Trojaner-Board - "@schrauber" (Trojan.Agent)

bin zurück, folgende Log wurde erstellt:
Code:
ComboFix 12-09-23.02 - xxx 27.09.2012  16:17:49.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1587 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

.

(((((((((((((((((((((((   Dateien erstellt von 2012-08-27 bis 2012-09-27  ))))))))))))))))))))))))))))))

.

.

2012-09-26 17:33 . 2012-09-26 17:33        --------        d-----w-        c:\programme\ESET

2012-09-16 12:21 . 2012-09-16 12:21        --------        d-----w-        c:\dokumente und einstellungen\Gast 3\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files

2012-09-14 15:58 . 2012-09-14 15:58        --------        d-----w-        c:\dokumente und einstellungen\xxx\Anwendungsdaten\Yahoo!

2012-09-03 22:44 . 2012-09-03 22:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2012-09-03 22:42 . 2012-09-03 22:42        143872        ----a-w-        c:\windows\system32\javacpl.cpl

2012-09-03 22:42 . 2012-09-03 22:42        93672        ----a-w-        c:\windows\system32\WindowsAccessBridge.dll

2012-09-03 22:42 . 2012-09-03 22:42        --------        d-----w-        c:\programme\Java

2012-08-29 19:16 . 2008-04-13 22:15        32128        -c--a-w-        c:\windows\system32\dllcache\usbccgp.sys

2012-08-29 19:16 . 2008-04-13 22:15        32128        ----a-w-        c:\windows\system32\drivers\usbccgp.sys

2012-08-29 19:16 . 2010-01-05 09:31        114688        ----a-w-        c:\windows\system32\drivers\ZTEusbnet.sys

2012-08-29 19:16 . 2010-01-05 09:31        105088        ----a-w-        c:\windows\system32\drivers\ZTEusbser6k.sys

2012-08-29 19:16 . 2010-01-05 09:31        9216        ----a-w-        c:\windows\system32\drivers\massfilter.sys

2012-08-29 19:16 . 2010-01-05 09:31        105088        ----a-w-        c:\windows\system32\drivers\ZTEusbnmea.sys

2012-08-29 19:16 . 2010-01-05 09:31        105088        ----a-w-        c:\windows\system32\drivers\ZTEusbmdm6k.sys

2012-08-29 19:16 . 2012-08-29 19:16        --------        d-----w-        c:\windows\system32\SupportAppCB

2012-08-29 19:16 . 2012-08-29 19:17        --------        d-----w-        c:\programme\Join Air

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-09-07 15:04 . 2012-05-28 14:10        22856        ----a-w-        c:\windows\system32\drivers\mbam.sys

2012-09-03 22:42 . 2012-05-31 20:39        821736        ----a-w-        c:\windows\system32\npDeployJava1.dll

2012-09-03 22:42 . 2012-05-31 20:39        746984        ----a-w-        c:\windows\system32\deployJava1.dll

2012-08-27 19:24 . 2012-05-25 08:19        73416        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2012-08-27 19:24 . 2012-05-25 08:19        696520        ----a-w-        c:\windows\system32\FlashPlayerApp.exe

2012-07-06 13:59 . 2006-07-27 01:48        78336        ----a-w-        c:\windows\system32\browser.dll

2012-07-04 14:05 . 2006-07-27 09:01        139784        ----a-w-        c:\windows\system32\drivers\rdpwd.sys

2012-07-03 18:25 . 2006-07-27 01:49        1866240        ----a-w-        c:\windows\system32\win32k.sys

2012-07-02 17:39 . 2006-07-27 01:49        916992        ----a-w-        c:\windows\system32\wininet.dll

2012-07-02 17:39 . 2006-07-27 01:49        43520        ------w-        c:\windows\system32\licmgr10.dll

2012-07-02 17:39 . 2006-07-27 01:49        1469440        ------w-        c:\windows\system32\inetcpl.cpl

2012-07-02 12:05 . 2006-07-27 01:48        385024        ------w-        c:\windows\system32\html.iec

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-08 7561216]

"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"PrepareYourVAIO"="c:\programme\Sony\Prepare your VAIO\PYVAlert.exe" [2005-01-21 118784]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"VAIO Update 5"="c:\programme\Sony\VAIO Update 5\VAIOUpdt.exe" [2012-01-17 1015912]

"UIExec"="c:\programme\Join Air\UIExec.exe" [2010-04-27 138072]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2011-05-04 17:54        551296        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

2006-03-09 12:51        73728        ----a-w-        c:\windows\system32\VESWinlogon.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISBMgr.exe]

2004-02-20 12:12        32768        ----a-w-        c:\programme\Sony\ISB Utility\ISBMgr.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Adobe\\Photoshop Elements 4.0\\AdobePhotoshopElementsMediaServer.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Programme\\Messenger\\msmsgs.exe"=

"c:\\Programme\\ICQ7M\\ICQ.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [24.05.2012 19:57 36000]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [22.07.2011 18:27 12880]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.07.2011 23:55 67664]

R2 !SASCORE;SAS Core Service;c:\programme\SUPERAntiSpyware\SASCore.exe [12.08.2011 01:38 116608]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.05.2012 19:57 86224]

R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]

R2 UI Assistant Service;UI Assistant Service;c:\programme\Join Air\AssistantServices.exe [29.08.2012 21:16 247152]

R3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [27.07.2006 03:50 30080]

R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [27.07.2006 03:50 226304]

R3 VUAgent;VUAgent;c:\programme\Sony\VAIO Update Common\VUAgent.exe [13.01.2012 10:53 939624]

S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [29.08.2012 21:16 9216]

S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html

IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html

IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

IE: RSS-Support-Site zu VAIO Information FLOW hinzufügen - c:\programme\Sony\VAIO Information FLOW\aiesc.html

IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html

IE: {{781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - c:\programme\ICQ7M\ICQ.exe

Trusted Zone: sony-europe.com

Trusted Zone: sonystyle-europe.com

Trusted Zone: vaio-link.com

TCP: DhcpNameServer = 192.168.178.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2012-09-27 16:23

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'winlogon.exe'(892)

c:\programme\SUPERAntiSpyware\SASWINLO.DLL

c:\windows\system32\VESWinlogon.dll

.

- - - - - - - > 'explorer.exe'(1784)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Zeit der Fertigstellung: 2012-09-27  16:25:14

ComboFix-quarantined-files.txt  2012-09-27 14:25

ComboFix2.txt  2012-09-23 13:01

.

Vor Suchlauf: 9 Verzeichnis(se), 57.098.440.704 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 57.099.354.112 Bytes frei

.

- - End Of File - - B1D397B227A335D05DEEB651AC390FAC
Combofix befindet sich noch auf dem Desktop.