WinXP Internet Explorer selbständig

rswtal · 30.12.2010, 15:50

Habe einmal Bittorrent benutzt und mir was eingefangen.
Abundzu werden ganz komische INterseiten geöffnet. Alleine.
Habe AVG Antivir und Malwarebytes ohne Erfolg laufen lassen.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:32:55, on 30.12.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\DivX\DivX Update\DivXUpdate.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.130.13.38:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove Folder Synchronization - {3C9068A3-5E6B-344F-0267-37801FF72BE3} - C:\WINDOWS\system32\wuaapi.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bluebirds] C:\Dokumente und Einstellungen\Zorro\Bluebirds\BlueBirds.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Phone Disk] C:\Programme\Phone Disk\PhoneDisk.exe
O4 - HKCU\..\Run: [iPhone Explorer Launcher] "C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" /run
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260746743593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256671068140
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe


--
End of file - 8604 bytes

Vielen Dank schonmal für eure Hilfe...

markusg · 30.12.2010, 15:58

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

rswtal · 30.12.2010, 16:36

So hat etwas gedauert ...

markusg · 30.12.2010, 16:42

dann packe sie mit winrar oder zip und häng sie an.

rswtal · 30.12.2010, 17:42

Ok habe fertig.

markusg · 30.12.2010, 17:47

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

rswtal · 30.12.2010, 19:01

Code:

ATTFilter

ComboFix 10-12-29.04 - ***** 30.12.2010  18:44:54.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1495 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\*****\Anwendungsdaten\chrtmp
c:\windows\system32\logs
c:\windows\system32\UNWISE.EXE

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_kungsfbpriwwke
-------\Service_kungsfbpriwwke


(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-30  ))))))))))))))))))))))))))))))
.

2010-12-30 14:23 . 2010-12-30 14:23	388096	----a-r-	c:\dokumente und einstellungen\*****\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-30 00:27 . 2010-12-30 00:27	--------	d-----w-	c:\dokumente und einstellungen\*****\Anwendungsdaten\AVG10
2010-12-30 00:23 . 2010-12-30 00:23	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2010-12-30 00:22 . 2010-12-30 11:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2010-12-30 00:22 . 2010-12-30 11:13	--------	d-----w-	c:\windows\system32\drivers\AVG
2010-12-30 00:22 . 2010-12-30 00:22	--------	d-----w-	c:\programme\AVG
2010-12-30 00:21 . 2010-12-30 00:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-12-30 00:21 . 2010-12-30 00:21	--------	d-----w-	c:\windows\system32\2047
2010-12-29 20:58 . 2010-12-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Temp
2010-12-29 14:45 . 2010-12-29 14:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-12-28 19:07 . 2010-12-28 19:08	--------	d-----w-	c:\dokumente und einstellungen\*****\Anwendungsdaten\FileZilla
2010-12-28 19:07 . 2010-12-28 19:08	--------	d-----w-	c:\programme\FileZilla FTP Client
2010-12-27 23:31 . 2010-12-27 23:31	--------	d-----w-	c:\programme\BitTorrent
2010-12-27 23:30 . 2010-12-30 00:19	--------	d-----w-	c:\dokumente und einstellungen\*****\Anwendungsdaten\BitTorrent
2010-12-26 21:01 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-26 21:00 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-19 21:07 . 2010-12-19 21:07	--------	d-----w-	c:\programme\iPod
2010-12-19 21:07 . 2010-12-19 21:07	--------	d-----w-	c:\programme\iTunes
2010-12-18 13:34 . 2001-10-02 13:00	838144	-c--a-w-	c:\windows\system32\dllcache\chtbrkr.dll
2010-12-18 13:33 . 2001-10-02 13:00	36927	-c--a-w-	c:\windows\system32\dllcache\padrs411.dll
2010-12-18 13:32 . 2008-04-14 03:20	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2010-12-18 13:32 . 2008-04-14 03:20	6144	----a-w-	c:\windows\system32\kbd106.dll
2010-12-18 13:32 . 2001-08-18 03:53	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2010-12-18 13:32 . 2001-08-18 03:53	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2010-12-18 13:32 . 2001-08-18 03:53	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2010-12-18 13:32 . 2001-08-18 03:53	8192	----a-w-	c:\windows\system32\kbdkor.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2010-12-18 13:32 . 2001-08-17 13:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2010-12-18 13:32 . 2001-08-17 13:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2010-12-12 16:36 . 2010-12-12 16:37	10980832	----a-w-	c:\programme\FLV PlayerFCSetup.exe
2010-12-12 16:36 . 2010-12-12 16:36	--------	d-----w-	c:\windows\Applian FLV Player
2010-12-10 16:30 . 2010-12-10 16:30	172032	----a-w-	c:\windows\system32\AniGIF.ocx
2010-12-10 15:26 . 2010-12-10 15:26	85465960	----a-w-	c:\programme\Gemeinsame Dateien\Windows Live\.cache\wlc12E.tmp
2010-12-10 14:02 . 2010-12-10 14:02	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-12-10 14:01 . 2010-12-10 14:01	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-10 13:43 . 2010-12-10 13:43	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-12-10 13:00 . 2010-12-10 13:01	--------	dc-h--w-	c:\windows\ie8

