Zitat:
Zitat von
kosmicblue Versuche heute noch einen Combofix log zu machen... Hab euch nicht vergessen
Habe morgen frei und war im Casino
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 11-03-02.01 - Christian 02.03.2011 21:24:12.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1791.1116 [GMT 1:00]
ausgeführt von:: c:\downloads\Software\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Christian\Anwendungsdaten\Local
c:\dokumente und einstellungen\Christian\Anwendungsdaten\Local\Temp\DDM\Settings\Temporary Downloaded Files\video.avi
c:\dokumente und einstellungen\Christian\Anwendungsdaten\Local\Temp\DDM\Settings\video.avi.ddr
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-02 bis 2011-03-02 ))))))))))))))))))))))))))))))
.
2011-03-02 13:39 . 2011-03-02 13:39 28752 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB50E628-89BF-4E4A-BEDB-5286DD6AD113}\MpKsl071df535.sys
2011-03-01 18:11 . 2011-02-11 06:54 5943120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB50E628-89BF-4E4A-BEDB-5286DD6AD113}\mpengine.dll
2011-02-25 19:12 . 2011-02-25 19:12 -------- d-----w- c:\windows\system32\wbem\Repository
2011-02-25 19:08 . 2011-02-25 19:09 -------- d-----w- c:\programme\iTunes
2011-02-25 19:08 . 2011-02-25 19:08 -------- d-----w- c:\programme\iPod
2011-02-25 19:08 . 2011-02-25 19:08 -------- d-----w- c:\programme\Bonjour
2011-01-31 23:12 . 2011-01-31 23:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-11 06:54 . 2010-11-21 16:37 5943120 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-01-21 14:44 . 2004-08-10 19:00 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-13 09:41 . 2011-01-28 13:24 5890896 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-01-07 14:09 . 2004-08-10 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2005-10-06 03:08 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-10 19:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2010-12-20 23:52 219200 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2010-12-20 23:52 . 2004-08-10 19:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2004-08-10 19:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2004-08-10 19:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2004-10-28 01:23 737792 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 14:10 . 2010-12-20 14:10 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-12-20 12:55 . 2004-08-10 19:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-13 07:39 . 2010-12-30 18:06 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2010-12-30 18:06 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-12-09 15:15 . 2004-08-10 19:00 743936 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2004-08-04 00:50 2029568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:13 . 2004-08-10 19:00 2151424 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:29 . 2004-08-10 19:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2010-12-03 09:05 . 2010-12-20 14:10 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-12-03 09:05 . 2010-12-20 17:34 15880 ----a-w- c:\windows\system32\lsdelete.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E601996F-E400-41CA-804B-CD6373A7EEE2}]
2010-11-23 19:51 919408 ----a-w- c:\programme\kikin\ie_kikin.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Free Download Manager"="c:\programme\Free Download Manager\fdm.exe" [2009-01-31 3399727]
"Software Informer"="c:\programme\Software Informer\softinfo.exe" [2009-03-11 1724485]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTAgent.exe" [2010-11-11 570688]
"ICQ"="c:\programme\ICQ7.2\ICQ.exe" [2011-01-05 133432]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 577536]
"Acronis*True*Image Monitor"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2008-06-25 436903]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-06-25 69632]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-09-03 188416]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-09-21 47904]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AirPaceWifi"="c:\programme\abit\abit uGuru\AirPaceWifi.exe" [2007-02-08 2240512]
"EPGServiceTool"="c:\progra~1\WinTV\EPG Services\System\EPGClient.exe" [2008-05-15 688128]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2009-01-29 57344]
"PCTools FGuard"="c:\programme\PC Tools Security\BDT\FGuard.exe" [2010-09-24 108496]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-01-10 1230704]
"DivX Download Manager"="c:\programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-01-25 421160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\PFPortChecker\\PFPortChecker.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaws.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\VLC\\vlc.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [20.12.2010 15:10 64288]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [21.12.2010 00:52 219200]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [08.05.2009 18:22 12928]
R1 MpKsl071df535;MpKsl071df535;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{AB50E628-89BF-4E4A-BEDB-5286DD6AD113}\MpKsl071df535.sys [02.03.2011 14:39 28752]
R1 SASDIFSV;SASDIFSV;\??\c:\dokume~1\CHRIST~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\dokume~1\CHRIST~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]
R1 SASKUTIL;SASKUTIL;\??\c:\dokume~1\CHRIST~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS --> c:\dokume~1\CHRIST~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [?]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.12.2010 19:06 135336]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\PC Tools Security\BDT\BDTUpdateService.exe [26.10.2010 18:14 235472]
R2 ContentMgrService;Content Management Service;c:\programme\Videoload Manager\ContentManager.exe [12.03.2008 17:26 508928]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [08.05.2009 18:32 437248]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [12.03.2009 15:22 247096]
R3 AR2425;abit AirPace Wi-Fi Wireless Network Adapter Service;c:\windows\system32\drivers\aw5006.sys [05.07.2009 18:32 556832]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [08.05.2009 18:22 182400]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [08.05.2009 18:22 320256]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [08.05.2009 18:22 74624]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [08.05.2009 18:22 394880]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [08.05.2009 18:22 17280]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S1 MpKsl99d40d2b;MpKsl99d40d2b; [x]
S1 MpKsld483e6fa;MpKsld483e6fa; [x]
S2 gupdate1c9e13a49d7c500;Google Update Service (gupdate1c9e13a49d7c500);c:\programme\Google\Update\GoogleUpdate.exe [30.05.2009 16:21 133104]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [08.05.2009 18:31 823296]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.12.2010 10:05 1402272]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [03.12.2010 10:05 15264]
S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [24.08.2008 15:59 161792]
S3 TfNetMon;TfNetMon; [x]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - MPKSL071DF535
.
Inhalt des "geplante Tasks" Ordners
2011-02-26 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-12-03 09:04]
2011-02-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-30 15:21]
2011-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-30 15:21]
2011-03-02 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-12-15 12:08]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Free YouTube Download - c:\dokumente und einstellungen\Christian\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Christian\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - c:\poker\CDPoker\casino.exe
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\programme\PartyGaming\PartyCasino\RunApp.exe
IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - c:\programme\kikin\ie_kikin.dll
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game04.zylom.com/activex/zylomgamesplayer.cab
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
FF - ProfilePath - c:\dokumente und einstellungen\Christian\Anwendungsdaten\Mozilla\Firefox\Profiles\p95qhajg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/skins/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-fsm - (no file)
AddRemove-Club Dice Poker - c:\poker\CDPoker\_SetupPoker.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-02 21:31
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1060284298-1078145449-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74505CB1-82C5-BE65-61ED-3CFC0DBE2C76}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-03-02 21:34:31
ComboFix-quarantined-files.txt 2011-03-02 20:34
ComboFix2.txt 2010-11-20 16:00
Vor Suchlauf: 9.396.994.048 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 11.818.676.224 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer
- - End Of File - - 0187AF449410F20D30C81EC2F0C1B526
--- --- ---
02.03.2011, 21:41
Baum-Darstellung