Trojaner-Board - Security Suite

hab jetzt combofix laufen lassen; nachfolgend der Report:Combofix Logfile:
Code:
ComboFix 10-08-24.0C - Steinhart 26.08.2010  11:11:38.1.1 - x86 NETWORK

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.495.294 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Steinhart\Eigene Dateien\Downloads\ComboFix.exe

AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl

c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe

c:\windows\lmhosts

c:\windows\system32\kWab.dll

c:\windows\system32\nfr.assembly

c:\windows\system32\nfr.gpref

C:\xcrashdump.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-26 bis 2010-08-26  ))))))))))))))))))))))))))))))

.
 

2010-08-25 14:14 . 2010-08-25 14:14        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Malwarebytes

2010-08-25 14:14 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-25 14:13 . 2010-08-25 14:14        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-08-25 14:13 . 2010-08-25 14:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-08-25 14:13 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-08-25 13:53 . 2010-08-25 13:53        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Uniblue

2010-08-25 13:53 . 2010-08-25 13:53        --------        d-----w-        c:\programme\Uniblue

2010-08-25 13:47 . 2010-08-25 13:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinMaximizer
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-26 08:55 . 2006-02-02 13:32        --------        d-----w-        c:\programme\Symantec AntiVirus

2010-08-25 13:40 . 2004-11-23 11:05        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-08-25 12:37 . 2003-11-20 11:32        --------        d-----w-        c:\programme\IVECO Angebotsverwaltung

2010-07-28 10:03 . 2003-11-04 14:15        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-07-23 10:53 . 2004-02-26 17:24        --------        d-----w-        c:\programme\QuickTime

2010-07-23 10:47 . 2010-07-23 10:47        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Apple Computer

2010-07-23 10:38 . 2010-07-23 10:38        --------        d-----w-        c:\programme\Gemeinsame Dateien\Apple

2010-07-23 10:37 . 2010-07-23 10:37        --------        d-----w-        c:\programme\Apple Software Update

2010-07-23 10:37 . 2010-07-23 10:37        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple

2010-07-21 13:41 . 2010-07-21 13:41        0        ----a-w-        c:\windows\nsreg.dat

2010-07-15 07:21 . 2010-07-15 07:21        --------        d-----w-        c:\programme\OnlineControl

2010-07-01 15:07 . 2010-07-01 15:07        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ascentive

2010-07-01 15:07 . 2010-07-01 15:07        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Ascentive

2010-07-01 14:42 . 2010-07-01 14:42        --------        d-----w-        c:\programme\Ascentive

2010-07-01 14:42 . 2003-11-19 17:27        --------        d--h--w-        c:\programme\InstallShield Installation Information

2010-07-01 14:39 . 2010-07-01 14:39        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\InstallShield

2010-07-01 13:31 . 2010-07-01 12:36        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\ElevatedDiagnostics

2010-06-30 14:23 . 2010-06-30 14:21        --------        d-----w-        c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\TeamViewer

2010-06-30 11:46 . 2010-06-30 11:46        --------        d-----w-        c:\programme\CCleaner

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Performance Center"="c:\programme\Ascentive\Performance Center\ApcMain.exe" [2009-04-21 3239936]

"PC SpeedScan Pro"="c:\programme\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [2010-05-31 2080768]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 196608]

"GW Port Controller"="c:\progra~1\samsung\smarthru\PORTCTRL.EXE" [2004-02-09 163840]

"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-07-12 48752]

"vptray"="c:\progra~1\SYMANT~2\VPTray.exe" [2005-08-19 86112]

"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

"ALUAlert"="c:\programme\Symantec\LiveUpdate\ALUNotify.exe" [2005-04-11 263776]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

OnlineControl.lnk - c:\programme\OnlineControl\ocontrol.exe [2010-7-15 126976]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{0D3BCEA8-4976-4486-958B-5CCC018D11E8}"= "c:\windows\system32\seqsb.dll" [2004-11-17 45056]
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk

backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SmarThru Engine.lnk]

path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\SmarThru Engine.lnk

backup=c:\windows\pss\SmarThru Engine.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

2007-03-16 09:45        63712        ----a-w-        c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CARPService]

2002-03-20 16:48        4608        ----a-w-        c:\windows\system32\carpserv.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]

2002-09-05 17:14        69632        -c--a-w-        c:\windows\Dit.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]

2004-04-21 18:23        102912        -c--a-w-        c:\programme\FreePDF_XP\fpassist.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

