und das combofix-log:
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 12-02-11.03 - xxx 12.02.2012 16:52:35.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2048.1695 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4E.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4F.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml50.tmp
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-01-12 bis 2012-02-12 ))))))))))))))))))))))))))))))
.
.
2012-02-12 13:34 . 2012-02-12 13:34 -------- d-----w- C:\_OTL
2012-02-07 23:27 . 2012-02-07 23:27 -------- d-----w- c:\dokumente und einstellungen\Notfall-Admin\Anwendungsdaten\Avira
2012-02-07 23:24 . 2012-02-07 23:24 -------- d-----w- c:\programme\ESET
2012-02-07 22:41 . 2012-02-07 22:41 -------- d-----w- c:\dokumente und einstellungen\Notfall-Admin\Lokale Einstellungen\Anwendungsdaten\Mozilla
2012-02-07 22:40 . 2012-02-07 22:40 -------- d-----w- c:\dokumente und einstellungen\Notfall-Admin\Anwendungsdaten\Malwarebytes
2012-02-07 22:39 . 2012-02-07 22:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-02-07 22:39 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-02-06 22:19 . 2012-02-06 22:19 -------- d-sh--w- c:\dokumente und einstellungen\Notfall-Admin\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-15 21:27 . 2011-06-15 18:43 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2004-10-01 14:00 . 2008-01-18 11:02 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTZDetec.exe"="d:\programme\Creative\Creative Media Lite\CTZDetec.exe" [2007-12-18 401408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-15 281768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0oodbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-06-06 10:55 937920 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2010-05-11 15:43 6061400 ----a-w- c:\programme\Logitech\Vid\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid HD]
2010-05-11 15:43 6061400 ----a-w- c:\programme\Logitech\Vid\Vid.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWS]
2010-05-07 17:35 165208 ----a-w- c:\programme\Logitech\LWS\Webcam Software\LWS.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 19:24 32768 ----a-w- d:\programme\CyberLink\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59 254696 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\SiSoftware Sandra Lite 2010.SP1d\\RpcAgentSrv.exe"=
"d:\\Programme\\SiSoftware Sandra Lite 2010.SP1d\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Programme\\TagRename\\TagRename.exe"=
"c:\\Programme\\Logitech\\Vid\\Vid.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.06.2009 15:19 136360]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;d:\programme\SiSoftware Sandra Lite 2010.SP1d\RpcAgentSrv.exe [17.04.2010 14:47 93336]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 53528727
*Deregistered* - 53528727
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\ag1cjcx0.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Firefox helper - c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe
HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-02-12 16:57
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTZDetec.exe = d:\programme\Creative\Creative Media Lite\CTZDetec.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2012-02-12 16:59:41
ComboFix-quarantined-files.txt 2012-02-12 15:59
.
Vor Suchlauf: 1.194.401.792 Bytes frei
Nach Suchlauf: 1.148.657.664 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 8B5BF6F7D622E4383DA4F5F7921ACCE3
--- --- ---
12.02.2012, 17:07
Baum-Darstellung