*seufz*

Okay wir werden jetzt ein paar Dateien zur weiteren Analyse einsenden. Bitte dieses Anleitung genau folgen!



Schritt 1:
Combofix-Skript

Zitat:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

• Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link
• Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!
• Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
• Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  http://www.trojaner-board.de/128502-weiterer-gvu-trojaner-100-euro-48h-trotz-abgesicherten-modus.html#post977233
  
  
  NetSvc::
  uuirpyju
  lgryr
  
  
  Driver::
  uuirpyju
  lgryr
  bDMusicb
  MaplomL
  
  
  Registry::
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
  "3524:TCP"=-
  
  
  Folder::
  c:\dokume~1\Mama\LOKALE~1\Temp
  
  
  Collect::
  c:\dokume~1\Mama\LOKALE~1\Temp\bDMusicb.sys
  C:\WINDOWS\system32\nicdfzh.dll
  c:\windows\system32\KB905474\wgasetup.exe
  c:\windows\Tasks\WGASetup.job
           

• Speichere dies als CFScript.txt auf deinem Desktop.
• Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
  Danach wieder anstellen nicht vergessen!
• Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.
• Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  
  
• Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
• Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
  Bitte füge es hier als Antwort (in CODE-Tags) ein.

Zitat:

Hinweis:
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

Schritt 2:
Nur weiter machen, wenn der Upload geklappt hat. Combofix wird dir das mitteilen.


Schritt 3:
Upload zur Analyse bei Trojaner-Board

• Bitte den folgenden Ordner/Dateien in ein Zip-Archiv packen (kein Passwort!)
  
  Code: Alles auswählenAufklappen

  ATTFilter

  c:\qoobox
           

• Jetzt die Dateien bitte nach folgende Anleitung zur Analyse einsenden.
  Trojaner-Board Upload-Channel

Schritt1. Combofix-Script
>>Anti Viren Scanner = aus
>>Script erstellt = ok
>>Rund combofix mit script=ok,
>>Restart = ok
>>txt erstellt = ok, sauber durchgelaufen

