Trojaner-Board - Hohe Auslastung durch svchost.exe wegen Backdoor.Generic12.BKPA?

Hallo,

ich habe nicht viel Ahnung von Computern – und mir offenbar trotz Virenprogramm (AVG) erstmals einen Trojaner eingefangen.

Mein Problem begann damit, dass der AVG Residentenschutz beim Surfen mit Firefox warnte:
Trojaner Backdoor.Generic12.Bkpa

Fast zeitgleich erschien das Java-Symbol in der Leiste unten rechts.

Ich habe dann folgende Meldung infizierter Dateien im AVG Residentenschutz gefunden:

C:/Windows/system32/drivers/ctxvxffc.sys
C:/Windows/system32/drivers/asynxmac.sys
C:/Windows/system32/drivers/aec.sys

Der zweite ließ sich nicht entfernen. AVG-Kommentar „das Objekt befindet sich auf der Whitelist und ist eine wichtige Systemdatei, die nicht entfernt werden darf“.
Die anderen beiden sind im Virus Vault.

Ich habe danach einen Quickscan mit Malwarebyte gemacht - drei infizierte Dateien gefunden und entfernen lassen. Hier der Log:

Code:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Datenbank Version: 4183

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

09.06.2010 11:07:42

mbam-log-2010-06-09 (11-07-42).txt

 

Art des Suchlaufs: Quick-Scan

Durchsuchte Objekte: 120717

Laufzeit: 6 Minute(n), 12 Sekunde(n)

 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3

 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateien:

C:\WINDOWS\Temp\24.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\25.tmp (Rootkit.TDSS.Gen) -> Delete on reboot.

C:\Dokumente und Einstellungen\petrina\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Im Task Manager sah ich zunächst eine Datei namens cmd.exe zu um die 35% auslasten, die ist nach dem Neustart verschwunden, dafür belastet svchost jetzt zu ca. 50%. Auch wenn ich die Internetverbindung kappe.

Ich habe hier nichts zu genau diesem Problem gefunden (oder ich habe es nicht verstanden ;-)) und hoffe, ihr könnt mir mit einer für Laien verständlichen Anleitung helfen.

Mein Rechner (Samsung Laptop) läuft mit Window XP. Ich nutze die Windows-Firewall und das Virenprogramm AVG.

Die Logs von den Malwarebyte (Full Scan, keine Infizierungen mehr festgestellt) und Hijack This poste ich direkt hinterher, bei dem dritten geforderten Test weiß ich nicht, welches System ich habe, also versuche ich es mit OTL.

Vielen Dank schon mal!

Her der Malwarebyte Full Scan:

Code:

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Datenbank Version: 4183

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

09.06.2010 12:19:23

mbam-log-2010-06-09 (12-19-23).txt

 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Durchsuchte Objekte: 193708

Laufzeit: 42 Minute(n), 42 Sekunde(n)

 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0

 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)

 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)

 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)

 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)

 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Und hier Hijack This - leider in mehrere Teile geschnitten, ich kriege es sonst nicht hochgeladen:

Code:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:08:54, on 09.06.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\AVG\AVG9\avgchsvx.exe

D:\AVG\AVG9\avgrsx.exe

C:\WINDOWS\system32\spoolsv.exe

D:\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe

D:\AVG\AVG9\avgwdsvc.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe

C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\hkcmd.exe

D:\AVG\AVG9\avgtray.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\AGRSMMSG.exe

D:\iTunes\iTunesHelper.exe

C:\Programme\Samsung\DisplayManager\dmhkcore.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\siszpe32.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\igfxext.exe

C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe

D:\AVG\AVG9\avgnsx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Programme\Canon\CAL\CALMAIN.exe

C:\Programme\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Firefox\firefox.exe

D:\Firefox\firefox.exe

D:\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\AVG\AVG9\avgssie.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe

O4 - HKLM\..\Run: [AVG9_TRAY] D:\AVG\AVG9\avgtray.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [Power2GoExpress] NA

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: siszpe32.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

 

(geht noch weiter)

Combofix Logfile:

Code:

ComboFix 10-06-09.04 - *** 10.06.2010  15:50:34.1.2 - x86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.725 [GMT -4:00]

ausgeführt von:: d:\combofix\cofi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\SEC

c:\windows\SEC\CLEANUPFOLDER.INI

c:\windows\SEC\CONFIGSYS.EXE

c:\windows\SEC\INSTALL.EXE

c:\windows\SEC\INSTALL.INI

c:\windows\SEC\JRE150.EXE

c:\windows\SEC\MP10GER.EXE
 

Infizierte Kopie von c:\windows\system32\drivers\isapnp.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-05-10 bis 2010-06-10  ))))))))))))))))))))))))))))))

.
 

