| Babsschnaps | 03.03.2012 18:40 |
Hier das Log von Combofix.
Was nun?
Combofix Logfile: Code:
ComboFix 12-03-02.01 - Besitzer 03.03.2012 17:44:10.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1279.670 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe
c:\dokumente und einstellungen\Besitzer\WINDOWS
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\iun6002.exe
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\oobe\msoobe.exe
c:\windows\system32\oobe\oobebaln.exe
c:\windows\unin0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-03 bis 2012-03-03 ))))))))))))))))))))))))))))))
.
.
2012-03-03 14:27 . 2012-03-03 14:27 -------- d-----w- c:\windows\l2schemas
2012-03-03 14:27 . 2012-03-03 14:27 -------- d-----w- c:\windows\system32\de
2012-03-03 14:09 . 2008-04-14 02:22 69120 ------w- c:\windows\system32\wlanapi.dll
2012-03-03 14:09 . 2008-04-14 02:22 53248 ------w- c:\windows\system32\tsgqec.dll
2012-03-03 14:09 . 2008-04-14 02:22 50688 ------w- c:\windows\system32\tspkg.dll
2012-03-03 14:09 . 2008-04-14 02:23 32768 ------w- c:\windows\system32\setupn.exe
2012-03-03 14:09 . 2008-04-13 18:40 10240 ------w- c:\windows\system32\drivers\sffp_mmc.sys
2012-03-03 14:07 . 2008-04-14 02:22 9216 ------w- c:\windows\system32\dot3dlg.dll
2012-03-03 14:00 . 2012-02-23 16:12 337112 ----a-w- c:\windows\system32\drivers\aswSP.sys
2012-03-03 14:00 . 2012-02-23 16:10 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2012-03-03 14:00 . 2012-02-23 16:10 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2012-03-03 14:00 . 2012-02-23 16:10 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2012-03-03 14:00 . 2012-02-23 16:12 610648 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-03-03 14:00 . 2012-02-23 16:10 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2012-03-03 14:00 . 2012-02-23 16:10 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys
2012-03-03 14:00 . 2012-02-23 16:07 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2012-03-03 13:59 . 2012-02-23 16:23 41184 ----a-w- c:\windows\avastSS.scr
2012-03-03 13:59 . 2012-02-23 16:23 201352 ----a-w- c:\windows\system32\aswBoot.exe
2012-03-03 13:58 . 2012-03-03 13:58 -------- d-----w- c:\programme\AVAST Software
2012-03-03 13:58 . 2012-03-03 13:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2012-03-03 12:37 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2012-03-03 12:35 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2012-03-03 12:33 . 2010-02-24 13:11 455680 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2012-03-03 12:33 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2012-03-03 12:33 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2012-03-03 12:32 . 2009-10-15 16:28 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2012-03-03 12:32 . 2009-10-15 16:28 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2012-03-03 12:32 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2012-03-03 12:30 . 2009-06-21 21:45 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2012-03-03 12:29 . 2009-06-05 07:42 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2012-03-03 12:27 . 2009-07-31 04:32 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2012-03-03 12:27 . 2008-10-15 16:35 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2012-03-03 12:26 . 2008-05-01 14:34 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2012-03-03 12:26 . 2008-06-14 17:32 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2012-03-03 12:26 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2012-03-03 12:20 . 2009-08-06 18:24 18144 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 23264 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-03-03 12:20 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-03-01 17:38 . 2012-03-01 17:38 -------- d-----w- c:\programme\CCleaner
2012-03-01 13:33 . 2012-03-01 13:33 -------- d-----w- C:\_OTL
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-10 14:24 . 2010-09-09 19:31 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-16 10:50 . 2010-12-08 19:28 3056008 ----a-w- c:\programme\Gemeinsame Dateien\AskToolbarInstaller.exe
2012-02-17 18:56 . 2011-05-10 15:54 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-02-23 16:23 123536 ----a-w- c:\programme\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 139264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]
"avast"="c:\programme\AVAST Software\Avast\avastUI.exe" [2012-02-23 4031368]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^McAfee Security Scan Plus.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2006-07-12 20:02 61440 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis*True*Image Monitor]
2006-07-12 20:02 435312 ----a-w- c:\programme\Acronis\TrueImage\TrueImageMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37 843712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 03:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2004-09-02 21:57 57344 ----a-w- c:\programme\CloneCD\CloneCDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Net Agent]
2010-07-29 11:20 431424 ----a-w- c:\programme\DAEMON Tools Net\DTAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04 1164584 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
2003-09-20 19:23 45056 ----a-w- c:\programme\SlySoft\AnyDVD\ElbyCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-06-01 15:22 1519616 ----a-w- c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Seagate Dashboard]
2010-07-06 19:32 79112 ----a-w- c:\programme\Seagate\Seagate Dashboard\MemeoLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2011-10-13 08:27 17351304 ----a-r- c:\programme\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 12:07 90112 ----a-w- c:\windows\soundman.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2011-08-02 06:41 1242448 ----a-w- c:\valve\Steam\steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 09:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Thunderbird]
2012-02-29 08:11 399512 ----a-w- c:\programme\Mozilla Thunderbird\thunderbird.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\EA GAMES\\Battlefield Vietnam\\bfvietnam.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"c:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Programme\\Winamp\\SHOUTcast\\sc_serv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9090:TCP"= 9090:TCP:pnp
.
