Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-08-31.02 - *** 01.09.2010 12:36:33.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.730 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100313-2] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\***\Anwendungsdaten\usernt.dat
c:\windows\regedit.com
c:\windows\SEC
c:\windows\SEC\CLEANUPFOLDER.INI
c:\windows\SEC\CONFIGSYS.EXE
c:\windows\SEC\INSTALL.EXE
c:\windows\SEC\INSTALL.INI
c:\windows\SEC\JRE150.EXE
c:\windows\SEC\MP10GER.EXE
c:\windows\struct~.ini
c:\windows\system32\lsprst7.dll
c:\windows\system32\ssprs.dll
Infizierte Kopie von c:\windows\system32\drivers\compbatt.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-01 bis 2010-09-01 ))))))))))))))))))))))))))))))
.
2010-08-31 15:47 . 2010-08-31 15:47 -------- d-----w- c:\programme\Serato
2010-08-31 10:07 . 2010-08-31 10:07 -------- d-sh--w- c:\dokumente und einstellungen\***\IECompatCache
2010-08-31 00:55 . 2010-08-31 00:55 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-08-29 18:19 . 2010-08-29 18:19 -------- d-sh--w- c:\dokumente und einstellungen\***\PrivacIE
2010-08-29 15:30 . 2010-08-29 15:30 18648 ---ha-w- c:\windows\system32\mlfcache.dat
2010-08-29 10:40 . 2010-08-29 10:40 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-08-28 23:41 . 2010-08-28 23:41 -------- d-sh--w- c:\dokumente und einstellungen\***\IETldCache
2010-08-28 23:41 . 2010-08-28 23:41 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-08-28 23:07 . 2010-08-28 23:10 -------- dc-h--w- c:\windows\ie8
2010-08-27 13:56 . 2010-08-27 13:56 -------- d-----w- c:\programme\iPod
2010-08-27 13:55 . 2010-08-27 13:57 -------- d-----w- c:\programme\iTunes
2010-08-27 13:52 . 2010-08-27 13:53 -------- d-----w- c:\programme\QuickTime
2010-08-27 13:50 . 2010-08-27 13:50 -------- d-----w- c:\programme\Apple Software Update
2010-08-26 17:52 . 2000-05-16 08:40 83968 ----a-w- c:\windows\UnGins.exe
2010-08-24 15:09 . 2010-08-24 15:09 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\UserData
2010-08-24 14:47 . 2010-08-31 00:55 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-08-24 14:47 . 2010-09-01 10:12 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-08-22 20:30 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-22 20:30 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-22 20:13 . 2010-08-22 20:13 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\UserData
2010-08-07 22:22 . 2010-08-25 22:23 456200 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Real\Update\setup3.12\setup.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-01 10:26 . 2008-12-31 14:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\DNA
2010-09-01 10:23 . 2008-12-31 14:48 -------- d-----w- c:\programme\DNA
2010-08-31 15:50 . 2004-08-04 12:00 80822 ----a-w- c:\windows\system32\perfc007.dat
2010-08-31 15:50 . 2004-08-04 12:00 449966 ----a-w- c:\windows\system32\perfh007.dat
2010-08-27 15:54 . 2008-07-05 15:49 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2010-08-27 15:53 . 2010-08-01 15:28 -------- d-----w- c:\programme\Softonic-Eng7
2010-08-27 13:56 . 2008-12-15 13:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-08-27 01:18 . 2008-07-05 15:30 1 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-08-27 01:18 . 2008-07-05 15:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2010-08-26 20:02 . 2008-07-05 17:55 -------- d-----w- c:\programme\VstPlugins
2010-08-26 19:36 . 2009-11-24 02:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Native Instruments
2010-08-26 19:36 . 2009-03-24 12:24 -------- d-----w- c:\programme\Native Instruments
2010-08-22 22:07 . 2010-01-13 14:58 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-10 02:22 . 2010-03-19 14:15 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\BitTorrent
2010-08-02 22:30 . 2010-08-01 23:56 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FreeVideoConverter
2010-08-01 23:56 . 2010-08-01 23:56 -------- d-----w- c:\programme\Free Video Converter
2010-08-01 23:36 . 2010-08-01 17:17 -------- d-----w- c:\programme\FreeTime
2010-08-01 15:29 . 2010-08-01 15:29 -------- d-----w- c:\programme\BadgerIT
2004-08-04 12:00 . 2004-08-04 12:00 94800 --sh--w- c:\windows\twain.dll
2008-04-14 02:22 . 2004-08-04 12:00 50688 --sh--w- c:\windows\twain_32.dll
2008-04-14 02:22 . 2004-08-04 12:00 1028096 --sh--w- c:\windows\system32\mfc42.dll