2010-06-09 23:16 . 2010-06-09 23:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-06-09 23:13 . 2010-06-09 23:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software

2010-06-09 14:46 . 2010-06-09 14:46        --------        d-----r-        c:\dokumente und einstellungen\NetworkService\Favoriten

2010-06-09 14:30 . 2010-06-09 14:30        46592        ----a-w-        c:\windows\system32\qproider.dll

2010-06-08 03:53 . 2010-06-08 03:53        --------        d-----w-        c:\windows\system32\XPSViewer

2010-06-08 03:53 . 2010-06-08 03:53        --------        d-----w-        c:\programme\MSBuild

2010-06-08 03:53 . 2010-06-08 03:53        --------        d-----w-        c:\programme\Reference Assemblies

2010-06-08 03:52 . 2008-07-06 12:06        89088        ----a-w-        c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll

2010-06-08 03:52 . 2008-07-06 12:06        89088        -c----w-        c:\windows\system32\dllcache\filterpipelineprintproc.dll

2010-06-08 03:52 . 2008-07-06 12:06        575488        -c----w-        c:\windows\system32\dllcache\xpsshhdr.dll

2010-06-08 03:52 . 2008-07-06 12:06        575488        ------w-        c:\windows\system32\xpsshhdr.dll

2010-06-08 03:52 . 2008-07-06 12:06        1676288        -c----w-        c:\windows\system32\dllcache\xpssvcs.dll

2010-06-08 03:52 . 2008-07-06 12:06        1676288        ------w-        c:\windows\system32\xpssvcs.dll

2010-06-08 03:52 . 2008-07-06 12:06        117760        ------w-        c:\windows\system32\prntvpt.dll

2010-06-08 03:52 . 2008-07-06 10:50        597504        -c----w-        c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2010-06-08 03:52 . 2008-07-06 10:50        597504        ------w-        c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe

2010-06-08 03:52 . 2010-06-08 03:52        --------        d-----w-        C:\b1dff9e0c48ce56837ec

2010-06-02 14:07 . 2010-06-02 14:07        29512        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgmfx86.sys

2010-06-02 14:07 . 2010-06-02 14:07        242896        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtdix.sys

2010-05-24 17:47 . 2010-05-24 17:47        61440        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-sse.dll

2010-05-24 17:47 . 2010-05-24 17:47        503808        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcp71.dll

2010-05-24 17:47 . 2010-05-24 17:47        499712        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\jmc.dll

2010-05-24 17:47 . 2010-05-24 17:47        348160        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcr71.dll

2010-05-24 17:47 . 2010-05-24 17:47        12800        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-d3d.dll

2010-05-13 12:01 . 2010-05-13 12:01        --------        d-----w-        c:\programme\iPod

2010-05-13 12:01 . 2010-05-13 12:02        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-05-13 11:59 . 2010-05-13 11:59        --------        d-----w-        c:\programme\QuickTime

2010-05-13 11:56 . 2010-05-13 11:56        --------        d-----w-        c:\programme\Bonjour

2010-05-13 11:54 . 2010-05-13 11:54        73000        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-10 19:32 . 2009-11-26 23:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9

2010-06-09 14:41 . 2008-03-15 19:53        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Skype

2010-06-09 14:30 . 2010-06-09 14:30        20        ----a-w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat

2010-06-09 14:14 . 2008-03-15 19:55        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM

2010-06-09 02:20 . 2008-06-09 01:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser

2010-06-08 04:11 . 2004-08-04 12:00        81324        ----a-w-        c:\windows\system32\perfc007.dat

