Trojaner-Board - resycled/boot.com Fehlermeldung. erste Schritte eingeleitet, komme nicht weiter

Eine herzliches Hallo in die Runde. Ich habe hier schon viel gelesen aber nun komme ich nicht weiter.

Mein System:
Win XP SP2 /Mozilla/Antivier/Router mit Firewall/Zwei getrennte Festplatten C+D

Ich möchte einfach wissen ob meine Trojanerjagt erfolgreich war. Gemacht wurde folgendes nachdem antivir Alarm schlug und sich die Festplatten vom Arbeitsplatz aus nur noch mit der Fehlermeldung< "resycled/boot.com kann nicht gefunden werden> öffnen ließen.

-Automatische Wiederherstellung aus
-Ansicht auf alle Dateien an
-Malwarebytes duchgeführt (Log siehe unten)
-im gesicherten Modus SmitfraudFix durchgeführt (Log habe ich leider nicht mehr es wurde aber eine autorun.inf und ne boot.com entfernt)

Ergebnis: Antivir schlägt nicht mehr Alarm und Malwarebytes kann auch nichts mehr finden. Auf C: kann ich wieder über den Arbeitsplatz zugreifen.

Mein Problem: Wenn ich auf vom Arbeitsplatz auf D zugreifen möchte kommt immer noch der gleiche Fehler <resycled/boot.com kann nicht geöffnet werden>

Wie kann ich das wieder ändern?

Die Suche ergab das es auf meinem Rechner sowohl auf C und D keinen autorun.inf, keine boot.com und auch keinen Ordner resycled mehr gibt.

Habe ich jetzt noch nen Schädling drauf?

Hier der Logfile von Malwarebytes:

Zitat:

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 135921
Laufzeit: 2 hour(s), 21 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

und hier von HijackThis:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:04:48, on 06.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\EOServer\eoserver.exe
C:\Programme\EOServer2\eoserver.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\LckFldService.exe
C:\MySQL\bin\mysqld-max-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TrayBackup] "C:\Programme\TrayBackup\traybackup.exe" /AUTO
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2593264761-3509851319-189007414-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DigiProtect 0900 Server.lnk = C:\Programme\DigiProtect\DigiProtect 0900 Server\Bdvr.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{90E1C8C6-3F2F-4BAD-BBF2-DE1600232339}: NameServer = 62.72.64.237,62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{90E1C8C6-3F2F-4BAD-BBF2-DE1600232339}: NameServer = 62.72.64.237,62.72.64.241
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Eye-Office Server - Unknown owner - C:\Programme\EOServer\eoserver.exe
O23 - Service: Eye-Office Server 2.0 - Unknown owner - C:\Programme\EOServer2\eoserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: MySQL - Unknown owner - C:\MySQL\bin\mysqld-max-nt.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 6512 bytes

Findet ihr dort irgendetwas auffälliges?

Danke euch Gruß Oli

Hallo starfish,

Eye-office und Digiprotect sind bekannt, die mysql-Datenbank muss laufen.

Hier mal der Log von combofix (Die *** sind von mir geändert worden ;-)):
Da hat sich doch wirklich nochne autorun versteckt.....

Code:

ComboFix 08-12-06.06 - ********* 2008-12-08  9:27:51.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.498 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\*******\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\icon.ico

c:\windows\system32\KM4.DLL

D:\Autorun.inf

D:\resycled
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-08 bis 2008-12-08  ))))))))))))))))))))))))))))))

.
 

2008-12-06 09:33 . 2008-12-06 09:33        <DIR>        d--------        c:\programme\Avira

2008-12-06 09:33 . 2008-12-06 09:33        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira

2008-12-06 09:26 . 2008-12-06 09:33        <DIR>        d--------        c:\programme\AVPersonal

2008-12-05 11:33 . 2008-12-06 09:03        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-12-05 10:16 . 2008-12-05 10:16        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2008-12-05 10:16 . 2008-12-05 10:16        <DIR>        d--------        c:\dokumente und einstellungen\*********\Anwendungsdaten\Malwarebytes

2008-12-05 10:16 . 2008-12-05 10:16        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-12-05 10:16 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-05 10:16 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys

