLSetup\Logs\2009-07-11_21-46_7ac-hbsb0bph.log
g:\programme\Microsoft\Microsoft\WLSetup\Logs\2009-11-19_20-13_ad4-h3g9plnv.log
g:\programme\Microsoft\Microsoft\WLSetup\Logs\2010-09-10_20-54_594-awm6ewcd.log
g:\programme\Microsoft\Microsoft\WPD\USB#VID_0FCE&PID_0166#42583930324856425139.ico
g:\programme\Microsoft\Microsoft\WPD\USB#VID_22B8&PID_6415&MI_00#6&16315A99&0&0000.ico
g:\windows\system32\AF15BDAEX.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-08-03 bis 2013-09-03 ))))))))))))))))))))))))))))))
.
.
2013-09-02 17:17 . 2013-09-02 17:17 -------- d-----w- G:\FRST
2013-08-16 15:03 . 2013-08-16 15:03 -------- d-----w- g:\dokumente und einstellungen\All Users\Anwendungsdaten\gotomaxx
2013-08-15 06:51 . 2013-08-15 06:56 -------- d-----w- g:\windows\system32\MRT
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-06 18:14 . 2013-03-17 21:58 692104 ----a-w- g:\windows\system32\FlashPlayerApp.exe
2013-08-06 18:14 . 2013-03-17 21:58 71048 ----a-w- g:\windows\system32\FlashPlayerCPLApp.cpl
2013-08-02 23:48 . 2006-10-18 20:47 1543680 ------w- g:\windows\system32\wmvdecod.dll
2013-07-25 18:07 . 2008-04-14 12:00 841216 ----a-w- g:\windows\system32\wininet.dll
2013-07-25 18:06 . 2008-04-14 12:00 1830912 ---ha-w- g:\windows\system32\inetcpl.cpl
2013-07-25 18:06 . 2010-01-21 16:34 78336 ---ha-w- g:\windows\system32\ieencode.dll
2013-07-25 18:06 . 2008-04-14 12:00 17408 ---ha-w- g:\windows\system32\corpol.dll
2013-07-10 10:37 . 2008-04-14 12:00 406016 ----a-w- g:\windows\system32\usp10.dll
2013-07-04 07:33 . 2008-04-14 12:00 2152448 ----a-w- g:\windows\system32\ntoskrnl.exe
2013-07-04 07:33 . 2008-04-14 07:30 2031104 ----a-w- g:\windows\system32\ntkrnlpa.exe
2013-06-19 11:14 . 2013-05-09 10:15 142496 ----a-w- g:\windows\system32\drivers\SYMEVENT.SYS
2013-06-11 18:48 . 2013-06-11 18:48 9089416 ----a-w- g:\windows\system32\FlashPlayerInstaller.exe
2013-06-05 09:08 . 2008-04-14 12:00 1876864 ----a-w- g:\windows\system32\win32k.sys
2010-12-11 14:51 . 2010-12-11 14:51 4236872 ----a-w- g:\programme\veetle-0.9.18.exe
2010-11-03 17:30 . 2010-11-03 17:30 884215 ----a-w- g:\programme\kurve.exe
2010-06-19 12:48 . 2010-06-19 12:47 18499623 ----a-w- g:\programme\vlc-1.0.5-win32.exe
2008-09-21 21:24 . 2008-09-21 21:24 2404880 ----a-w- g:\programme\WLinstaller.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" [2005-11-01 163840]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="g:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\J:\0autocheck autochk *
.
[HKLM\~\startupfolder\G:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WPN111 Smart Wizard.lnk]
path=g:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WPN111 Smart Wizard.lnk
backup=g:\windows\pss\NETGEAR WPN111 Smart Wizard.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-04-04 21:06 958576 ----a-w- g:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2013-03-21 03:10 472992 ----a-w- g:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AmazonMP3DownloaderHelper]
2013-04-05 21:55 397632 ----a-w- g:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Program Files\Amazon\MP3 Downloader\AmazonMP3DownloaderHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
2010-10-22 00:00 2105344 ----a-w- g:\programme\avmwlanstick\WLanGUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-03-01 14:22 577536 ---ha-w- g:\windows\soundman.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 11:37 517096 ----a-w- g:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2006-10-24 18:05 204288 ------w- g:\programme\Windows Media Player\wmpnscfg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVM WLAN Connection Service"=2 (0x2)
"WMPNetworkSvc"=2 (0x2)
"SwitchBoard"=3 (0x3)
"SuperRam"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"getPlus(R) Helper"=3 (0x3)
"fsssvc"=3 (0x3)
"SkypeUpdate"=2 (0x2)
"RichVideo"=2 (0x2)
"AdobeFlashPlayerUpdateSvc"=3 (0x3)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"=g:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"MsnMsgr"="g:\progra~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="g:\programme\QuickTime\qttask.exe" -atboottime
"Babylon Client"=g:\programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"g:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"g:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"g:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\aoe\\age2_x1\\AGE2_X1.ICD"=
"g:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"g:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 SymDS;Symantec Data Store;g:\windows\system32\drivers\NIS\1404000.028\symds.sys [16.06.2013 17:21 367704]
R0 SymEFA;Symantec Extended File Attributes;g:\windows\system32\drivers\NIS\1404000.028\symefa.sys [16.06.2013 17:21 934488]
R1 BHDrvx86;BHDrvx86;g:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\Definitions\BASHDefs\20130715.001\BHDrvx86.sys [18.07.2013 16:57 1002072]
