| SigurRos | 28.01.2009 17:41 |
ComboFix Code:
ComboFix 09-01-21.04 - ICH 2009-01-28 17:27:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1023.690 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ICH\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ICH\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
ADS - WINDOWS: deleted 72 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\polynet.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-28 ))))))))))))))))))))))))))))))
.
2009-01-26 06:43 . 2009-01-26 06:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-26 06:42 . 2009-01-26 06:42 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-26 06:42 . 2009-01-26 06:42 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-26 06:42 . 2009-01-26 06:42 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-25 20:19 . 2009-01-25 20:19 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-25 20:19 . 2009-01-25 20:19 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\Malwarebytes
2009-01-25 20:19 . 2009-01-25 20:19 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-25 20:19 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-25 20:19 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-25 18:24 . 2009-01-25 18:24 250 --a------ c:\windows\gmer.ini
2009-01-25 15:21 . 2009-01-27 18:35 <DIR> d--h----- C:\$AVG8.VAULT$
2009-01-25 15:08 . 2009-01-25 15:08 <DIR> d-------- c:\programme\AVG
2009-01-25 15:08 . 2009-01-28 17:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-01-25 01:53 . 2009-01-25 01:54 <DIR> d-------- c:\dokumente und einstellungen\ICH\SmitfraudFix
2009-01-25 01:11 . 2009-01-25 01:26 <DIR> d-------- c:\programme\Exterminate It!
2009-01-24 16:08 . 2009-01-24 16:08 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-24 07:35 . 2009-01-24 07:35 <DIR> d-------- c:\programme\Trend Micro
2009-01-22 18:18 . 2009-01-22 18:18 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\KC Softwares
2009-01-22 18:17 . 2009-01-22 18:17 <DIR> d-------- c:\programme\KC Softwares
2009-01-21 21:52 . 2009-01-21 21:52 <DIR> d-------- c:\programme\7-Zip
2009-01-21 20:29 . 2009-01-21 20:30 <DIR> d-------- c:\programme\Scribble Papers
2009-01-18 08:27 . 2009-01-25 18:19 <DIR> d-------- c:\programme\Unlocker
2009-01-16 17:06 . 2009-01-25 15:28 <DIR> d-------- c:\programme\Craagle
2009-01-16 06:56 . 2009-01-18 08:07 <DIR> d-------- c:\programme\Ashampoo
2009-01-12 18:27 . 2009-01-12 18:27 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-01-12 18:23 . 2009-01-12 18:23 <DIR> d-------- c:\programme\Nero
2009-01-02 22:12 . 2009-01-02 22:14 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\XnView
2009-01-01 16:02 . 2009-01-01 16:05 <DIR> d-------- c:\programme\XMPEG
2009-01-01 15:54 . 2009-01-01 15:54 <DIR> d-------- c:\programme\iSofter
2009-01-01 15:54 . 2007-02-06 15:01 45,056 --a------ c:\windows\system32\wnaspi32.dll
2009-01-01 15:54 . 2007-02-06 15:01 16,512 --a------ c:\windows\system32\drivers\aspi32.sys
2008-12-31 12:23 . 2009-01-01 09:04 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\Lexware
2008-12-31 12:20 . 2008-12-31 12:20 <DIR> d-------- c:\programme\Gemeinsame Dateien\Haufe
2008-12-31 12:17 . 2009-01-01 09:04 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2008-12-30 20:17 . 2008-12-30 20:51 <DIR> d-------- c:\windows\SxsCaPendDel
2008-12-30 19:51 . 2008-12-30 19:51 <DIR> d-------- c:\dokumente und einstellungen\ICH\Anwendungsdaten\Haufe
2008-12-30 15:40 . 2008-12-30 15:40 <DIR> d-------- c:\programme\Lexware
2008-12-30 15:40 . 2009-01-24 18:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2008-12-30 15:38 . 2008-12-30 15:38 <DIR> d-------- c:\programme\Haufe
2008-12-30 15:38 . 2008-12-30 15:38 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Haufe
2008-12-30 15:36 . 2008-12-31 12:16 <DIR> d-------- c:\programme\Gemeinsame Dateien\Lexware