2008-12-05 09:50 . 2008-12-05 12:35        1,742        --a------        c:\windows\system32\tmp.reg

2008-12-05 09:49 . 2007-09-05 23:22        289,144        --a------        c:\windows\system32\VCCLSID.exe

2008-12-05 09:49 . 2006-04-27 16:49        288,417        --a------        c:\windows\system32\SrchSTS.exe

2008-12-05 09:49 . 2008-10-01 14:51        87,552        --a------        c:\windows\system32\VACFix.exe

2008-12-05 09:49 . 2008-11-29 17:58        82,944        --a------        c:\windows\system32\o4Patch.exe

2008-12-05 09:49 . 2008-05-18 20:40        82,944        --a------        c:\windows\system32\IEDFix.exe

2008-12-05 09:49 . 2008-11-29 17:58        82,944        --a------        c:\windows\system32\IEDFix.C.exe

2008-12-05 09:49 . 2008-08-18 11:19        82,432        --a------        c:\windows\system32\404Fix.exe

2008-12-05 09:49 . 2003-06-05 20:13        53,248        --a------        c:\windows\system32\Process.exe

2008-12-05 09:49 . 2004-07-31 17:50        51,200        --a------        c:\windows\system32\dumphive.exe

2008-12-05 09:49 . 2007-10-03 23:36        25,600        --a------        c:\windows\system32\WS2Fix.exe

2008-11-28 02:01 . 2008-11-28 02:01        <DIR>        dr-------        C:\dateien von ******

2008-11-28 01:55 . 2008-11-28 01:55        <DIR>        d--h-----        C:\$AVG8.VAULT$

2008-11-27 21:20 . 2008-11-27 21:20        <DIR>        d--------        c:\programme\Trend Micro

2008-11-27 13:52 . 2008-06-19 17:24        28,544        --a------        c:\windows\system32\drivers\pavboot.sys

2008-11-27 13:51 . 2008-11-27 13:51        <DIR>        d--------        c:\programme\Panda Security

2008-11-27 10:56 . 2008-12-06 09:13        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft

2008-11-26 09:24 . 2008-11-26 09:24        410,976        --a------        c:\windows\system32\deploytk.dll

2008-11-24 18:49 . 2008-11-24 18:49        27,904        --a------        c:\windows\system32\drivers\ndisprot.sys

2008-11-19 10:12 . 2008-11-19 10:12        <DIR>        d--------        c:\programme\Procornea Nederland B.V

2008-11-19 10:12 . 2008-11-19 16:03        1,570        --a------        c:\windows\orb.ini

2008-11-19 10:07 . 1999-03-23 09:12        299,520        --a------        c:\windows\uninst.exe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-08 08:02        16,896        ----a-w        c:\windows\system32\KMSYUV.DLL

2008-12-06 08:25        107,132        ----a-w        c:\windows\UninstallFirefox.exe

2008-12-06 08:16        ---------        d--h--w        c:\programme\InstallShield Installation Information

2008-12-06 08:16        ---------        d-----w        c:\programme\Corel

2008-12-05 11:18        ---------        d-----w        c:\programme\StarMoney 6.0

2008-12-05 11:12        ---------        d-----w        c:\programme\BearShare

2008-11-26 08:24        ---------        d-----w        c:\programme\Java

2008-11-08 12:58        ---------        d-----w        c:\programme\Biet-O-Matic

2008-10-29 14:50        92,064        ----a-w        c:\dokumente und einstellungen\*********\mqdmmdm.sys

2008-10-29 14:50        9,232        ----a-w        c:\dokumente und einstellungen\*********\mqdmmdfl.sys

2008-10-29 14:50        79,328        ----a-w        c:\dokumente und einstellungen\*********\mqdmserd.sys

2008-10-29 14:50        66,656        ----a-w        c:\dokumente und einstellungen\*********\mqdmbus.sys

2008-10-29 14:50        6,208        ----a-w        c:\dokumente und einstellungen\*********\mqdmcmnt.sys

2008-10-29 14:50        5,936        ----a-w        c:\dokumente und einstellungen\*********\mqdmwhnt.sys

2008-10-29 14:50        4,048        ----a-w        c:\dokumente und einstellungen\*********\mqdmcr.sys

