hier das CF logfile
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 11-05-31.02 - Anwender 01.06.2011 16:19:03.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.510.229 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Anwender\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\dokumente und einstellungen\Anwender\Favoriten\Thumbs.db
c:\dokumente und einstellungen\Anwender\WINDOWS
c:\windows\system32\SysInfo.dll
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_USNJSVC
-------\Legacy_XPROTECTOR
-------\Service_usnjsvc
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-01 bis 2011-06-01 ))))))))))))))))))))))))))))))
.
.
2011-05-31 17:02 . 2011-05-31 17:02 -------- d-----w- c:\dokumente und einstellungen\Anwender\Anwendungsdaten\BitZipper
2011-05-31 17:02 . 2011-05-31 17:02 -------- d-----w- c:\programme\BitZipper
2011-05-30 14:19 . 2011-05-30 14:19 -------- d-----w- C:\_OTL
2011-05-28 21:07 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-28 20:45 . 2011-05-28 20:45 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE
2011-05-14 08:55 . 2011-05-14 08:55 -------- d-----w- c:\dokumente und einstellungen\Anwender\Anwendungsdaten\iatsky
2011-05-14 08:55 . 2011-05-14 08:55 -------- d-----w- c:\programme\iatsky
2011-05-13 05:05 . 2011-05-13 05:05 781272 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-05-13 05:05 . 2011-05-13 05:05 1874904 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2011-05-13 05:05 . 2011-05-13 05:05 89048 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2011-05-13 05:05 . 2011-05-13 05:05 465880 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2011-05-13 05:05 . 2011-05-13 05:05 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2011-05-13 05:04 . 2011-05-13 05:04 1892184 ----a-w- c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-05-13 05:04 . 2011-05-13 05:04 142296 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-05-13 05:04 . 2011-05-13 05:04 1974616 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-05-11 16:22 . 2011-05-11 16:24 -------- d-----w- c:\programme\AgeOfCastles_at
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-18 15:07 . 2010-07-25 10:49 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2007-07-27 21:48 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2001-08-23 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
1999-03-11 17:22 . 1999-03-11 17:22 99840 ----a-w- c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
2011-05-13 05:04 . 2011-05-13 05:04 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-30 68856]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-12-21 1483264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-08-02 577536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-01 86016]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SetDefPrt"="c:\programme\Brother\Brmfl06a\BrStDvPt.exe" [2005-01-26 49152]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064]
"IATSKY"="c:\programme\iatsky\iatsky.exe" [2009-04-22 942080]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Eigene Dateien\\Peter\\Friends\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Dokumente und Einstellungen\\Anwender\\Eigene Dateien\\Peter\\TmNationsForever\\TmForever.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57182:TCP"= 57182:TCP:Pando Media Booster
"57182:UDP"= 57182:UDP:Pando Media Booster
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.07.2010 12:49 136360]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 16:33 135664]
S3 Ca100v;Smart Cam, WDM Video Capture;c:\windows\system32\drivers\Ca100v.sys [06.08.2007 15:25 516635]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [30.01.2010 16:33 135664]
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 14:32]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-30 14:32]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1682526488-682003330-1003Core.job
- c:\dokumente und einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-12-05 14:56]
.
2011-05-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-299502267-1682526488-682003330-1003UA.job
- c:\dokumente und einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-12-05 14:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
TCP: DhcpNameServer = 192.168.178.1
DPF: {A21769F8-CEC5-4AFA-A6A4-CC921A15DF40} - hxxp://62.146.191.133/atlas_activex.dll
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game09.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\8jcoqrao.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-SW20 - c:\windows\system32\sw20.exe
HKLM-Run-SW24 - c:\windows\system32\sw24.exe
AddRemove-VLC media player - f:\vlc\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-01 16:31
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2548)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\programme\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Internet Explorer\IEXPLORE.EXE
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-01 16:40:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-06-01 14:39
.
Vor Suchlauf: 18 Verzeichnis(se), 52.067.594.240 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 51.956.502.528 Bytes frei
.
- - End Of File - - 76648E59D074CAAE5D684F56D43F4AF5
--- --- ---
und dann noch diese meldungen von antivir:
Zitat:
7x In der Datei 'C:\WINDOWS\system32\drivers\volsnap.sys'
01.06.2011, 15:47
Hybrid-Darstellung