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-28 16:17 --------- d-----w c:\programme\Idoswin Pro
2009-01-28 16:06 --------- d-----w c:\programme\Mozilla Thunderbird
2009-01-28 16:05 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-28 16:05 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\A Note
2009-01-28 05:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2009-01-25 19:34 --------- d-----w c:\programme\TV-Browser
2009-01-23 21:02 --------- d-----w c:\programme\Preispiraten6
2009-01-23 19:28 --------- d-----w c:\programme\Ziepod
2009-01-23 16:49 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-23 15:20 --------- d-----w c:\programme\Ahnenblatt
2009-01-23 15:20 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\Ahnenblatt
2009-01-23 15:17 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\UpdateStar
2009-01-23 15:14 --------- d-----w c:\programme\DVD Flick
2009-01-23 15:14 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\DVD Flick
2009-01-21 19:50 --------- d-----w c:\programme\A Note
2009-01-18 07:06 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\Ashampoo
2009-01-16 19:47 --------- d-----w c:\programme\Personal Backup 4
2009-01-16 16:14 --------- d-----w c:\programme\PhraseExpress
2009-01-07 14:31 --------- d-----w c:\programme\Audacity 1.3 Beta (Unicode)
2009-01-07 14:31 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\Desktop Sidebar
2009-01-07 14:31 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\Audacity
2008-12-27 04:00 --------- d-----w c:\programme\Registry System Wizard
2008-12-25 09:06 --------- d-----w c:\programme\IrfanView
2008-12-24 19:31 --------- d-----w c:\programme\BOINC
2008-12-24 11:33 --------- d-----w c:\programme\CCleaner
2008-12-24 08:15 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\gtk-2.0
2008-12-20 06:34 --------- d-----w c:\dokumente und einstellungen\ICH\Anwendungsdaten\uTorrent
2008-12-19 19:28 --------- d-----w c:\programme\uTorrent
2008-12-14 08:21 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-14 08:21 --------- d-----w c:\programme\Java
2008-12-13 07:51 603,904 ----a-w c:\windows\system32\TUProgSt.exe
2008-12-13 07:51 360,192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-12-13 07:51 --------- d-----w c:\programme\TuneUp Utilities 2009
2008-12-13 07:12 --------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2008-12-12 04:51 --------- d-----w c:\programme\Google
2008-12-11 12:31 27,904 ----a-w c:\windows\system32\uxtuneup.dll
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-01 18:48 --------- d-----w c:\programme\Microsoft IntelliType Pro
2008-12-01 18:41 --------- d-----w c:\programme\Microsoft IntelliPoint
2008-11-24 17:21 90,112 ----a-w c:\windows\DUMP3d76.tmp
2008-11-24 17:18 90,112 ----a-w c:\windows\DUMP445c.tmp
2008-11-22 07:03 37,888 ----a-w c:\windows\system32\setupnt.dll
2008-11-22 07:03 369,152 ----a-w c:\windows\system32\autoprnt.exe
2008-11-22 07:03 102,400 ----a-w c:\windows\system32\snapapi.dll
2008-11-14 20:11 39,424 ----a-w c:\windows\zipinst.exe
2008-11-09 07:45 25,992 ----a-w c:\windows\system32\pgdfgsvc.exe
2008-11-06 12:40 36,279 -c--a-w c:\windows\Internet Logs\UpdClient_2nd_2008_11_06_13_00_57_small.dmp.zip
2008-11-03 20:01 26,138 -c--a-w c:\windows\Internet Logs\UpdClient_2nd_2008_11_03_18_23_45_small.dmp.zip
2008-11-02 14:02 7,680 ----a-w c:\windows\system32\ff_vfw.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\divx.dll
2008-09-17 07:44 454,144 ----a-w c:\dokumente und einstellungen\ICH\setup.exe
2008-08-17 08:53 14,852 ----a-w c:\programme\settings.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"aborange DayDisplay"="c:\programme\aborange DayDisplay\DayDisplay.exe" [2007-10-10 410112]
"PureText"="c:\programme\PureText\PureText.exe" [2003-08-21 28672]
"SetDefaultMIDI"="MIDIDef.exe" [2002-12-03 c:\windows\MIDIDEF.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600]
