Hier der Combofix Log
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-11-13.01 - mustermann 14.11.2010 16:58:07.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.2046.1573 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\mustermann\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Sygate Personal Firewall *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-10-14 bis 2010-11-14 ))))))))))))))))))))))))))))))
.
2010-11-14 15:37 . 2010-11-14 15:37 -------- d-----w- c:\programme\CCleaner
2010-11-14 15:31 . 2010-11-14 15:31 -------- d-----w- c:\dokumente und einstellungen\mustermann\Anwendungsdaten\WinPatrol
2010-11-14 15:31 . 2010-11-14 15:31 -------- d-----w- c:\programme\BillP Studios
2010-11-14 15:31 . 2010-11-14 15:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallMate
2010-11-13 12:14 . 2010-11-13 12:14 -------- d-----w- C:\_OTL
2010-11-08 19:12 . 2010-11-08 19:12 -------- d-----w- c:\dokumente und einstellungen\mustermann\Anwendungsdaten\Malwarebytes
2010-11-08 19:12 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-08 19:11 . 2010-11-08 19:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-08 19:11 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-07 00:22 . 2010-11-09 20:12 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-11-07 00:00 . 2010-11-07 00:00 -------- d-----w- c:\programme\ERUNT
2010-11-04 00:46 . 2010-11-04 00:46 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\PrivacIE
2010-11-04 00:46 . 2010-11-04 00:46 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IECompatCache
2010-11-03 22:50 . 2010-11-03 22:50 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-11-01 23:36 . 2010-11-01 23:36 -------- d-----w- c:\dokumente und einstellungen\mustermann\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-11-01 23:36 . 2010-11-01 23:36 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-11-01 23:36 . 2010-11-01 23:36 -------- d-----w- c:\programme\DVDVideoSoft
2010-10-30 15:11 . 2010-10-30 15:21 -------- d-----w- c:\dokumente und einstellungen\mustermann\Anwendungsdaten\Apple Computer
2010-10-30 15:11 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-10-30 15:11 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-10-30 15:10 . 2010-10-30 15:10 -------- d-----w- c:\programme\iPod
2010-10-30 15:10 . 2010-10-30 15:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-10-30 15:10 . 2010-10-30 15:11 -------- d-----w- c:\programme\iTunes
2010-10-30 15:08 . 2010-10-30 15:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-10-30 15:05 . 2010-10-30 15:11 -------- d-----w- c:\dokumente und einstellungen\mustermann\Lokale Einstellungen\Anwendungsdaten\Apple Computer
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2008-09-04 16:33 . 2008-09-04 16:33 1459757 ----a-w- c:\programme\SpeedTestInstall.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PopMan"="c:\programme\PopMan\PopMan.exe" [2004-05-29 610304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13684736]
"nwiz"="nwiz.exe" [2009-03-27 1657376]
"NDPS"="c:\windows\system32\dpmw32.exe" [2004-05-17 32859]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-09-08 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-24 421160]
"WinPatrol"="c:\programme\BillP Studios\WinPatrol\winpatrol.exe" [2010-11-11 329096]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-11-11 44544]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoCockpit]
2007-07-30 11:27 176128 ----a-w- c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\ic_start.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\World of Warcraft\\WoW-1.12.0-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-enGB-patch-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.3-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.5.6320-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.5.6320-to-2.0.6.6337-enGB-downloader.exe"=
"c:\\Programme\\Avira\\DriveNet\\drivenet.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.7.6383-to-2.0.8.6403-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.3.6299-to-2.0.7.6383-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.8.6403-to-2.0.10.6448-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-2.0.10.6448-to-2.0.12.6546-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-enGB-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-enGB-downloader.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers\nipplpt.sys [28.05.2008 07:41 18527]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.06.2009 02:03 135336]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [24.08.2008 14:27 61440]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [24.08.2008 14:27 17280]
R3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [24.08.2008 14:27 17152]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [24.08.2008 14:27 17536]
R3 NmPar;PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [09.04.2008 08:28 80512]
R3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [04.04.2008 06:30 70016]
.
Inhalt des "geplante Tasks" Ordners
2010-11-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\mustermann\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-14 17:03
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\vsdatant]
"ImagePath"=""
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ�•€|ù•6~�*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•6~�*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(800)
c:\windows\system32\NLS\DEUTSCH\NWSHLXNR.DLL
c:\windows\system32\NLS\DEUTSCH\NOVNPNTR.DLL
- - - - - - - > 'Explorer.exe'(2348)
c:\programme\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe
c:\windows\system32\HPZipm12.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\programme\PostgreSQL\8.3\bin\postgres.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\NWTRAY.EXE
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-14 17:07:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-11-14 16:07
Vor Suchlauf: 17 Verzeichnis(se), 229.513.457.664 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 229.486.972.928 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 2A41D747D260BBFB51A312E63848A71E
--- --- ---
Scheint alles gut gelufen zu sein, auch der cc-cleaner vorher.
Baum-Darstellung