>>kein Hinweis auf Upload!
>>daher Schritt 2 und 3 noch nicht durchgeführt

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-12-23.01 - Mama 23.12.2012  18:57:25.3.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Mama\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Mama\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokume~1\Mama\LOKALE~1\Temp
c:\dokume~1\Mama\LOKALE~1\Temp\~DF2326.tmp
c:\dokume~1\Mama\LOKALE~1\Temp\AdobeARM.log
c:\dokume~1\Mama\LOKALE~1\Temp\Arabic.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Av-test.txt
c:\dokume~1\Mama\LOKALE~1\Temp\Croatian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Czech.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Danish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Dutch.bin
c:\dokume~1\Mama\LOKALE~1\Temp\English.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Finnish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\French.bin
c:\dokume~1\Mama\LOKALE~1\Temp\German.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Greek.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Hebrew.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Hungarian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Italian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Japanese.bin
c:\dokume~1\Mama\LOKALE~1\Temp\jusched.log
c:\dokume~1\Mama\LOKALE~1\Temp\Korean.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Lithuanian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Norwegian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Polish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Portuguese(Brazil).bin
c:\dokume~1\Mama\LOKALE~1\Temp\Portuguese.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Russian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\SimChin.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Slovak.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Slovenian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Spanish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\SWEDISH.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Thai.bin
c:\dokume~1\Mama\LOKALE~1\Temp\TradChin.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Turkish.bin
.
---- Vorheriger Suchlauf -------
.
c:\dokume~1\Mama\LOKALE~1\Temp\~DFAEC4.tmp
c:\dokume~1\Mama\LOKALE~1\Temp\AdobeARM.log
c:\dokume~1\Mama\LOKALE~1\Temp\Arabic.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Av-test.txt
c:\dokume~1\Mama\LOKALE~1\Temp\Croatian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Czech.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Danish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Dutch.bin
c:\dokume~1\Mama\LOKALE~1\Temp\English.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Finnish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\French.bin
c:\dokume~1\Mama\LOKALE~1\Temp\German.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Greek.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Hebrew.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Hungarian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Italian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Japanese.bin
c:\dokume~1\Mama\LOKALE~1\Temp\jusched.log
c:\dokume~1\Mama\LOKALE~1\Temp\Korean.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Lithuanian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Norwegian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\nsrC.tmp
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\ExecCmd.dll
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\nsExec.dll
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\NSISdl.dll
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\System.dll
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\UserInfo.dll
c:\dokume~1\Mama\LOKALE~1\Temp\nsrD.tmp\XP.mac
c:\dokume~1\Mama\LOKALE~1\Temp\Polish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Portuguese(Brazil).bin
c:\dokume~1\Mama\LOKALE~1\Temp\Portuguese.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Russian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\SimChin.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Slovak.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Slovenian.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Spanish.bin
c:\dokume~1\Mama\LOKALE~1\Temp\SWEDISH.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Thai.bin
c:\dokume~1\Mama\LOKALE~1\Temp\TradChin.bin
c:\dokume~1\Mama\LOKALE~1\Temp\Turkish.bin
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BDMUSICB
-------\Legacy_LGRYR
-------\Legacy_UUIRPYJU
-------\Service_bDMusicb
-------\Service_lgryr
-------\Service_MaplomL
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-11-23 bis 2012-12-23  ))))))))))))))))))))))))))))))
.
.
2012-12-23 18:08 . 2012-12-23 18:08	--------	d-----w-	C:\_OTL
2012-12-23 18:03 . 2012-12-23 18:03	16384	----a-w-	c:\windows\~DF5774.tmp
2012-12-23 17:43 . 2012-12-23 17:43	16384	----a-w-	c:\windows\~DF19EA.tmp
2012-12-23 16:42 . 2012-12-23 16:42	--------	d-----r-	c:\dokumente und einstellungen\Administrator\Eigene Dateien
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-16 12:23 . 2004-08-03 22:54	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-12-11 19:28 . 2012-04-25 16:43	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-11 19:28 . 2012-04-25 16:43	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-13 11:55 . 2004-08-03 22:46	1866496	----a-w-	c:\windows\system32\win32k.sys
2012-11-02 02:02 . 2004-08-03 22:57	375296	----a-w-	c:\windows\system32\dpnet.dll
2012-11-01 12:17 . 2004-08-03 22:58	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2012-11-01 12:17 . 2004-08-03 22:57	916992	----a-w-	c:\windows\system32\wininet.dll
2012-11-01 12:17 . 2004-08-03 22:57	43520	----a-w-	c:\windows\system32\licmgr10.dll
2012-11-01 00:35 . 2004-08-03 22:42	385024	----a-w-	c:\windows\system32\html.iec
2012-10-07 13:35 . 2012-10-07 13:35	821736	----a-w-	c:\windows\system32\npDeployJava1.dll
2012-10-07 13:35 . 2012-10-07 13:35	746984	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-02 18:04 . 2004-08-03 22:57	58368	----a-w-	c:\windows\system32\synceng.dll
2012-09-24 21:16 . 2012-10-18 17:07	93672	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2012-12-09 11:12 . 2012-12-09 11:12	262112	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"G Data AntiVirus Tray Application"="c:\programme\G Data\TotalCare\AVKTray\AVKTray.exe" [2011-05-11 923144]