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-10 14:01 . 2010-04-20 10:59	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-23 15:06 . 2003-03-18 20:14	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-11-18 18:12 . 2009-09-14 16:37	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2001-08-23 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2001-08-23 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2001-08-23 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 07:42	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-23 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2001-08-23 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2001-08-23 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-25 14:13 . 2010-10-25 14:13	22936	----a-w-	c:\windows\system32\AdobePDFUI.dll
2010-10-25 14:13 . 2010-10-25 14:13	47512	----a-w-	c:\windows\system32\AdobePDF.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C9068A3-5E6B-344F-0267-37801FF72BE3}]
2009-08-06 18:23	221184	----a-w-	c:\windows\system32\wuaapi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bluebirds"="c:\dokumente und einstellungen\*****\Bluebirds\BlueBirds.exe" [2009-04-29 270336]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2009-11-20 2363392]
"iPhone Explorer Launcher"="c:\programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" [2010-10-31 47104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2010-10-25 36760]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2010-10-25 821144]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-9-15 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe"=
"c:\\Programme\\Macromedia\\Flash MX\\Flash.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"c:\\BMWgroup\\ETKLokal\\javaclient\\jre1.5.0_11\\bin\\java.exe"=
"c:\\BMWgroup\\ETKLokal\\javaclient\\ETK.exe"=
"h:\\Emule_Xtreme\\emule.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"h:\\Emule\\emule.exe"=
"h:\\eMule 0.47c Spike2 1.0 - BIN\\emule.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\SteamApps\\rswtal\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\SteamApps\\rswtal\\half-life\\hl.exe"=
"c:\\Programme\\NGrab\\NGrab.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\orbixd.exe"=
"c:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\CNEXT.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\BitTorrent\\BitTorrent.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [15.09.2009 11:28 39472]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.07.2010 11:39 697328]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [05.01.2010 16:39 33824]
R2 eprdrv;eprdrv;c:\windows\system32\drivers\eprdrv.sys [06.02.2010 21:11 11456]
R2 NSHE;Guardant Emulator Driver;c:\windows\system32\drivers\NSHE.SYS [13.09.2010 09:34 97792]
R2 simdrv;simdrv;c:\windows\system32\drivers\simdrv.sys [06.02.2010 21:11 9420]
R2 Transbase;Transbase;c:\bmwgroup\ETKLokal\transbase\tbmux32.exe [16.09.2009 13:47 385024]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.09.2009 00:08 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.09.2009 18:25 1684736]
S3 BazisVirtualCDBus;WinCDEmu Virtual Bus Driver;c:\windows\system32\drivers\BazisVirtualCDBus.sys [17.11.2009 16:12 134808]
S3 cpuz130;cpuz130;\??\c:\dokume~1\*****\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\*****\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [06.09.2010 19:32 28672]
S3 s1029bus;Sony Ericsson Device 1029 driver (WDM);c:\windows\system32\drivers\s1029bus.sys [06.11.2010 13:47 90280]
S3 s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter;c:\windows\system32\drivers\s1029mdfl.sys [06.11.2010 13:47 15016]
S3 s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver;c:\windows\system32\drivers\s1029mdm.sys [06.11.2010 13:47 122280]
S3 s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1029mgmt.sys [06.11.2010 13:47 115880]
S3 s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1029nd5.sys [06.11.2010 13:47 26024]
S3 s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface;c:\windows\system32\drivers\s1029obex.sys [06.11.2010 13:47 111912]
S3 s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1029unic.sys [06.11.2010 13:47 116904]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-11-20 13:28	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-15 23:08]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-15 23:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uInternet Settings,ProxyServer = 221.130.13.38:80
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\o5segfbc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adobe Acrobat - Create PDF: web2pdfextension@web2pdf.adobedotcom - c:\programme\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADLTScript
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKCU-Run-Phone Disk - c:\programme\Phone Disk\PhoneDisk.exe
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-30 18:52
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1708537768-261478967-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,aa,cd,cb,c1,c9,aa,7d,26,8a,cc,bb,0c,2e,c8,32,48,78,af,2f,04,c0,c4,
   8a,8c,28,e2,90,15,13,83,aa,a1,4b,fe,01,62,77,6f,10,52,88,81,f8,6f,ce,73,c3,\
"??"=hex:12,c3,c2,fa,67,d8,8d,c5,ca,a3,91,ca,c4,d7,c4,fc

