Hallo,
habe Comofix drüberlaufen lassen, wie in der Beschreibung vorgegeben.
Hier das Logfile:
Combofix Logfile: Code:
ComboFix 12-04-03.02 - Marti 03.04.2012 23:51:44.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.477 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Marti\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\1.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\371.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\83.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\a.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\b.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\c.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\d.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\e.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\f.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\g.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\h.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\i.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\j.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\k.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\l.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\m.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\n.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\o.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\p.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\q.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\r.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\s.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\t.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\u.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\v.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\w.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\wlu.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\x.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\y.txt
c:\dokumente und einstellungen\Marti\Anwendungsdaten\PriceGong\Data\z.txt
c:\dokumente und einstellungen\Marti\Recent\Thumbs.db
c:\dokumente und einstellungen\Marti\WINDOWS
c:\winxp\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-03 bis 2012-04-03 ))))))))))))))))))))))))))))))
.
.
2012-04-04 01:38 . 2011-07-13 02:55 2237440 -c--a-r- C:\OTLPE.exe
2012-04-04 01:38 . 2012-04-03 19:50 -------- dc----w- C:\_OTL
2012-04-04 01:37 . 2012-04-04 01:37 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-04-03 21:46 . 2012-04-03 21:46 54016 ----a-w- c:\winxp\system32\drivers\obqmp.sys
2012-04-03 20:16 . 2012-04-03 20:16 -------- d-----w- c:\dokumente und einstellungen\Marti\Anwendungsdaten\Malwarebytes
2012-04-03 20:16 . 2012-04-03 20:16 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-03 20:16 . 2011-12-10 13:24 20464 ----a-w- c:\winxp\system32\drivers\mbam.sys
2012-04-03 20:16 . 2012-04-03 20:16 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-04-03 19:43 . 2012-04-03 19:43 0 --sh--w- c:\winxp\S76941500.tmp
2012-03-15 07:21 . 2012-03-15 07:21 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2012-03-09 19:08 . 2012-03-09 19:08 -------- d-----w- c:\dokumente und einstellungen\Marti\Anwendungsdaten\Search Settings
2012-03-09 19:08 . 2012-03-09 19:08 -------- d-----w- c:\programme\Application Updater
2012-03-09 19:08 . 2012-03-09 19:08 -------- d-----w- c:\programme\pdfforge Toolbar
2012-03-09 19:08 . 2012-03-09 19:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-15 18:31 . 2012-02-11 12:05 137416 ----a-w- c:\winxp\system32\drivers\avipbb.sys
2012-03-13 04:38 . 2012-03-15 07:15 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-07-08 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
[-] 2008-07-08 21:08 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVD0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\programme\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2011-01-17 14:54 175912 ----a-w- c:\programme\DVDVideoSoftTB\prxtbDVD0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\prxtbDVD0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\prxtbDVD0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winxp\system32\NvCpl.dll" [2008-05-03 13529088]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-12-15 258512]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
"Malwarebytes Anti-Malware (cleanup)"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll" [2012-01-13 1081416]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\winxp\pss\McAfee Security Scan Plus.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Marti^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\Marti\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\winxp\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00 33648 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-07-13 12:03 292128 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
2012-03-04 21:48 934752 ----a-w- c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Internet Explorer"=c:\programme\Internet Explorer\iexplore.exe
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BDRegion"=c:\programme\Cyberlink\Shared Files\brs.exe
"PDVD8LanguageShortcut"=c:\programme\CyberLink\PowerDVD8\Language\Language.exe
"RemoteControl8"=c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"d:\\Backup\\Multimedia\\Gamez\\base\\bin\\Settlers6.exe"=
.
R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [18.07.2008 17:24 715248]
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [11.02.2012 14:05 36000]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};c:\programme\CyberLink\PowerDVD8\000.fcl [15.05.2008 12:07 61424]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.02.2012 14:05 86224]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [04.03.2012 23:40 748440]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [20.07.2010 17:54 246520]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [03.04.2012 22:16 652360]
R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [03.04.2012 22:16 20464]
R3 TNET1130;802.11 WLAN;c:\winxp\system32\drivers\TNET1130.sys [12.08.2007 22:42 438912]
S3 dgderdrv;dgderdrv;c:\winxp\system32\drivers\dgderdrv.sys --> c:\winxp\system32\drivers\dgderdrv.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\winxp\system32\FsUsbExDisk.Sys [14.09.2011 19:58 36640]
S3 InputFilter_Hid_FlexDef2b;Siliten HID Devices(FlexDef2b) Driver Service;c:\winxp\system32\drivers\InputFilter_FlexDef2b.sys [04.10.2010 11:05 14848]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\winxp\system32\drivers\s1018bus.sys [28.09.2010 19:51 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\winxp\system32\drivers\s1018mdfl.sys [28.09.2010 19:52 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\winxp\system32\drivers\s1018mdm.sys [28.09.2010 19:52 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\winxp\system32\drivers\s1018mgmt.sys [28.09.2010 19:52 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\winxp\system32\drivers\s1018nd5.sys [28.09.2010 19:52 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\winxp\system32\drivers\s1018obex.sys [28.09.2010 19:52 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\winxp\system32\drivers\s1018unic.sys [28.09.2010 19:52 109864]
S3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\winxp\system32\drivers\ssadbus.sys [14.09.2011 19:56 96488]
S3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\winxp\system32\drivers\ssadmdfl.sys [14.09.2011 19:56 12776]
S3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\winxp\system32\drivers\ssadmdm.sys [14.09.2011 19:56 121576]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - MBAMSERVICE
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-03 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-11 16:47]
.
2012-03-15 c:\winxp\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-04-03 c:\winxp\Tasks\WGASetup.job
- c:\winxp\system32\KB905474\wgasetup.exe [2009-04-23 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?l=dis&o=14672
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Marti\Anwendungsdaten\Mozilla\Firefox\Profiles\ldx0z09b.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.7&q=
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\program files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-03 23:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1715567821-839522115-1417001333-1003\Software\SecuROM\License information*]
"datasecu"=hex:a3,b0,9a,d0,bf,71,1d,fe,90,92,ca,16,a3,a7,5d,de,c6,e2,ea,cc,d5,
a0,f9,ed,07,32,be,76,99,84,d2,e3,fe,f0,83,a8,6a,6c,e5,88,4a,af,91,10,da,24,\
"rkeysecu"=hex:38,dc,e6,11,27,d4,f3,51,7b,e0,f5,1a,ea,72,e4,9e
.
Zeit der Fertigstellung: 2012-04-04 00:01:12
ComboFix-quarantined-files.txt 2012-04-03 22:01
.
Vor Suchlauf: 2.031.947.776 Bytes frei
Nach Suchlauf: 2.050.842.624 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 228007541B3EBE25944186CC02664907
--- --- --- |