R1 ccSet_NIS;Norton Internet Security Settings Manager;g:\windows\system32\drivers\NIS\1404000.028\ccsetx86.sys [16.06.2013 17:21 134744]
R1 SymIRON;Symantec Iron Driver;g:\windows\system32\drivers\NIS\1404000.028\ironx86.sys [16.06.2013 17:21 175264]
R2 NIS;Norton Internet Security;g:\programme\Norton Internet Security CBE\Engine\20.4.0.40\ccsvchst.exe [16.06.2013 17:21 144368]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;g:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [27.08.2013 11:43 108120]
R3 IDSxpx86;IDSxpx86;g:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.1.1.2\Definitions\IPSDefs\20130830.001\IDSXpx86.sys [31.08.2013 08:41 380832]
S3 APL531;OVT Scanner;g:\windows\system32\drivers\ov550i.sys [30.07.2006 22:44 580992]
S3 avmeject;AVM Eject;g:\windows\system32\drivers\avmeject.sys [17.09.2011 18:21 4352]
S3 camfilt;camfilt;g:\windows\system32\drivers\camfilt.sys [13.09.2008 20:45 22656]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;g:\windows\system32\DNINDIS5.sys [08.09.2008 15:23 17149]
S3 DrvAgent32;DrvAgent32;g:\windows\system32\drivers\DrvAgent32.sys [03.03.2012 22:23 23456]
S3 fwlanusbn;FRITZ!WLAN N;g:\windows\system32\drivers\fwlanusbn.sys [17.09.2011 18:20 586752]
S3 mbamchameleon;mbamchameleon;g:\windows\system32\drivers\mbamchameleon.sys [25.05.2013 10:29 35144]
S3 motccgp;Motorola USB Composite Device Driver;g:\windows\system32\drivers\motccgp.sys [12.04.2009 19:54 18176]
S3 motccgpfl;MotCcgpFlService;g:\windows\system32\drivers\motccgpfl.sys [12.04.2009 19:54 7680]
S3 WPN111;Wireless USB 2.0 Adapter with RangeMax Service;g:\windows\system32\DRIVERS\WPN111.sys --> g:\windows\system32\DRIVERS\WPN111.sys [?]
S4 SkypeUpdate;Skype Updater;g:\programme\Skype\Updater\Updater.exe [03.06.2013 16:34 162408]
S4 SwitchBoard;SwitchBoard;g:\programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 13:37 517096]
.
Inhalt des "geplante Tasks" Ordners
.
2013-09-02 g:\windows\Tasks\Adobe Flash Player Updater.job
- g:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-17 18:14]
.
2013-06-04 g:\windows\Tasks\AdobeAAMUpdater-1.0-DANIEL-A1AFE3FA-Daniel.job
- g:\programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2013-03-21 03:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
uInternet Settings,ProxyOverride = 127.0.0.1;fritz.box
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: add to &BOM - g:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: An vorhandene PDF-Datei anfügen - g:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Linkziel an vorhandene PDF-Datei anhängen - g:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - g:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Öffnen mit WordPerfect - g:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1218209098
FF - ProfilePath - g:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\0vqj7nm8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - ExtSQL: 2013-09-01 17:33; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; g:\dokumente und einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\0vqj7nm8.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-AdobeCS6ServiceManager - g:\programme\Gemeinsame Dateien\Adobe\CS6ServiceManager\CS6ServiceManager.exe
MSConfigStartUp-SuperRam - g:\programme\PGWARE\SuperRam\SuperRamTray.exe
AddRemove-OVT Scanner - g:\windows\omniuns.exe USB\Vid_05a9&PID_1550 OVT Scanner
AddRemove-{09FF4DB8-7DE9-4D47-B7DB-915DB7D9A8CA} - g:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
AddRemove-Advanced Archive Password Recovery - g:\eigene dateien\Downloads\Advanced Archive Password Recovery\uninstall.exe
AddRemove-Amazon MP3-Downloader - g:\dokumente und einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Program Files\Amazon\MP3 Downloader\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2013-09-03 10:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\NIS]
"ImagePath"="\"g:\programme\Norton Internet Security CBE\Engine\20.4.0.40\ccSvcHst.exe\" /s \"NIS\" /m \"g:\programme\Norton Internet Security CBE\Engine\20.4.0.40\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):1a,a6,96,fe,25,be,a1,6a,c7,67,d4,18,07,31,e0,16,97,da,0e,44,a5,
e1,59,4b,f2,2b,33,0c,4e,1f,1a,ba,53,96,1e,c1,46,61,d9,0c,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{df5c9338-1200-4d98-9a70-c9bf551e89f4}]
@Denied: (Full) (Everyone)
"Model"=dword:00000065
"Therad"=dword:00000022
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,88,79,0d,22,8e,33,17,75,bd,21,a1,6d,58,c6,ea,df,29,ed,2c,3b,1c,36,\
.
Zeit der Fertigstellung: 2013-09-03 10:32:27
ComboFix-quarantined-files.txt 2013-09-03 08:32
.
Vor Suchlauf: 9 Verzeichnis(se), 213.678.415.872 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 214.869.651.456 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 7AAADD02717AAFF3C79241AED294374F --- --- ---
671B81004FDD1588FA9ED1331C9CECA9 |