2002-10-08 10:03        155648        ----a-r-        c:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\T-Eumex\\Tk-Suite-Basic\\tkserver\\tksock.exe"=

"c:\\Programme\\T-Eumex\\Tk-Suite-Basic\\tkserver\\tkmedia.exe"=

"c:\\Programme\\Samsung\\SmarThru\\UtlServer.EXE"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\Java\\jre1.5.0_04\\bin\\java.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\java.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"7070:TCP"= 7070:TCP:nfra
 

R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [17.11.2003 11:56 37568]

R3 fpcmbase;FRITZ!Card PCMCIA;c:\windows\system32\drivers\fpcmbase.sys [17.11.2003 11:56 481104]

S2 agfucapi;T-Eumex;c:\windows\system32\drivers\AGFUCAPI.sys [28.09.2004 12:18 273664]

S3 CVIA2AUD;Fujitsu VIA2 3D Environmental Audio;c:\windows\system32\drivers\cvia2aud.sys [04.11.2003 16:19 321472]

S3 CVIA2HALA;CVIA2HALA;c:\windows\system32\drivers\cvia2hal.sys [04.11.2003 16:19 217024]

S3 HSFHWVIA;HSFHWVIA;c:\windows\system32\drivers\HSFHWVIA.sys [04.11.2003 16:19 154148]

S3 IwUSB;IwUSB Driver;c:\windows\system32\drivers\IwUSB.sys [29.11.2002 00:01 20645]

S3 TOMCATWAN;T-Online DynamicISDN (WDM);c:\windows\system32\DRIVERS\WTOMCAT.SYS --> c:\windows\system32\DRIVERS\WTOMCAT.SYS [?]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

yucoajiyw

.

Inhalt des "geplante Tasks" Ordners
 

2010-07-30 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = https://collaboration.fiatgroup.com/CookieAuth.dll?GetLogon?curl=Z2FsitesZ2FIvecoShareZ2FGermany&reason=0&formdir=3

uInternet Settings,ProxyServer = http=127.0.0.1:6522

uInternet Settings,ProxyOverride = <local>

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

Trusted Zone: fiat.de\www.fis

TCP: {24CA77FE-D855-4D07-80C2-C129089B305C} = 192.168.1.1

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - hxxp://install.power-url.de/InstallationsAssistent.ocx

FF - ProfilePath - c:\dokumente und einstellungen\Steinhart\Anwendungsdaten\Mozilla\Firefox\Profiles\ktwl66su.default\

FF - prefs.js: browser.startup.homepage - hxxps://collaboration.fiatgroup.com/CookieAuth.dll?GetLogon?curl=Z2FsitesZ2FIvecoShareZ2FGermany&reason=0&formdir=3

FF - prefs.js: network.proxy.http - localhost

FF - prefs.js: network.proxy.http_port - 7070

FF - prefs.js: network.proxy.type - 0

FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKCU-Run-lbeqvbqt - c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe

HKCU-Run-RegistryBooster - c:\programme\Uniblue\RegistryBooster\launcher.exe

HKLM-Run-lbeqvbqt - c:\dokumente und einstellungen\Steinhart\Lokale Einstellungen\Anwendungsdaten\dkywcvgkl\qxjoaceshdw.exe

MSConfigStartUp-AuditMode - c:\sysprep\factory.exe

MSConfigStartUp-hid - c:\windows\hid.exe

MSConfigStartUp-ISDN SpeedManager - c:\programme\T-Online\ISDN SpeedManager\Tomcat.exe

MSConfigStartUp-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe

MSConfigStartUp-pp - c:\windows\pp03.exe

MSConfigStartUp-QuickTime Task - c:\programme\QuickTime\qttask.exe

MSConfigStartUp-spywarefighterguard - c:\programme\Fighters\spywarefighter\SpywarefighterUser.exe

MSConfigStartUp-sysldtray - c:\windows\ld02.exe

MSConfigStartUp-Windows AdControl - c:\program files\Windows AdControl\WinAdCtl.exe

MSConfigStartUp-Yahoo! Pager - c:\programme\Yahoo!\Messenger\ypager.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-26 11:15

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@DACL=(02 0010)

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@DACL=(02 0010)

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@DACL=(02 0010)

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Zeit der Fertigstellung: 2010-08-26  11:19:27

ComboFix-quarantined-files.txt  2010-08-26 09:19
 

Vor Suchlauf: 14 Verzeichnis(se), 11.120.848.896 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 11.109.470.208 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
 

- - End Of File - - BB09221B2FFCC349A6DBB45AAD725373
--- --- ---