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\system32\wscntfy.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-30  18:58:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-30 17:58

Vor Suchlauf: 18 Verzeichnis(se), 50.182.283.264 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 50.585.010.176 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /FASTDETECT /NOEXECUTE=OPTIN

- - End Of File - - 517453C9BEBACC94C96F2C07C7EE5577

markusg · 30.12.2010, 19:36

Start programme zubehör editor kopiere rein

Killall::
Rootkit::
c:\windows\system32\drivers\kungsfbpriwwke.sys
Driver::
kungsfbpriwwke

Datei speichern unter, ort dort wo sich combofix befindet, typ alle dateien, name
cfscript.txt
ziehe cfscript.txt auf combofix, programm startet, log posten

rswtal · 31.12.2010, 00:04

Code:

ATTFilter

ComboFix 10-12-29.04 - ****** 30.12.2010  23:46:08.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1446 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\******\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\******\Desktop\cfscript.txt
FW: AVG Firewall *Disabled* {8decf618-9569-4340-b34a-d78d28969b66}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-30  ))))))))))))))))))))))))))))))
.

2010-12-30 14:23 . 2010-12-30 14:23	388096	----a-r-	c:\dokumente und einstellungen\******\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-12-30 00:27 . 2010-12-30 00:27	--------	d-----w-	c:\dokumente und einstellungen\******\Anwendungsdaten\AVG10
2010-12-30 00:23 . 2010-12-30 00:23	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Common Files
2010-12-30 00:22 . 2010-12-30 11:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG10
2010-12-30 00:22 . 2010-12-30 11:13	--------	d-----w-	c:\windows\system32\drivers\AVG
2010-12-30 00:22 . 2010-12-30 00:22	--------	d-----w-	c:\programme\AVG
2010-12-30 00:21 . 2010-12-30 00:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MFAData
2010-12-30 00:21 . 2010-12-30 00:21	--------	d-----w-	c:\windows\system32\2047
2010-12-29 20:58 . 2010-12-29 20:58	--------	d-----w-	c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Temp
2010-12-29 14:45 . 2010-12-29 14:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2010-12-28 19:07 . 2010-12-28 19:08	--------	d-----w-	c:\dokumente und einstellungen\******\Anwendungsdaten\FileZilla
2010-12-28 19:07 . 2010-12-28 19:08	--------	d-----w-	c:\programme\FileZilla FTP Client
2010-12-27 23:31 . 2010-12-27 23:31	--------	d-----w-	c:\programme\BitTorrent
2010-12-27 23:30 . 2010-12-30 00:19	--------	d-----w-	c:\dokumente und einstellungen\******\Anwendungsdaten\BitTorrent
2010-12-26 21:01 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-26 21:00 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-19 21:07 . 2010-12-19 21:07	--------	d-----w-	c:\programme\iPod
2010-12-19 21:07 . 2010-12-19 21:07	--------	d-----w-	c:\programme\iTunes
2010-12-18 13:34 . 2001-10-02 13:00	838144	-c--a-w-	c:\windows\system32\dllcache\chtbrkr.dll
2010-12-18 13:33 . 2001-10-02 13:00	36927	-c--a-w-	c:\windows\system32\dllcache\padrs411.dll
2010-12-18 13:32 . 2008-04-14 03:20	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2010-12-18 13:32 . 2008-04-14 03:20	6144	----a-w-	c:\windows\system32\kbd106.dll
2010-12-18 13:32 . 2001-08-18 03:53	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2010-12-18 13:32 . 2001-08-18 03:53	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2010-12-18 13:32 . 2001-08-18 03:53	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2010-12-18 13:32 . 2001-08-18 03:53	8192	----a-w-	c:\windows\system32\kbdkor.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2010-12-18 13:32 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2010-12-18 13:32 . 2001-08-17 13:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2010-12-18 13:32 . 2001-08-17 13:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2010-12-12 16:36 . 2010-12-12 16:37	10980832	----a-w-	c:\programme\FLV PlayerFCSetup.exe
2010-12-12 16:36 . 2010-12-12 16:36	--------	d-----w-	c:\windows\Applian FLV Player
2010-12-10 16:30 . 2010-12-10 16:30	172032	----a-w-	c:\windows\system32\AniGIF.ocx
2010-12-10 15:26 . 2010-12-10 15:26	85465960	----a-w-	c:\programme\Gemeinsame Dateien\Windows Live\.cache\wlc12E.tmp
2010-12-10 14:02 . 2010-12-10 14:02	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-12-10 14:01 . 2010-12-10 14:01	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-12-10 13:43 . 2010-12-10 13:43	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-12-10 13:00 . 2010-12-10 13:01	--------	dc-h--w-	c:\windows\ie8

