Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-06-27.02 - Administrator 27.06.2010 21:55:50.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.446.169 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\install_flash_player.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vuty\hyokb.exe
c:\windows\system32\3521336489.dat
c:\windows\system32\algc.exe
c:\windows\system32\gxvxccount
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_gxvxcserv.sys
-------\Legacy_MSISERVERVSS
-------\Service_gxvxcserv.sys
-------\Service_MSIServerVSS
((((((((((((((((((((((( Dateien erstellt von 2010-05-27 bis 2010-06-27 ))))))))))))))))))))))))))))))
.
2010-06-26 17:29 . 2010-06-26 17:39 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AVP 2009
2010-06-25 17:24 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-16 16:16 . 2010-06-16 16:16 -------- d-----w- c:\windows\system32\wbem\Repository
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\windows\system32\msmq
2010-06-13 14:57 . 2010-06-18 12:07 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Anivh
2010-06-13 14:57 . 2010-06-15 12:21 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dienot
2010-06-07 17:07 . 2010-06-07 17:07 503808 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3b1f128e-n\msvcp71.dll
2010-06-07 17:07 . 2010-06-07 17:07 499712 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3b1f128e-n\jmc.dll
2010-06-07 17:07 . 2010-06-07 17:07 348160 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-3b1f128e-n\msvcr71.dll
2010-06-05 17:48 . 2010-06-06 19:06 -------- d-----w- C:\Test
2010-06-04 18:47 . 2010-06-06 19:09 -------- d-----w- c:\programme\46 Pferde-Spiele
2010-06-01 18:17 . 2010-06-01 18:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\cerasus
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-27 20:54 . 2009-05-22 15:00 -------- d-----w- c:\programme\Aclient
2010-06-26 17:31 . 2009-05-01 16:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Pyhoy
2010-06-26 16:59 . 2008-11-24 14:08 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vuty
2010-06-26 16:59 . 2009-06-03 20:15 -------- d-----w- c:\programme\Registry Doktor 2009
2010-06-26 14:43 . 2010-06-26 14:43 8 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dhxiuw.dat
2010-06-25 17:24 . 2007-09-30 10:01 -------- d-----w- c:\programme\Java
2010-06-25 16:09 . 2009-05-15 15:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-06-20 13:02 . 2010-05-24 08:34 -------- d-----w- c:\programme\Meine Katzenwelt
2010-06-20 12:49 . 2010-05-24 06:49 -------- d-----w- c:\programme\22 Hundespiele
2010-06-20 12:01 . 2010-05-13 09:51 -------- d-----w- c:\programme\Sudoku Master 2
2010-06-18 10:04 . 2009-06-08 13:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-06-17 18:09 . 2010-06-18 11:08 320196 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-06-16 16:43 . 2009-05-13 15:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2010-06-16 16:43 . 2009-05-13 15:51 -------- d-----w- c:\programme\Yahoo!
2010-06-16 16:40 . 2010-01-29 18:38 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2010-06-16 12:24 . 2010-05-10 10:19 -------- d-----w- c:\programme\Big City Mystery
2010-06-15 12:04 . 2004-08-09 06:05 75194 ----a-w- c:\windows\system32\perfc007.dat
2010-06-15 12:04 . 2004-08-09 06:05 415800 ----a-w- c:\windows\system32\perfh007.dat
2010-06-13 14:57 . 2010-05-10 10:23 -------- d-----w- c:\programme\Das Geheimnis der Azteken
2010-06-11 08:49 . 2010-06-11 08:49 4 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\dhxiuw.dat
2010-06-10 13:06 . 2010-06-10 13:06 4 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\dhxiuw.dat
2010-06-10 13:05 . 2010-06-10 13:05 4 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\avdrn.dat
2010-06-07 22:34 . 2010-05-13 10:05 -------- d-----w- c:\programme\BetAbsorb
2010-06-02 08:05 . 2010-05-24 06:36 -------- d-----w- c:\programme\BeautifulTriple
2010-05-27 18:02 . 2007-09-30 03:17 14744 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-27 17:51 . 2010-05-27 17:52 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2010-05-27 17:51 . 2010-05-27 17:52 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2010-05-27 17:51 . 2010-05-27 17:52 45200 ------w- c:\windows\system32\drivers\PxHelp20.sys
2010-05-27 17:51 . 2010-05-27 17:52 59888 ------w- c:\windows\system32\pxwma.dll
2010-05-27 14:09 . 2008-05-08 18:46 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-05-26 15:06 . 2010-05-23 17:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ZoomBrowser EX
2010-05-26 14:18 . 2010-05-23 17:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CameraWindowDC
2010-05-24 08:35 . 2009-12-19 16:52 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\cerasus.media
2010-05-23 17:24 . 2010-05-23 17:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\CANON INC
2010-05-14 19:43 . 2007-09-30 10:01 -------- d-----w- c:\programme\Google
2010-05-13 09:56 . 2010-05-13 09:56 -------- d-----w- c:\programme\ArtisticFiller
2010-05-13 09:33 . 2010-05-13 09:32 -------- d-----w- c:\programme\TremblingTowers
2010-05-10 10:24 . 2010-05-10 10:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2010-05-10 09:51 . 2010-05-10 09:46 -------- d-----w- c:\programme\AdventuresofSheepy
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-15 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"SetDefPrt"="c:\programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"AClntUsr"="c:\programme\Aclient\AClntUsr.EXE" [2010-06-27 180224]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-26 202256]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
ntuser_mssec.exe [2008-4-14 59392]
sisytj32.exe [2008-4-14 29696]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Status Monitor.lnk - c:\programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-10-3 802816]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Aclient\\AClntUsr.EXE"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Google\\Chrome\\Application\\chrome.exe"=
.
Inhalt des "geplante Tasks" Ordners
2010-06-27 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-15 15:53]
2010-06-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-15 15:53]
2010-06-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-15 15:53]
2010-06-27 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-927615026-1579690105-2853406252-500.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
2010-06-27 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-927615026-1579690105-2853406252-500.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
2010-06-27 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-05-15 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://de.yahoo.com
mSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-{EA49E760-AA43-82F4-71E3-49DAB6603899} - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Vuty\hyokb.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-27 22:56
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\dokumente und einstellungen\Administrator\Startmenü\Programme\Autostart\ntuser_mssec.exe 59392 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-927615026-1579690105-2853406252-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f5,69,6b,05,ec,2a,48,48,8f,89,87,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f5,69,6b,05,ec,2a,48,48,8f,89,87,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f5,69,6b,05,ec,2a,48,48,8f,89,87,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(712)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\brss01a.exe
c:\programme\Avira\AntiVir Desktop\sched.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Aclient\AClient.exe
c:\programme\Avira\AntiVir Desktop\avmailc.exe
c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\snmp.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-27 23:08:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-27 21:07
Vor Suchlauf: 15 Verzeichnis(se), 138.771.615.744 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 139.214.155.776 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 7BDA63C2E63963688CE18FF2EFE184C2
29.06.2010, 22:35
Hybrid-Darstellung