2010-06-08 04:11 . 2004-08-04 12:00        452544        ----a-w-        c:\windows\system32\perfh007.dat

2010-06-03 15:29 . 2008-04-13 16:35        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer

2010-05-13 12:01 . 2008-04-13 16:34        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2010-05-10 16:16 . 2010-05-10 16:16        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes

2010-05-10 16:16 . 2010-05-10 16:16        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-05-10 15:58 . 2009-03-19 19:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-05-09 15:42 . 2007-10-25 21:17        --------        d-----w-        c:\programme\Java

2010-05-07 23:11 . 2010-05-07 23:11        41        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll

2010-05-02 03:21 . 2008-04-13 15:42        --------        d-----w-        c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla

2010-04-29 19:39 . 2010-05-10 16:16        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 19:39 . 2010-05-10 16:16        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-04-23 12:16 . 2010-04-23 12:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\Skype

2010-04-23 12:16 . 2008-03-15 19:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype

2010-04-12 21:29 . 2010-05-09 15:42        411368        ----a-w-        c:\windows\system32\deployJava1.dll

2010-04-08 17:20 . 2010-04-08 17:20        91424        ----a-w-        c:\windows\system32\dnssd.dll

2010-04-08 17:20 . 2010-04-08 17:20        107808        ----a-w-        c:\windows\system32\dns-sd.exe

2010-04-02 11:00 . 2010-04-02 11:00        503808        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcp71.dll

2010-04-02 11:00 . 2010-04-02 11:00        499712        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\jmc.dll

2010-04-02 11:00 . 2010-04-02 11:00        348160        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcr71.dll

2010-04-02 11:00 . 2010-04-02 11:00        61440        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-sse.dll

2010-04-02 11:00 . 2010-04-02 11:00        12800        ----a-w-        c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-d3d.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]

"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]

"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]

"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]

"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-11-01 995328]

"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-11-01 1101824]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-15 98304]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-15 118784]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-15 77824]

"DMHotKey"="c:\programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 356352]

"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 88204]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]

"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2010-04-28 142120]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk

backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^petrina^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]

path=c:\dokumente und einstellungen\petrina\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk

backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BatteryManager]

2006-04-25 12:05        2764800        ----a-w-        c:\programme\SAMSUNG\Samsung Battery Manager\BatteryManager.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-04-28 19:06        142120        ----a-w-        d:\itunes\iTunesHelper.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]

2010-03-11 08:02        208528        ----a-w-        d:\pdf24 creator\pdf24\pdf24.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-18 01:53        421888        ----a-w-        c:\programme\QuickTime\QTTask.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2004-11-02 18:24        32768        ----a-w-        c:\programme\CyberLink\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]

fixmator        REG_SZ                 
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"d:\\iTunes\\iTunes.exe"=

"d:\\Skype\\Phone\\Skype.exe"=
 

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [25.10.2007 17:38 10112]

R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [25.10.2007 17:39 4300]

R2 SRS_PostInstaller;SRS PostInstaller Service;c:\programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [28.11.2005 06:06 31744]

R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [28.11.2005 06:06 19456]

S0 ctxvxffc;ctxvxffc; [x]

.

Inhalt des "geplante Tasks" Ordners
 

2010-05-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = *.local

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de

FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000006.dll

FF - plugin: d:\firefox\plugins\npdeployJava1.dll

FF - plugin: d:\firefox\plugins\nppopcaploader.dll

FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

d:\firefox\greprefs\all.js - pref("ui.use_native_colors", true);

d:\firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

d:\firefox\greprefs\all.js - pref("svg.smil.enabled", false);

d:\firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

d:\firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

d:\firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

d:\firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

d:\firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

MSConfigStartUp-OM_Monitor - d:\olympus\Monitor.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-06-10 15:54

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Zeit der Fertigstellung: 2010-06-10  15:56:06

ComboFix-quarantined-files.txt  2010-06-10 19:56
 

Vor Suchlauf: 8 Verzeichnis(se), 26.936.823.808 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 26.888.036.352 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
 

- - End Of File - - 0667E025000938560F8A5A459381ECD8

--- --- ---