2008-10-29 14:50        25,600        ----a-w        c:\dokumente und einstellungen\*********\usbsermptxp.sys

2008-10-29 14:50        22,768        ----a-w        c:\dokumente und einstellungen\*********\usbsermpt.sys

2008-10-29 14:50        ---------        d-----w        c:\programme\Motorola Phone Tools

2008-10-29 14:45        ---------        d-----w        c:\programme\Avanquest update

2008-10-29 14:45        ---------        d-----w        c:\dokumente und einstellungen\*********\Anwendungsdaten\InstallShield

2008-10-29 14:25        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software

2008-10-18 11:47        ---------        d-----w        c:\programme\TrayBackup

2007-04-20 13:09        40,968        ----a-w        c:\dokumente und einstellungen\*********\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2006-06-20 16:51        397,312        ----a-w        c:\dokumente und einstellungen\*********\jogl.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrayBackup"="c:\programme\TrayBackup\traybackup.exe" [2006-02-07 316416]

"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

c:\dokumente und einstellungen\*********\Startmen\Programme\Autostart\

DigiProtect 0900 Server.lnk - c:\programme\DigiProtect\DigiProtect 0900 Server\Bdvr.exe [2006-04-19 28672]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yuy2"= kmsyuv.dll

"vidc.divx"= KM4.dll

"vidc.MPG4"= MPG4C32DF.dll

"vidc.MP42"= MPG4C32DF.dll

"vidc.MP43"= MPG4C32DF.dll

"MSACM.CEGSM"= mobilev.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2006-01-24 19:23 7094272 c:\programme\MSN Messenger\msnmsgr.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"UpdatesDisableNotify"="0x00000000"
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

"c:\\Programme\\DigiProtect\\DigiProtect 0900 Server\\Bdvr.exe"=

"c:\\Programme\\DigiProtect\\DigiProtect 0900 Server\\WebServer.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2000:TCP"= 2000:TCP:Client

"2001:TCP"= 2001:TCP:IPRegister

"80:TCP"= 80:TCP:Web
 

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-27 28544]

R2 Eye-Office Server 2.0;Eye-Office Server 2.0;c:\programme\EOServer2\eoserver.exe [2008-07-30 114688]

R2 Eye-Office Server;Eye-Office Server;c:\programme\EOServer\eoserver.exe [2006-05-16 2064384]

R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" []

R3 NanoBt;NanoBt Device Driver;c:\windows\system32\Drivers\NanoBt.sys [2006-04-12 47480]

S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys [2008-11-24 27904]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:

\Shell\Open\command - resycled\boot.com d:
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d574ffe4-c8b9-11db-8c02-00167615ea6b}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com j:

\Shell\Open\command - j:\resycled\boot.com j:
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da7f8848-497c-11db-8b5d-00167615ea6b}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:

\Shell\Open\command - f:\resycled\boot.com f:
 

*Newly Created Service* - PROCEXP90

*Newly Created Service* - SSMDRV

.

Inhalt des "geplante Tasks" Ordners
 

2008-12-06 c:\windows\Tasks\Eye-Office Backup.job

- d:\eye-office\backup.bat [2008-08-13 09:02]

.

.

------- Zusätzlicher Suchlauf -------

.

uInternet Connection Wizard,ShellNext = iexplore

IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000

TCP: {90E1C8C6-3F2F-4BAD-BBF2-DE1600232339} = 62.72.64.237,62.72.64.241

WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\programme\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\Microsoft ActiveSync\cenetflt.dll

WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\programme\Microsoft ActiveSync\cenetflt.dll

FireFox -: Profile - c:\dokumente und einstellungen\*********\Anwendungsdaten\Mozilla\Firefox\Profiles\uc1ezntu.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-08 09:30:28

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]

"ImagePath"="c:\mysql\bin\mysqld-max-nt MySQL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(660)

c:\windows\system32\KGINA.dll

.

Zeit der Fertigstellung: 2008-12-08  9:32:25

ComboFix-quarantined-files.txt  2008-12-08 08:31:11
 

Vor Suchlauf: 25 Verzeichnis(se), 53.314.424.832 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 53,315,817,472 Bytes frei
 

177