Zitat:

ComboFIX hat festgestellt das folgende realtime scanner aktiv sind
antivirus: ANTIVIR Personal Edition Classic Virenschutz.

Das ist ein Bug von AntiVir. Wenn der Schirm geschlossen ist, kannst Du CF laufen lassen.

Zitat:

Zitat von cosinus

Das ist ein Bug von AntiVir. Wenn der Schirm geschlossen ist, kannst Du CF laufen lassen.

Drumm bin ich wohl auch hier gelandet

cofi scan läuft, just a sec.

-Luis

Hallo,
hier nun der cofi log.

ComboFix 10-03-24.03 - **** 25.03.2010 15:01:59.1.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.657 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\Trojaner\cofi.exe

AV: AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00DA-0D24-347CA8A3377C}

.



(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\windows\eSellerateEngine.dll

c:\windows\pi.exe

c:\windows\regedit.com

c:\windows\system32\taskmgr.com

c:\windows\system32\tmp.reg



.

((((((((((((((((((((((( Dateien erstellt von 2010-02-25 bis 2010-03-25 ))))))))))))))))))))))))))))))

.



2010-03-25 10:34 . 2010-03-25 10:36 -------- d-----w- C:\rsit

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes

2010-03-25 07:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware

2010-03-25 07:36 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-25 07:10 . 2010-03-25 07:10 -------- d-----w- c:\programme\CCleaner

2010-03-21 07:20 . 2010-03-23 11:50 -------- d-----w- c:\programme\Trend Micro

2010-03-07 11:37 . 2010-03-19 12:38 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll

2010-02-26 17:47 . 2010-03-18 08:25 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp



.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-25 13:36 . 2008-10-31 13:09 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\StarOffice8

2010-03-25 13:36 . 2006-01-05 20:21 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2

2010-03-25 13:33 . 2007-08-26 09:04 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Lavasoft

2010-03-23 19:00 . 2009-09-11 13:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2

2010-03-20 09:02 . 2008-10-31 13:16 1 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\StarOffice8\user\uno_packages\cache\stamp.sys

2010-03-12 13:18 . 2006-09-24 09:18 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype

2010-02-09 06:42 . 2006-03-26 10:21 -------- d-----w- c:\programme\Google

2010-01-15 12:51 . 2007-03-30 15:56 107888 ----a-w- c:\windows\system32\CmdLineExt.dll

2010-01-05 09:52 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-01-05 09:52 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll

2009-12-31 16:14 . 2004-08-04 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys

.



(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe"="1&1 EasyLogin HIDE" [X]

"1&1 EasyLogin"="c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe" [2009-08-18 2227200]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-17 68856]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"SW20"="c:\windows\system32\sw20.exe" [2005-06-30 200704]

"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-04-08 496752]

"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]

"Power Manager"="c:\programme\Gembird\Power Manager\pm.exe" [2006-08-02 8343552]

"emMonitor"="c:\windows\emMon.exe" [2005-01-06 32768]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]

"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]



c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\

OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2005-12-14 61440]



c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\

OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2005-12-14 61440]

StarOffice 8.lnk - c:\programme\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]



c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2009-10-20 156784]

Picture Package VCD Maker.lnk - c:\programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2006-2-24 106496]



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\mssrkv32.exe,"



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\USB-PwrCtrl-DEMO\\USB-PwrCtrl.exe"=

"c:\\Programme\\Gembird\\Power Manager\\pm.exe"=

"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\Programme\\FRITZ!fax\\FriFax32.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=

"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=

"c:\\Programme\\AOL 9.0\\waol.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Xtend\\Die Jagd auf den Roten Baron 2\\acenet_server_release.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service



R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [12.01.2006 13:25 120320]

R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [04.11.2008 10:07 101248]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 07:42 135664]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [13.12.2006 18:58 1527900]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]

S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [13.12.2006 18:57 647242]

.

Inhalt des "geplante Tasks" Ordners



2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]



2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 06:41]



2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 06:41]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} - hxxp://192.168.178.23/plugin/client.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -



AddRemove-WinImage - d:\work\1\bootable cd project\downloads\winimage\winimage.exe







**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-03-25 15:09

Windows 5.1.2600 Service Pack 2 NTFS



Scanne versteckte Prozesse...



Scanne versteckte Autostarteinträge...



Scanne versteckte Dateien...





c:\windows\system32\mssrkv32.exe 552448 bytes executable



Scan erfolgreich abgeschlossen

versteckte Dateien: 1



**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------



[HKEY_USERS\S-1-5-21-515967899-616249376-839522115-1004\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Zeit der Fertigstellung: 2010-03-25 15:12:17

ComboFix-quarantined-files.txt 2010-03-25 14:12



Vor Suchlauf: 24 Verzeichnis(se), 37.096.427.520 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 38.338.355.200 Bytes frei



WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect



- - End Of File - - E3D37C4C79CB167A432B542F80FFB159