Code:
ComboFix 11-05-11.01 - karina 11.05.2011 21:32:14.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.635 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\karina\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc101.exe
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc12138609.txt
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\plugs\mmc12226562.txt
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\karina\Anwendungsdaten\Adobe\shed\thr1.chm
c:\dokumente und einstellungen\karina\Anwendungsdaten\FunWebProducts
c:\dokumente und einstellungen\karina\Anwendungsdaten\FunWebProducts\Data\karina\avatar.dat
c:\dokumente und einstellungen\karina\Desktop\Windows Recovery.lnk
c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery
c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk
c:\dokumente und einstellungen\karina\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk
c:\programme\FunWebProducts
c:\programme\MyWebSearch
c:\programme\MyWebSearch\bar\History\search3
c:\programme\MyWebSearch\bar\Settings\s_pid.dat
c:\programme\MyWebSearch\bar\Settings\setting2.htm
c:\programme\MyWebSearch\bar\Settings\setting2.htm.bak
c:\programme\MyWebSearch\bar\Settings\settings.dat
c:\programme\MyWebSearch\bar\Settings\settings.dat.bak
c:\programme\pdfforge Toolbar\IE\4.3\pdFForgetoolbarie.dll
C:\recycle.bin
c:\recycle.bin\config.bin
c:\windows\Downloaded Program Files\f3initialsetup1.0.1.1.inf
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-11 bis 2011-05-11 ))))))))))))))))))))))))))))))
.
.
2011-05-11 17:32 . 2011-05-11 17:49 -------- d-----w- C:\_OTL
2011-04-26 14:49 . 2011-04-26 14:57 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\FileZilla
2011-04-26 14:48 . 2011-04-26 14:57 -------- d-----w- c:\programme\FileZilla FTP Client
2011-04-21 05:13 . 2011-04-21 05:13 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\pdfforge
2011-04-20 23:42 . 2011-04-20 23:43 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\Search Settings
2011-04-20 23:42 . 2011-04-20 23:42 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Application Updater
2011-04-20 23:42 . 2011-04-20 23:42 -------- d-----w- c:\programme\Application Updater
2011-04-20 23:42 . 2011-04-20 23:42 -------- d-----w- c:\programme\pdfforge Toolbar
2011-04-20 23:42 . 2011-04-20 23:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Spigot
2011-04-20 23:41 . 1998-06-23 22:00 137000 ----a-w- c:\windows\system32\MSMAPI32.OCX
2011-04-20 23:41 . 2005-04-15 17:58 1071088 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2011-04-20 23:41 . 2004-03-08 22:00 662288 ----a-w- c:\windows\system32\MSCOMCT2.OCX
2011-04-20 23:41 . 2001-10-28 14:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2011-04-20 23:40 . 1998-07-06 15:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL
2011-04-20 23:40 . 1998-07-06 15:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL
2011-04-20 23:40 . 1998-07-06 15:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL
2011-04-20 23:40 . 1998-07-05 22:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2011-04-20 23:40 . 2011-04-20 23:43 -------- d-----w- c:\programme\PDFCreator
2011-04-20 23:26 . 2011-04-20 23:27 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-19 09:33 . 2011-04-19 09:33 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\BabylonToolbar
2011-04-19 00:57 . 2011-04-19 00:57 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\Tonium
2011-04-19 00:56 . 2011-04-19 00:56 -------- d-----w- c:\programme\BabylonToolbar
2011-04-17 23:44 . 2011-04-20 15:36 -------- d-----w- c:\programme\TableScan Turbo
2011-04-13 18:00 . 2011-04-13 18:00 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\Roaming
2011-04-13 15:12 . 2011-04-13 15:12 -------- d-----w- c:\dokumente und einstellungen\karina\Anwendungsdaten\HEM Data
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-20 23:27 . 2010-09-27 07:22 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-03-18 15:53 . 2011-03-06 01:21 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2010-01-29 22:40 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-04 11:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 11:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-04 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-04 11:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-08-04 11:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:41 . 2004-08-04 11:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-04 11:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-04 11:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-04 11:00 290432 ----a-w- c:\windows\system32\atmfd.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2011-01-26 15026056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-01-11 13666408]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-01-11 110696]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"lxbkbmgr.exe"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"BabylonToolbar"="c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" [2010-11-07 286720]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2011-01-28 526336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\lxbkcoms.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [06.03.2011 03:21 136360]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [28.01.2011 17:10 387072]
R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe -service --> c:\windows\system32\lxbkcoms.exe -service [?]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 postgresql-8.4;PostgreSQL Server 8.4;C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "C:/Programme/PostgreSQL/8.4/data" -w --> C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = hxxp://www.google.com
FF - ProfilePath - c:\dokumente und einstellungen\karina\Anwendungsdaten\Mozilla\Firefox\Profiles\m7chc038.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=20ab37800000000000000007e94e7ee8&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=827316&p=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Babylon: ffxtlbr@babylon.com - %profile%\extensions\ffxtlbr@babylon.com
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-nwiz - nwiz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-11 21:37
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Programme/PostgreSQL/8.4/data\" -w"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]
"ImagePath"="C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Programme/PostgreSQL/8.4/data\" -w"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
.
Zeit der Fertigstellung: 2011-05-11 21:40:03
ComboFix-quarantined-files.txt 2011-05-11 19:39
.
Vor Suchlauf: 1.881.931.776 Bytes frei
Nach Suchlauf: 1.935.314.944 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 0AB25C3E48FA376D04FAB03161BBE3DD |