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-10 14:01 . 2010-04-20 10:59	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-23 15:06 . 2003-03-18 20:14	499712	----a-w-	c:\windows\system32\msvcp71.dll
2010-11-18 18:12 . 2009-09-14 16:37	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2001-08-23 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2001-08-23 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2001-08-23 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2004-08-04 07:42	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-23 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2001-08-23 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2001-08-23 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-25 14:13 . 2010-10-25 14:13	22936	----a-w-	c:\windows\system32\AdobePDFUI.dll
2010-10-25 14:13 . 2010-10-25 14:13	47512	----a-w-	c:\windows\system32\AdobePDF.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-12-30_17.52.44   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-30 22:58 . 2010-12-30 22:58	16384              c:\windows\Temp\Perflib_Perfdata_6e8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C9068A3-5E6B-344F-0267-37801FF72BE3}]
2009-08-06 18:23	221184	----a-w-	c:\windows\system32\wuaapi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bluebirds"="c:\dokumente und einstellungen\******\Bluebirds\BlueBirds.exe" [2009-04-29 270336]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2009-11-20 2363392]
"iPhone Explorer Launcher"="c:\programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" [2010-10-31 47104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-10-08 47904]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2010-10-25 36760]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2010-10-25 821144]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-10 35736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-9-15 110592]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Anti-Leech\\ALIE_1.0.2.3\\alhlp.exe"=
"c:\\Programme\\Macromedia\\Flash MX\\Flash.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"c:\\Programme\\FlashFXP\\FlashFXP.exe"=
"c:\\BMWgroup\\ETKLokal\\javaclient\\jre1.5.0_11\\bin\\java.exe"=
"c:\\BMWgroup\\ETKLokal\\javaclient\\ETK.exe"=
"h:\\Emule_Xtreme\\emule.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"h:\\Emule\\emule.exe"=
"h:\\eMule 0.47c Spike2 1.0 - BIN\\emule.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Steam\\SteamApps\\rswtal\\counter-strike\\hl.exe"=
"c:\\Programme\\Steam\\SteamApps\\rswtal\\half-life\\hl.exe"=
"c:\\Programme\\NGrab\\NGrab.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\orbixd.exe"=
"c:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\CNEXT.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\BitTorrent\\BitTorrent.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [15.09.2009 11:28 39472]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06.07.2010 11:39 697328]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [24.04.2007 16:52 16688]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [05.01.2010 16:39 33824]
R2 eprdrv;eprdrv;c:\windows\system32\drivers\eprdrv.sys [06.02.2010 21:11 11456]
R2 NSHE;Guardant Emulator Driver;c:\windows\system32\drivers\NSHE.SYS [13.09.2010 09:34 97792]
R2 simdrv;simdrv;c:\windows\system32\drivers\simdrv.sys [06.02.2010 21:11 9420]
R2 Transbase;Transbase;c:\bmwgroup\ETKLokal\transbase\tbmux32.exe [16.09.2009 13:47 385024]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.09.2009 00:08 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.09.2009 18:25 1684736]
S3 BazisVirtualCDBus;WinCDEmu Virtual Bus Driver;c:\windows\system32\drivers\BazisVirtualCDBus.sys [17.11.2009 16:12 134808]
S3 cpuz130;cpuz130;\??\c:\dokume~1\******\LOKALE~1\Temp\cpuz130\cpuz_x32.sys --> c:\dokume~1\******\LOKALE~1\Temp\cpuz130\cpuz_x32.sys [?]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [06.09.2010 19:32 28672]
S3 s1029bus;Sony Ericsson Device 1029 driver (WDM);c:\windows\system32\drivers\s1029bus.sys [06.11.2010 13:47 90280]
S3 s1029mdfl;Sony Ericsson Device 1029 USB WMC Modem Filter;c:\windows\system32\drivers\s1029mdfl.sys [06.11.2010 13:47 15016]
S3 s1029mdm;Sony Ericsson Device 1029 USB WMC Modem Driver;c:\windows\system32\drivers\s1029mdm.sys [06.11.2010 13:47 122280]
S3 s1029mgmt;Sony Ericsson Device 1029 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1029mgmt.sys [06.11.2010 13:47 115880]
S3 s1029nd5;Sony Ericsson Device 1029 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1029nd5.sys [06.11.2010 13:47 26024]
S3 s1029obex;Sony Ericsson Device 1029 USB WMC OBEX Interface;c:\windows\system32\drivers\s1029obex.sys [06.11.2010 13:47 111912]
S3 s1029unic;Sony Ericsson Device 1029 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1029unic.sys [06.11.2010 13:47 116904]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-11-20 13:28	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-15 23:08]