"GDFirewallTray"="c:\programme\G Data\TotalCare\Firewall\GDFirewallTray.exe" [2011-10-28 1617416]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"RTHDCPL"="RTHDCPL.EXE" [2012-03-14 20065896]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2012-04-18 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
"LVCOMS"="c:\programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE" [2002-09-20 90112]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"d:\\games\\Might & Magic Heroes VI\\Might & Magic Heroes VI.exe"=
"d:\\games\\Steam\\SteamApps\\common\\empire total war\\Empire.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"d:\\games\\Steam\\SteamApps\\common\\total war shogun 2\\Shogun2.exe"=
"d:\\games\\Steam\\SteamApps\\common\\total war shogun 2\\data\\encyclopedia\\how_to_play.html"=
"d:\\games\\Steam\\SteamApps\\common\\total war shogun 2\\benchmarks\\benchmark_current_settings.bat"=
"d:\\games\\Steam\\SteamApps\\common\\total war shogun 2\\benchmarks\\benchmark_specify_properties.bat"=
"d:\\games\\Steam\\SteamApps\\common\\warlock - master of the arcane\\game.exe"=
"d:\\games\\Steam\\SteamApps\\common\\warlock - master of the arcane\\support\\game.url"=
"d:\\games\\Steam\\SteamApps\\common\\warlock - master of the arcane\\support\\paradox.url"=
"d:\\games\\Steam\\SteamApps\\common\\warlock - master of the arcane\\support\\ino_co_com.url"=
"d:\\games\\Steam\\SteamApps\\common\\skyrim\\SkyrimLauncher.exe"=
.
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [x]
R3 GDBackupSvc;G Data Backup Service;c:\programme\G Data\TotalCare\AVKBackup\AVKBackupService.exe [x]
R3 GDTunerSvc;G Data Tuner Service;c:\programme\G Data\TotalCare\AVKTuner\AVKTunerService.exe [x]
R3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [x]
R3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\Drivers\RTL2832UUSB.sys [x]
S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [x]
S0 GDNdisIc;GDNdisIc;c:\windows\system32\drivers\GDNdisIc.sys [x]
S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [x]
S1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [x]
S1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [x]
S2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [x]
S2 AVKProxy;G Data AntiVirus Proxy;c:\programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe [x]
S2 AVKService;G Data Scheduler;c:\programme\G Data\TotalCare\AVK\AVKService.exe [x]
S2 AVKWCtl;G Data Dateisystem Wächter;c:\programme\G Data\TotalCare\AVK\AVKWCtl.exe [x]
S2 GDTdiInterceptor;GDTdiInterceptor;c:\windows\system32\drivers\GDTdiIcpt.sys [x]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [x]
S3 GDFwSvc;G Data Personal Firewall;c:\programme\G Data\TotalCare\Firewall\GDFwSvc.exe [x]
S3 GDScan;G Data Scanner;c:\programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-12-23 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 19:28]
.
2012-10-05 c:\windows\Tasks\debutShakeIcon.job
- c:\programme\NCH Software\Debut\debut.exe [2012-09-30 09:15]
.
2012-11-19 c:\windows\Tasks\DoxillionReminder.job
- c:\programme\NCH Software\Doxillion\doxillion.exe [2012-11-19 15:50]
.
2012-10-05 c:\windows\Tasks\ExpressBurnDowngrade.job
- c:\programme\NCH Software\ExpressBurn\expressburn.exe [2012-09-30 16:34]
.
2012-10-05 c:\windows\Tasks\ExpressRipReminder.job
- c:\programme\NCH Software\ExpressRip\expressrip.exe [2012-09-30 15:15]
.
2012-12-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-29 19:12]
.
2012-12-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-29 19:12]
.
2012-11-07 c:\windows\Tasks\prismShakeIcon.job
- c:\programme\NCH Software\Prism\prism.exe [2012-09-30 09:16]
.
2012-10-05 c:\windows\Tasks\StampReminder.job
- c:\programme\NCH Software\Stamp\stamp.exe [2012-10-05 18:37]
.
2012-10-05 c:\windows\Tasks\SwitchReminder.job
- c:\programme\NCH Software\Switch\switch.exe [2012-09-30 17:23]
.
2012-10-05 c:\windows\Tasks\WavePadDowngrade.job
- c:\programme\NCH Software\WavePad\wavepad.exe [2012-10-05 18:38]
.
2012-10-05 c:\windows\Tasks\WavePadReminder.job
- c:\programme\NCH Software\WavePad\wavepad.exe [2012-10-05 18:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = iexplore
IE: Free YouTube Download - c:\dokumente und einstellungen\Mama\Anwendungsdaten\DVDVideoSoftIEHelpers\freeytvdownloader.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\Mama\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Mama\Anwendungsdaten\Mozilla\Firefox\Profiles\pbr5khqp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: 2012-10-27 16:17; {b9db16a4-6edc-47ec-a1f4-b86292ed211d}; c:\dokumente und einstellungen\Mama\Anwendungsdaten\Mozilla\Firefox\Profiles\pbr5khqp.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - ExtSQL: 2012-11-03 16:05; {ACAA314B-EEBA-48e4-AD47-84E31C44796C}; c:\dokumente und einstellungen\Mama\Anwendungsdaten\Mozilla\Firefox\Profiles\pbr5khqp.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-12-23 19:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-1364589140-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"??"=hex:5c,0a,2d,54,fc,a4,2f,0b,ae,a4,e3,b0,9e,a4,93,07,93,43,28,b2,31,c0,bb,
   e9,82,9d,1b,eb,9e,db,fb,25,4f,f3,b5,b5,5c,8f,28,9c,08,38,8f,03,9d,9c,5e,19,\
"??"=hex:5c,f1,83,89,34,2e,c3,29,75,49,0f,ac,fc,c3,b8,aa
.
[HKEY_USERS\S-1-5-21-861567501-1364589140-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:3b,d9,29,00,d1,5e,df,a1,f0,75,d5,f3,22,19,9b,70,40,9e,a6,69,a9,
   cc,f4,54,69,b0,c2,40,a3,0e,cd,7a,75,f3,ad,65,e8,f3,50,75,83,68,e5,eb,08,e1,\
"rkeysecu"=hex:e3,97,5d,19,ac,cc,57,a5,db,07,84,be,f4,d6,11,6b
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_135_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(3792)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\programme\Java\jre7\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\HPZipm12.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-12-23  19:05:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-12-23 18:05
ComboFix2.txt  2012-12-23 12:52
.
Vor Suchlauf: 5 Verzeichnis(se), 29.161.861.120 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 29.145.010.176 Bytes frei
.
- - End Of File - - 40D482A3626774909D2772E346622310