2008-04-14 02:22 . 2004-08-04 12:00 57344 --sh--w- c:\windows\system32\msvcirt.dll
2008-04-14 02:22 . 2004-08-04 12:00 413696 --sha-w- c:\windows\system32\msvcp60.dll
2008-04-14 02:22 . 2004-08-04 12:00 343040 --sha-w- c:\windows\system32\msvcrt.dll
2008-04-14 02:22 . 2004-08-04 12:00 551936 --sh--w- c:\windows\system32\oleaut32.dll
2008-04-14 02:22 . 2004-08-04 12:00 84992 --sh--w- c:\windows\system32\olepro32.dll
2008-04-14 02:22 . 2004-08-04 12:00 12288 --sh--w- c:\windows\system32\regsvr32.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-11-07 323392]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2009-12-18 427328]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"MAFWTaskbarApp"="c:\windows\system32\MAFWTray.exe" [2007-10-24 245760]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-11-29 185872]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-21 141608]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
syscron.exe [2008-4-14 84480]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ANYCOM\Bluetooth-USB\BTTray.exe [2008-7-7 600680]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-06-12 00:38 34672 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-06-28 19:05 344064 ----a-w- c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BatteryManager]
2005-08-18 08:33 1933312 ----a-w- c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 13:53 141608 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2004-07-27 11:48 1388544 ----a-w- c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-05-21 10:34 148888 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2008-11-29 01:12 185872 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [13.01.2010 16:11 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13.01.2010 16:11 20560]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [05.07.2008 05:17 4300]
R3 MAFW;MAFW;c:\windows\system32\drivers\mafw.sys [05.07.2008 13:19 186368]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [08.06.2005 16:58 17792]
S0 qpdjfg;qpdjfg; [x]
S1 SASKUTIL;SASKUTIL;\??\c:\programme\SUPERAntiSpyware\SASKUTIL.sys --> c:\programme\SUPERAntiSpyware\SASKUTIL.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.05.2010 19:09 135664]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [07.07.2009 17:08 36608]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.01.2010 15:46 691696]
.
Inhalt des "geplante Tasks" Ordners
2010-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-08 17:09]
2010-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-08 17:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://w*w.spiegel.de/
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Senden an &Bluetooth-Gerät... - c:\programme\ANYCOM\Bluetooth-USB\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ANYCOM\Bluetooth-USB\btsendto_ie.htm
TCP: {1EAEA797-CF14-448B-BE63-8EA75B37CEFC} = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\h5kw868i.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - w*w.spiegel.de
FF - plugin: c:\dokumente und einstellungen\**\Eigene Dateien\Millisecond Software\Inquisit 3.0 Mozilla Plugin\npInquisit_3032.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLCBroadcast\npvbp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-ArturiaV v1.0 - c:\progra~1\Arturia\MINIMO~1\UNWISE.EXE
AddRemove-RD - c:\programme\d-lusion\RD\uninstall.exe
AddRemove-GuitarRig 2.01 RTAS VSTi DXi - c:\progra~1\NATIVE~1\GUITAR~1\UNWISE.EXE
AddRemove-Mass - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}\Massive Setup.exe
AddRemove-Service Center - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}\Service Center Setup.exe
AddRemove-SyncroSoft Emu - c:\programme\SyncroSoft\Pos\H2O\Uninst.exe
AddRemove-{0B8565BA-BAD5-4732-B122-5FD78EFC50A9} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A397AF63-B3A1-40DF-AA85-5C5368304B60}\Service Center Setup.exe
AddRemove-{491DF203-7B61-4F0E-BDCB-A1218C4DAFE9} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\{C2686527-0D57-4F0B-ADAB-EE203CA30FC6}\Massive Setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2010-09-01 12:43
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-01 12:46:20
ComboFix-quarantined-files.txt 2010-09-01 10:46
Vor Suchlauf: 8.097.767.424 Bytes frei
Nach Suchlauf: 8.104.054.784 Bytes frei
- - End Of File - - FA616E4F8C849F254E3D6DA278FC43E3
--- --- ---
01.09.2010, 11:56
Baum-Darstellung