floppyka | 31.08.2009 21:39 | Bin den Anweisungen genau gefolgt und hat auch einwandfrei funktioniert, hier der ComboFix Log: Code:
ComboFix 09-08-31.03 - y 31.08.2009 22:12.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1676 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Installer\18e143.msi
c:\windows\Installer\1d433.msi
c:\windows\Installer\9b438.msi
c:\windows\system\WININETICMP32.drv
c:\windows\system32\drivers\kbiwkmfdnospiq.sys
c:\windows\system32\kbiwkmovmylyap.dll
c:\windows\system32\kbiwkmqompbfjx.dll
c:\windows\system32\kbiwkmsbivmkyr.dat
c:\windows\system32\kbiwkmturubxjc.dat
c:\windows\system32\msvcsv60.dll
c:\windows\system32\slibeh.dll
c:\windows\system32\slibree.dll
c:\windows\system32\sslibfg.dll
c:\windows\system32\sslibjy.dll
c:\windows\system32\sslibkh.dll
c:\windows\system32\ssolefw.dll
c:\windows\system32\ssoleht.dll
c:\windows\system32\ssolekuy.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_kbiwkmxevsyfdi
((((((((((((((((((((((( Dateien erstellt von 2009-07-28 bis 2009-08-31 ))))))))))))))))))))))))))))))
.
2009-08-29 14:30 . 2009-08-29 14:37 -------- d-----w- C:\rsit
2009-08-29 14:22 . 2009-08-29 14:22 -------- d-----w- c:\programme\CCleaner
2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\windows\system32\XPSViewer
2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\programme\MSBuild
2009-08-29 13:43 . 2009-08-29 13:43 -------- d-----w- c:\programme\Reference Assemblies
2009-08-29 13:43 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-29 13:43 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-29 13:43 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-08-29 13:43 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-29 13:43 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-08-29 13:43 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-08-29 13:43 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-29 13:41 . 2009-08-29 13:41 -------- d-----w- c:\programme\MSXML 6.0
2009-08-29 13:13 . 2009-08-29 13:19 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-08-28 21:37 . 2008-06-14 17:57 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-08-28 21:37 . 2008-06-14 17:57 273024 ------w- c:\windows\system32\drivers\bthport.sys
2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-08-28 18:01 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-28 18:01 . 2009-08-28 18:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-28 18:01 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-28 17:51 . 2009-08-28 17:51 -------- d-----w- c:\programme\Twin USB Vibration Gamepad
2009-08-17 20:26 . 2009-08-17 20:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Notepad++
2009-08-17 20:26 . 2009-08-17 20:27 -------- d-----w- c:\programme\Notepad++
2009-08-07 19:33 . 2009-08-07 19:33 -------- d-----w- c:\programme\NuGardt Software
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-29 14:24 . 2008-01-12 19:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-29 14:05 . 2002-12-31 12:00 80754 ----a-w- c:\windows\system32\perfc007.dat
2009-08-29 14:05 . 2002-12-31 12:00 451374 ----a-w- c:\windows\system32\perfh007.dat
2009-08-29 14:03 . 2007-10-13 00:21 21416 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-29 13:39 . 2009-08-29 13:39 -------- d-----w- c:\programme\MSXML 4.0
2009-08-28 23:09 . 2007-10-14 14:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Extensis
2009-08-28 17:51 . 2007-10-13 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-27 00:43 . 2008-01-16 15:28 16 ----a-w- c:\windows\msocreg32.dat
2009-08-20 22:58 . 2008-03-04 15:01 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-08-10 22:47 . 2008-03-29 23:54 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-08-10 22:47 . 2008-03-29 23:42 -------- d-----w- c:\programme\Quake III Arena
2009-08-05 09:05 . 2002-12-31 12:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:48 . 2002-12-31 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-29 04:48 . 2002-12-31 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-19 20:51 . 2009-07-19 20:51 -------- d-----w- c:\programme\Activision
2009-07-17 18:56 . 2002-12-31 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 00:18 . 2002-12-31 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-26 16:17 . 2002-12-31 12:00 665088 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:16 . 2002-12-31 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 18:34 . 2002-12-31 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:34 . 2002-12-31 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:34 . 2002-12-31 12:00 533504 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:34 . 2002-12-31 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:34 . 2002-12-31 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:34 . 2002-12-31 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:34 . 2002-12-31 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:34 . 2002-12-31 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:34 . 2002-12-31 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:34 . 2002-12-31 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:34 . 2002-12-31 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 18:34 . 2002-12-31 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-22 11:49 . 2002-12-31 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2002-12-31 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2002-12-31 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2002-12-31 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-15 11:32 . 2002-12-31 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:31 . 2002-12-31 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:22 . 2002-12-31 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2002-12-31 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:42 . 2007-10-12 23:02 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:26 . 2002-12-31 12:00 1296384 ----a-w- c:\windows\system32\quartz.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864]
"JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2002-12-31 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi2"=EMGA8U2K.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Suitcase 11.0.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Suitcase 11.0.lnk
backup=c:\windows\pss\Suitcase 11.0.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Extensis\\Extensis Suitcase 11\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Quake III Arena\\quake3.exe"=
"c:\\Programme\\The All-Seeing Eye\\eye.exe"=
"c:\\Programme\\Teamspeak2_RC2\\TeamSpeak.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"f:\\incoming\\eMule0.49c\\emule.exe"=
"c:\\Programme\\ircN\\system\\mirc.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:UDP"= 8767:UDP:Teamspeak
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [12.03.2008 11:55 11264]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
S2 EMGA8U2K;emagic AMT8 configuration node (USB);c:\windows\system32\drivers\EMGA8U2K.sys [16.01.2008 13:11 12532]
S2 EmgicUsb;emagic USB kernel driver;c:\windows\system32\drivers\EMGICUSB.sys [16.01.2008 13:11 19076]
S3 PciCon;PciCon;\??\i:\pcicon.sys --> i:\PciCon.sys [?]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Notify-WgaLogon - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {8038D0C3-1986-4A4A-8D2C-5D45CFA5F8DD} = 213.191.74.19,213.191.74.18
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\u2yuna9b.default\
FF - plugin: c:\programme\Adobe\Adobe Acrobat 7.0\Acrobat\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 22:20
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi]
"imagepath"="\systemroot\system32\drivers\kbiwkmfdnospiq.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-329068152-2052111302-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:06,07,36,07,3c,1e,1b,05,4e,a3,5d,e5,d5,49,fd,b1,4f,f2,95,6a,9a,0a,29,
e2,3e,fc,17,92,b6,e0,99,92,c9,e1,ce,82,7d,7b,81,d0,1f,c1,57,84,57,99,b9,3e,\
"??"=hex:1e,a5,4f,02,85,16,43,8d,f1,eb,ba,85,2a,19,e3,33
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\kbiwkmxevsyfdi]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\kbiwkmfdnospiq.sys"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
c:\programme\Extensis\Extensis Suitcase 11\Bonjour\mDNSResponder.exe
c:\programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-31 22:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-31 20:25
Vor Suchlauf: 8 Verzeichnis(se), 36.204.634.112 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 36.011.745.280 Bytes frei
234 --- E O F --- 2009-08-30 22:02 |