Erstmal vielen Dank für die schnelle Antwort so spät am Sonntag Abend!!!
Hier dann das Combofix-Log:
Combofix Logfile: Code:
ComboFix 11-05-28.01 - nemoaaa 29.05.2011 23:00:47.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1456 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nemoaaa\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-28 bis 2011-05-29 ))))))))))))))))))))))))))))))
.
.
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin7.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin6.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin5.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin4.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin3.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin2.dll
2011-05-29 14:37 . 2011-05-29 14:38 159744 ----a-w- c:\programme\Internet Explorer\PLUGINS\npqtplugin.dll
2011-05-29 14:37 . 2011-05-29 14:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2011-05-29 14:37 . 2011-05-29 14:37 -------- d-----w- c:\dokumente und einstellungen\nemoaaa\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2011-05-29 14:19 . 2011-05-29 14:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-05-29 12:35 . 2011-05-29 12:35 -------- d-----w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Malwarebytes
2011-05-29 12:35 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 12:35 . 2011-05-29 12:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-29 12:34 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-24 16:24 . 2011-05-24 16:24 -------- d-----w- c:\dokumente und einstellungen\nemoaaa\Lokale Einstellungen\Anwendungsdaten\Mozilla
2011-05-24 14:14 . 2011-05-24 14:14 -------- d-----w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Avira
2011-05-24 14:10 . 2010-02-16 12:24 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-05-23 21:26 . 2011-05-23 21:26 -------- d-----w- c:\programme\Microsoft.NET
2011-05-23 21:23 . 2011-05-23 21:23 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2011-05-15 01:57 . 2011-05-15 01:57 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 14:15 . 2009-06-08 13:37 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2011-05-24 14:15 . 2009-06-08 13:37 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2011-05-24 14:15 . 2009-06-08 13:37 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-04-14 03:07 . 2010-06-11 15:19 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-04-14 00:40 . 2010-06-11 15:42 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-03-07 05:33 . 2009-06-08 13:27 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2003-04-02 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2003-04-02 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-29_14.55.06 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-29 16:36 . 2011-05-29 16:36 16384 c:\windows\Temp\Perflib_Perfdata_194.dat
- 2003-04-02 12:00 . 2011-05-29 14:26 56548 c:\windows\system32\perfh009.dat
+ 2003-04-02 12:00 . 2011-05-29 16:40 56548 c:\windows\system32\perfh009.dat
- 2003-04-02 12:00 . 2011-05-29 14:26 76988 c:\windows\system32\perfc009.dat
+ 2003-04-02 12:00 . 2011-05-29 16:40 76988 c:\windows\system32\perfc009.dat
- 2003-04-02 12:00 . 2011-05-29 14:26 91672 c:\windows\system32\perfc007.dat
+ 2003-04-02 12:00 . 2011-05-29 16:40 91672 c:\windows\system32\perfc007.dat
+ 2009-06-14 11:38 . 2007-04-02 18:26 19456 c:\windows\system32\dllcache\agt040d.dll
+ 2009-06-14 11:38 . 2007-04-02 18:25 19456 c:\windows\system32\dllcache\agt0401.dll
+ 2009-06-14 11:38 . 2007-04-02 18:26 19456 c:\windows\msagent\intl\agt040d.dll
+ 2009-06-14 11:38 . 2007-04-02 18:25 19456 c:\windows\msagent\intl\agt0401.dll
+ 2003-04-02 12:00 . 2011-05-29 16:40 478978 c:\windows\system32\perfh007.dat
- 2003-04-02 12:00 . 2011-05-29 14:26 478978 c:\windows\system32\perfh007.dat
+ 2009-06-08 14:23 . 2011-05-29 16:36 158752 c:\windows\system32\FNTCACHE.DAT
- 2009-06-08 14:23 . 2011-04-16 04:17 158752 c:\windows\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12 94208 ----a-w- c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-05-24 281768]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-08-15 30003200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2003-04-02 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-02 455168]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-04 98304]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:D *
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Spiele\\Blood Bowl\\BB.exe"=
"e:\\Spiele\\Blood Bowl\\Autorun\\Exe\\Autorun.exe"=
"d:\\Programme\\ultraedit\\uedit32.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"e:\\Spiele\\Blood Bowl Legendary Edition\\BB_LE.exe"=
"e:\\Spiele\\Blood Bowl Legendary Edition\\Autorun\\Exe\\Autorun.exe"=
"c:\\Dokumente und Einstellungen\\nemoaaa\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16962:UDP"= 16962:UDP:bb
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
.
R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [08.06.2009 15:37 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [08.06.2009 15:37 45416]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [08.06.2009 15:37 136360]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [08.06.2009 17:05 845184]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Save YouTube Video as MP3
TCP: Interfaces\{7ACAEFC1-E63A-4417-B679-AD518A15A174}: NameServer = 192.168.1.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-29 23:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1454471165-413027322-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:db,c2,96,67,a9,83,8f,4e,50,fb,5e,8d,b8,2f,20,46,09,4a,03,0c,fa,
76,8b,48,0d,d6,f7,cf,cd,5c,e6,a4,55,c1,45,29,b1,2b,05,6d,bd,65,06,01,c4,14,\
"rkeysecu"=hex:d4,62,ba,1c,6a,0f,9f,e2,f3,27,82,f9,aa,43,a5,69
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1984)
c:\dokumente und einstellungen\nemoaaa\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-05-29 23:04:34
ComboFix-quarantined-files.txt 2011-05-29 21:04
ComboFix2.txt 2011-05-29 16:16
ComboFix3.txt 2011-05-29 14:56
.
Vor Suchlauf: 7 Verzeichnis(se), 13.768.933.376 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 13.758.701.568 Bytes frei
.
- - End Of File - - 1795EBA43E4656DA55F040C0EBF0E3D6 --- --- --- |