Code:
ComboFix 14-06-27.01 - Admin 28.06.2014 14:08:04.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1579 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\Java\jre7\bin\jp2ssv.dll
c:\windows\system32\ctfmon .exe
c:\windows\system32\drivers\bdc354611824265c.sys
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_bdc354611824265c
-------\Service_bdc354611824265c
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-05-28 bis 2014-06-28 ))))))))))))))))))))))))))))))
.
.
2014-06-28 11:45 . 2014-06-28 11:46 -------- d-----w- C:\FRST
2014-06-28 11:25 . 2014-06-28 11:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EhfiZned
2014-06-28 11:18 . 2014-06-28 11:18 411552 ----a-w- c:\windows\system32\drivers\ctcqvxtj.sys
2014-06-28 11:05 . 2014-06-28 11:05 411552 ----a-w- c:\windows\system32\drivers\spvkgrke.sys
2014-06-28 11:04 . 2014-06-28 11:04 411552 ----a-w- c:\windows\system32\drivers\twcdmjwx.sys
2014-06-28 10:55 . 2014-06-28 10:55 411552 ----a-w- c:\windows\system32\drivers\hmxiadxx.sys
2014-06-28 10:37 . 2014-06-28 10:37 414392 ----a-w- c:\windows\system32\drivers\ijdnylme.sys
2014-06-28 10:35 . 2014-06-28 10:35 414392 ----a-w- c:\windows\system32\drivers\emnnxlka.sys
2014-06-28 10:35 . 2014-06-28 10:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2014-06-26 16:43 . 2014-06-26 16:43 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2014-06-09 22:18 . 2014-06-09 22:11 136216 ----a-w- c:\windows\system32\drivers\avipbb.sys
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-05-27 17:05 . 2013-02-25 08:59 692400 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-05-27 17:05 . 2011-05-15 10:49 70832 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
Code:
<pre>
c:\programme\Ask.com\Updater\Updater .exe
c:\programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
c:\programme\Fujitsu\BtnHnd\BtnHnd .exe
c:\programme\Fujitsu\DeskUpdate\DeskUpdateNotifier .exe
c:\programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
c:\programme\ltmoh\Ltmoh .exe
c:\programme\QuickTime\qttask .exe
c:\windows\system32\hkcmd .exe
</pre> .
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2012-12-10 1520840]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bfxumkxg"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\bfxumkxg.dat" [N/A]
"EhfiZned"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\EhfiZned\EhfiZned.dat" [2014-06-28 234332]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-10 14679552]
"AGRSMMSG"="AGRSMMSG.exe" [2005-07-01 88201]
"SoundMan"="SOUNDMAN.EXE" [2005-07-21 81920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Admin\Startmenü\Programme\Autostart\
HpM3Util.exe [2014-1-4 303104]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\Fujitsu Siemens\Bluetooth Software\BTTray.exe [2004-9-21 557123]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE -b -l [2000-1-21 65588]
WISO Mein Steuer-Sparbuch heute.lnk - c:\programme\WISO\Steuersoftware 2013\mshaktuell.exe [2013-12-1 1397840]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OdysseyClient]
2010-02-04 16:09 106496 ----a-w- c:\windows\system32\odyEvent.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 tidnet;TID NDIS Protocol Driver;c:\windows\system32\drivers\tidnet.sys [11.11.2010 18:02 26008]
R2 TGCM_ImportWiFiSvc;TGCM_ImportWiFiSvc;c:\programme\o2\Mobile Connection Manager\ImpWiFiSvc.exe [11.11.2010 18:07 199600]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [22.12.2005 19:12 196480]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [27.10.2005 09:24 6844]
S2 AntiVirWebService;Avira Browser-Schutz;"c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE" --> c:\programme\Avira\AntiVir Desktop\AVWEBGRD.EXE [?]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 CFcatchme;CFcatchme;\??\c:\dokume~1\Admin\LOKALE~1\Temp\CFcatchme.sys --> c:\dokume~1\Admin\LOKALE~1\Temp\CFcatchme.sys [?]
S3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\windows\system32\drivers\FUJ02E1.sys [18.10.2004 16:08 5632]
S3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [10.03.2009 12:21 4864]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [19.02.2012 12:31 10240]
S3 massfilter_hs;USB Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter_hs.sys [19.02.2012 12:31 9728]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2014-06-28 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-02-25 17:05]
.
2014-01-10 c:\windows\Tasks\DeskUpdate.job
- c:\programme\Fujitsu\DeskUpdate\ducmd.exe [2010-12-14 12:04]
.
2014-01-10 c:\windows\Tasks\DeskUpdateRetry.job
- c:\programme\Fujitsu\DeskUpdate\ducmd.exe [2010-12-14 12:04]
.
2014-06-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-19 13:53]
.
2014-06-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-02-19 13:53]
.
2014-06-28 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2012-12-10 18:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
IE: Senden an &Bluetooth - c:\programme\Fujitsu Siemens\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.1.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-{79A765E1-C399-405B-85AF-466F52E918B0} - c:\programme\Ask.com\Updater\Updater.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2014-06-28 14:16
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,74,93,13,71,59,a9,11,48,b0,f4,31,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,74,93,13,71,59,a9,11,48,b0,f4,31,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_13_0_0_214_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1808)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\odyEvent.dll
c:\windows\system32\odGinaLibrary.dll
.
- - - - - - - > 'explorer.exe'(3960)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Fujitsu Siemens\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\MsiExec.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-06-28 14:20:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2014-06-28 12:20
.
Vor Suchlauf: 13 Verzeichnis(se), 33.585.131.520 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 33.871.380.480 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - D019B7BFC04583BF731D3D660498EC49
72B8CE41AF0DE751C946802B3ED844B4 |