Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-06-20.03 - SemI Master 21.06.2010 0:34.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Thumbs.db
c:\windows\system32\msncpecrawler.exe.manifest
c:\windows\system32\SHELLLNK.TLB
c:\windows\system32\vbpng1.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ZWUNZI_SERVICE
((((((((((((((((((((((( Dateien erstellt von 2010-05-20 bis 2010-06-20 ))))))))))))))))))))))))))))))
.
2010-06-19 23:33 . 2010-06-19 23:34 -------- d-----w- c:\programme\QuickTime
2010-06-19 23:33 . 2010-06-19 23:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-06-19 14:27 . 2010-06-19 14:27 -------- d-----w- C:\_OTL
2010-06-14 00:39 . 2010-06-14 00:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2010-06-13 23:09 . 2009-09-04 15:44 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2010-06-13 23:09 . 2009-09-04 15:44 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2010-06-13 23:08 . 2009-09-04 15:29 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2010-06-13 23:08 . 2009-09-04 15:29 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2010-06-13 23:08 . 2009-09-04 15:29 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2010-06-13 23:08 . 2009-09-04 15:29 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2010-06-13 23:08 . 2009-09-04 15:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2010-06-13 23:08 . 2009-03-09 13:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2010-06-13 23:08 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2010-06-13 23:08 . 2009-03-09 13:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2010-06-13 23:08 . 2009-09-04 15:44 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2010-06-13 23:08 . 2009-03-16 12:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2010-06-13 23:08 . 2009-03-16 12:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2010-06-13 23:08 . 2009-03-16 12:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2010-05-31 11:47 . 2004-05-02 08:47 23040 ----a-r- c:\windows\system32\drivers\GVCplDrv.sys
2010-05-28 00:09 . 2010-05-28 00:09 41872 ----a-w- c:\windows\system32\xfcodec.dll
2010-05-22 14:27 . 2010-05-22 15:11 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-05-22 14:27 . 2010-06-13 22:53 -------- d-----w- c:\programme\DVDVideoSoft
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-20 22:23 . 2009-03-18 13:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Xfire
2010-06-20 16:04 . 2008-11-26 20:29 4212 ---h--w- c:\windows\system32\zllictbl.dat
2010-06-19 14:32 . 2010-01-29 12:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-19 14:28 . 2006-06-01 19:06 84842 ----a-w- c:\windows\system32\perfc007.dat
2010-06-19 14:28 . 2006-06-01 19:06 459830 ----a-w- c:\windows\system32\perfh007.dat
2010-06-13 23:13 . 2008-11-27 19:31 -------- d-----w- c:\programme\Steam
2010-06-13 22:53 . 2009-11-15 11:56 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-06-11 11:32 . 2009-12-20 14:38 -------- d-----w- c:\programme\TeamSpeak 3 Client
2010-06-08 12:17 . 2009-03-18 13:17 -------- d-----w- c:\programme\Xfire
2010-06-03 23:15 . 2010-05-12 20:38 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-06-03 23:15 . 2010-05-12 20:38 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-28 17:08 . 2008-11-26 20:43 42368 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-18 19:34 . 2010-05-18 17:41 -------- d-----w- c:\programme\Microsoft ActiveSync
2010-05-18 19:27 . 2008-11-26 21:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-05-15 17:15 . 2010-05-15 17:15 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2010-05-12 20:38 . 2010-05-12 20:38 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-05-06 12:38 . 2010-05-07 20:10 8436224 ----a-w- c:\windows\Internet Logs\xDB1.tmp
2010-04-29 13:39 . 2010-01-29 12:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-29 12:52 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 20:15 . 2009-01-18 11:29 16852388 ----a-w- c:\windows\Internet Logs\tvDebug.zip
2010-03-30 12:50 . 2010-04-15 18:54 825344 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Gutscheinmieze\uninstall.exe
2009-11-17 13:01 . 2010-05-18 17:44 1456640 ----a-w- c:\programme\Gemeinsame Dateien\Falk Navi-Manager.msi
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2008-11-29 16:36 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2008-11-29 16:36 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2008-11-29 16:36 216064 --sh--r- c:\windows\system32\nbDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 755480]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"nwiz"="nwiz.exe" [2007-06-28 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"SkyTel"="SkyTel.EXE" [2007-04-04 1822720]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 16126464]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-31 136600]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-06-01 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"VF0415Inst"="c:\windows\system32\V0415Pin.dll" [2008-07-07 40960]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Xfire.lnk - c:\programme\Xfire\Xfire.exe [2010-5-28 3493264]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-05-07 20:35 1238352 ----a-w- c:\programme\Steam\Steam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Live! Central"="c:\programme\Creative\Creative Live! Cam\Live! Central\CTLVCentral.exe" /mode2
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Steam\\SteamApps\\hard_guy\\counter-strike source\\hl2.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Steam\\SteamApps\\hard_guy\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:TCP"= 8767:TCP:ts server
"8767:UDP"= 8767:UDP:ts server
"20000:UDP"= 20000:UDP:mc
"20000:TCP"= 20000:TCP:mc
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.11.2009 21:57 135336]
R3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;c:\windows\system32\drivers\livecamv.sys [28.12.2008 01:31 31616]
R3 VCSVADHWSer;Avnex Virtual Audio Device (WDM);c:\windows\system32\drivers\vcsvad.sys [30.08.2009 02:47 17792]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\drivers\windsl.sys [26.11.2008 23:52 47056]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\drivers\CtClsFlt.sys [14.07.2009 01:20 135616]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [18.06.2009 23:23 13224]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [06.04.2009 13:19 23064]
S3 V0415Afx;Creative Camera VF0415 Audio Effects Driver;c:\windows\system32\drivers\V0415Afx.sys [14.07.2009 01:21 160768]
S3 V0415Vid;Creative Live! Cam Video IM Ultra Driver;c:\windows\system32\drivers\V0415Vid.sys [14.07.2009 01:21 282464]
S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\windsl.sys [26.11.2008 23:52 47056]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Inhalt des "geplante Tasks" Ordners
2010-06-20 c:\windows\Tasks\GlaryInitialize.job
- c:\programme\Glary Utilities\initialize.exe [2010-03-09 18:44]
2010-05-12 c:\windows\Tasks\shutdown.job
- c:\windows\system32\shutdown.exe [2006-06-01 19:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = hxxp://www.internetcologne.de
IE: Free YouTube Download - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {40AB6EDA-B8A8-415C-90A9-A5430040CA0E} = 81.173.194.69 81.173.194.77
DPF: {22611F8E-2FC5-4440-B261-C52A420B8D2A} - hxxp://mserver.homelinux.com/VortexIPFrontEnd/VortexIP-ActiveXLive.CAB
DPF: {76CBA0D8-ABB9-4DD0-9BD0-2BDD800E02D3} - hxxp://mserver.homelinux.com/VortexIPFrontEnd/Joystick-ActiveX.CAB
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\4t9h91tp.Standard-Benutzer\
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmieze.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-21 00:53
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(936)
c:\windows\system32\sfc_os.dll
- - - - - - - > 'explorer.exe'(2608)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-21 00:58:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-20 22:57
Vor Suchlauf: 6 Verzeichnis(se), 40.249.298.944 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 40.125.239.296 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - D16C2A802260BA23B57E802F4E5B0AE6
--- --- ---
20.06.2010, 23:59
Baum-Darstellung