sweetchuck | 06.05.2009 19:35 | Hier das geforderte Log: Code:
ComboFix 09-05-05.05 - XXX 06.05.2009 20:24.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1401 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1335 [VPS 090505-0] *On-access scanning disabled* (Updated)
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
FILE ::
c:\dokumente und einstellungen\Moamer Hamzic\Desktop\data002
c:\windows\system32\btncopyd.dll
j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\btncopyd.dll
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-06 bis 2009-05-06 ))))))))))))))))))))))))))))))
.
2009-05-03 13:57 . 2009-05-03 13:57 -------- d-----w c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-03 13:57 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-03 13:57 . 2009-05-03 13:57 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-05-03 13:57 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-03 11:11 . 2009-05-03 11:11 -------- d-----w c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43 -------- d-----w c:\dokumente und einstellungen\Moamer Hamzic\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55 -------- d-----w c:\programme\Trend Micro
2009-04-24 22:39 . 2009-03-10 20:18 455048 ----a-w c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39 -------- d-----w c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26 1436544 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44 -------- d-sh--w c:\dokumente und einstellungen\Moamer Hamzic\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18 -------- d-----w c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\CoSoSys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 18:26 . 2009-05-03 21:05 28880 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-06 18:26 . 2009-05-03 21:05 2283552 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-06 16:42 . 2009-05-05 21:41 -------- d-----w c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-06 16:42 . 2009-05-05 21:41 -------- d-----w c:\programme\SUPERAntiSpyware
2009-05-06 16:42 . 2008-08-27 12:21 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-05 23:13 . 2009-05-05 23:13 -------- d-----w c:\dokumente und einstellungen\Administrator.MOE-PC\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-05 21:41 . 2009-05-05 21:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-03 23:53 . 2009-02-27 09:31 -------- d-----w c:\programme\Google
2009-05-03 23:52 . 2009-05-03 19:17 -------- d-----w c:\programme\Panda Security
2009-05-03 12:27 . 2008-07-31 12:42 83424 ----a-w c:\dokumente und einstellungen\Moamer Hamzic\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-10 13:27 . 2008-07-31 11:12 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17 -------- d-----w c:\programme\Java
2009-04-04 16:18 . 2009-04-04 16:18 -------- d-----w c:\programme\Ubisoft Entertainment
2009-03-27 19:00 . 2009-03-27 19:00 -------- d-----w c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20 -------- d-----w c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13 -------- d-----w c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13 -------- d-----w c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53 -------- d-----w c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28 5051904 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28 17531392 ----a-w c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05 39424 ----a-w c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28 2168320 ----a-w c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36 977 ----a-w c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-02 10:14 . 2008-07-31 11:28 57344 ----a-w c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00 35328 ----a-w c:\windows\system32\sc.exe
2008-10-06 07:15 . 2008-10-06 07:15 14852 ----a-w c:\programme\settings.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
c:\dokumente und einstellungen\Moamer Hamzic\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\Moamer Hamzic\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Moamer Hamzic\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.07.2008 16:47 114768]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31.07.2008 16:47 20560]
R2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [31.08.2006 17:04 65536]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25.03.2009 20:05 1684736]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 20:29
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1008)
c:\windows\system32\netprovcredman.dll
- - - - - - - > 'explorer.exe'(3760)
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\rundll32.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\unsecapp.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-06 20:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-06 18:32
ComboFix2.txt 2009-05-03 12:30
Vor Suchlauf: 14 Verzeichnis(se), 55.069.929.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 55.318.335.488 Bytes frei
227 --- E O F --- 2009-04-28 20:44
Ich habe mittlerweile keine Dateien mehr auf meinem USB-Stick, weder eine autorun.inf noch einen Recycler-Ordner.
Das AVP-Tool hat gar nichts gefunden.
mfg |