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [10.07.2007 16:48 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [10.07.2007 16:48 5248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [03.03.2012 15:00 610648]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [03.03.2012 15:00 337112]
R1 dtcdrom;dtcdrom;c:\windows\system32\drivers\dtcdrom.sys [18.09.2010 22:55 201280]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [26.05.2009 22:58 53760]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03.03.2012 15:00 20696]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27.01.2010 03:09 50704]
R2 SeagateDashboardService;Seagate Dashboard Service;c:\programme\Seagate\Seagate Dashboard\SeagateDashboardService.exe [06.07.2010 20:32 14088]
S2 DTNetService;DTNetService;c:\programme\DAEMON Tools Net\DTNetSrv.exe [29.07.2010 12:19 394560]
S2 gupdate1ca827a176e7e7e;Google Update Service (gupdate1ca827a176e7e7e);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.12.2009 21:13 133104]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-21 20:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com/?o=14772&l=dis
mLocal Page =
IE: &SHOUTcast Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\SHOUTcast Radio Toolbar\ieToolbar\resources\en-US\local\search.html
IE: &Winamp Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{3157C916-988A-40B8-8905-F1E296B644F7}: NameServer = 195.202.33.68,192.168.100.10,194.25.2.129
TCP: Interfaces\{6B67EC3A-DEBC-4984-9F1D-FBE0D63541CA}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\aytyzkuh.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - Google
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: browser.sessionstore.resume_from_crash - false
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-{4E3CF522-09F8-11DB-AB3F-806D6172696F} - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Microsoft\torrent.exe
AddRemove-Heroes of Might and Magic® III - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-03 18:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
C:\avast! sandbox
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:cd,82,f7,96,84,a1,c3,ce,ae,18,69,55,50,85,4a,a0,f7,12,71,84,6a,16,ed,
82,d9,6b,ac,8b,15,82,d0,84,6e,b7,3c,7c,b7,a7,72,f1,89,3c,56,54,04,f8,a8,98,\
"??"=hex:cc,fb,59,2f,ca,d0,ac,01,31,4a,78,2f,35,d7,43,b6
.
[HKEY_USERS\S-1-5-21-861567501-2147182267-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:19,3f,08,eb,83,6b,ca,fd,7b,2b,7f,78,f2,6a,b7,3d,65,21,93,e4,1d,
bc,6a,08,72,52,d8,d2,da,78,69,c2,7b,a9,70,c0,3d,19,e5,61,03,d2,a1,0c,14,8f,\
"rkeysecu"=hex:47,0d,d1,31,38,1b,3d,6b,51,be,cd,8b,c6,24,8a,c1
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3456)
c:\programme\SmartFTP Client\en-US\sfShellTools.dll.mui
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AVAST Software\Avast\AvastSvc.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RunDLL32.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-03 18:37:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-03 17:37
.
Vor Suchlauf: 25 Verzeichnis(se), 24.153.313.280 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 24.757.157.888 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 57582D0FA01A47B2A1F004B5803A0067
--- --- --- |