"ThreatFire"="c:\programme\ThreatFire\TFTray.exe" [2008-11-17 263456]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"P17Helper"="P17.dll" [2005-05-03 c:\windows\system32\P17.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\ICH\Startmen\Programme\Autostart\
A Note.lnk - c:\programme\A Note\A Note.exe [2004-10-30 622592]
PhraseExpress.lnk - c:\programme\PhraseExpress\phraseexpress.exe [2008-08-11 3516520]
Verknpfung mit DayDisplay.lnk - c:\programme\aborange DayDisplay\DayDisplay.exe [2008-08-14 410112]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"UpdateStar"=c:\dokumente und einstellungen\ICH\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UpdReg"=c:\windows\UpdReg.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\CNAB3RPK.EXE"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=
"c:\\Programme\\PhraseExpress\\PhraseExpress.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2008-10-30 51488]
R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2008-10-30 39200]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [2003-10-20 39808]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [2003-10-20 38992]
R3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [2003-10-20 674048]
R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2008-10-30 33056]
R4 ThreatFire;ThreatFire;c:\programme\ThreatFire\TFService.exe service --> c:\programme\ThreatFire\TFService.exe service [?]
R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-13 603904]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [2008-08-20 70336]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-08-11 98488]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - mchInjDrv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com i:
\Shell\Open\command - i:\resycled\ntldr.com i:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aba4590a-69c9-11dd-9566-000b6a22af86}]
\Shell\AutoRun\command - G:\InstallTomTomHOME.exe
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {9428593B-4BC6-4945-A452-AD230BC14DBC} = 194.97.173.124 194.97.173.125
FF - ProfilePath - c:\dokumente und einstellungen\ICH\Anwendungsdaten\Mozilla\Firefox\Profiles\58yo3vd7.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://w*w.firesearch.com/
FF - prefs.js: keyword.URL - hxxp://google.com/search?btnG=Google+Search&q=
FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
---- FIREFOX Richtlinien ----
user_pref(browser.throbber.url,hxxp://w*w.google.de/);
user_pref(keyword.URL,hxxp://google.com/search?btnG=Google+Search&q=);
user_pref(advanced.system.supportDDEExec,false);
// This one makes a huge difference. Last value in milliseconds (default is 250)
FF - user.js: nglayout.initialpaint.delay - 600
// Enable pipelining:
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 100
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.notify.interval - 600000
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2009-01-28 17:31:40
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1606980848-1303643608-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50B9C5C2-2ABC-6F65-35CF-D5A3074FF42A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iakidfmjdmfgmfphdb"=hex:6b,61,70,66,6c,68,66,67,6e,6e,6a,6e,6a,6a,66,65,6b,6b,
6e,62,64,64,00,09
"hamijpmpnhmdohoo"=hex:6b,61,70,66,6c,68,66,67,6e,6e,6a,6e,6a,6a,66,65,6b,6b,
6e,62,64,64,00,0a
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(556)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\ThreatFire\TFWAH.dll
c:\programme\ThreatFire\TFNI.dll
- - - - - - - > 'lsass.exe'(612)
c:\programme\ThreatFire\TFWAH.dll
.
Zeit der Fertigstellung: 2009-01-28 17:34:16
ComboFix-quarantined-files.txt 2009-01-28 16:34:12
Vor Suchlauf: 13 Verzeichnis(se), 13.024.169.984 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 13,012,652,032 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=1D20LD /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=1D20LD-BAK
256 --- E O F --- 2009-01-14 19:08:23
|