2010-12-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-09-15 23:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uInternet Settings,ProxyServer = 221.130.13.38:80
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\o5segfbc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adobe Acrobat - Create PDF: web2pdfextension@web2pdf.adobedotcom - c:\programme\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: FlashGot: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34} - %profile%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-30 23:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1708537768-261478967-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f7,aa,cd,cb,c1,c9,aa,7d,26,8a,cc,bb,0c,2e,c8,32,48,78,af,2f,04,c0,c4,
   8a,8c,28,e2,90,15,13,83,aa,a1,4b,fe,01,62,77,6f,10,52,88,81,f8,6f,ce,73,c3,\
"??"=hex:12,c3,c2,fa,67,d8,8d,c5,ca,a3,91,ca,c4,d7,c4,fc

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(3552)
c:\windows\system32\msi.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\RTHDCPL.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-31  00:04:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-30 23:04
ComboFix2.txt  2010-12-30 17:58

Vor Suchlauf: 19 Verzeichnis(se), 45.538.897.920 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 45.537.103.872 Bytes frei

- - End Of File - - 0B1420489DCE0C5477EC21120F5FD844

markusg · 31.12.2010, 12:37

besteht das problem noch?

rswtal · 31.12.2010, 15:23

Bis jetzt nicht. Was war das für nen Teil ?
dankeee

markusg · 31.12.2010, 17:02

befor ich dir das sagen kann muss ich mal schaun.
öffne den arbeitsplatz c: dort rechtsklick auf qoobox, mit winrar oder zip packen, und hochladen
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html

rswtal · 31.12.2010, 18:06

Habs nach anleitung hochgeladen aber irgendwie ist es nirgends vorhanden.

markusg · 02.01.2011, 11:42

du hast nur keinen zugriff drauf :-)
lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

30.12.2010, 16:42	#4
markusg /// Malware-holic	WinXP Internet Explorer selbständig dann packe sie mit winrar oder zip und häng sie an. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

30.12.2010, 17:47	#6
markusg /// Malware-holic	WinXP Internet Explorer selbständig bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ --> WinXP Internet Explorer selbständig

31.12.2010, 12:37	#10
markusg /// Malware-holic	WinXP Internet Explorer selbständig besteht das problem noch? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

WinXP Internet Explorer selbständig

Log-Analyse und Auswertung: WinXP Internet Explorer selbständig