Hallo Markus,
der PC läuft nun wieder "rund"!
Allerdings gab's noch ein paar Überraschungen, auf meinen beiden externen Platten "hing" wohl noch was. Hier die Virenscan-Berichte dazu: Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4318
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.07.2010 11:41:41
mbam-log-2010-07-16 (11-41-41).txt
Art des Suchlaufs: Vollständiger Suchlauf (G:\|)
Durchsuchte Objekte: 167205
Laufzeit: 50 Minute(n), 10 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 31
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP60\A0019570.exe (Trojan.Agent.CK) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP60\A0020214.exe (Trojan.Agent.CK) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030700.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030702.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030704.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030706.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030708.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030710.exe (Trojan.Agent) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030711.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030712.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030713.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP82\A0030714.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030719.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030720.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030721.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030723.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030724.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030725.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030726.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030727.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030730.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030731.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030732.exe (Trojan.Agent) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030733.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030734.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030740.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030741.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030742.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030743.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030745.exe (Malware.Packer.Gen) -> No action taken.
G:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP83\A0030746.exe (Malware.Packer.Gen) -> No action taken.
Code:
Scan "Bestimmte Dateien/Ordner scannen" wurde beendet.
Infektionen;"1";"1";"0"
Für den Scanvorgang ausgewählte Ordner:;"C:\DOKUME~1\**\LOKALE~1\Temp\;C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files;C:\WINDOWS;C:\WINDOWS\;C:\WINDOWS\system32;I:\Bin\;I:\RECYCLER\;I:\Recycled\;I:\System Volume Information\;"
Start des Scans:;"Samstag, 17. Juli 2010, 10:15:08"
Scan beendet:;"Samstag, 17. Juli 2010, 10:21:40 (6 Minute(n) 31 Sekunde(n))"
Gesamtanzahl gescannter Objekte:;"34939"
Benutzer, der den Scan gestartet hat:;"**"
Infektionen
Datei;"Infektion";"Ergebnis"
I:\Recycled\INFO.EXE;"Trojaner: PSW.Generic6.APHV";"In Virenquarantäne verschoben"
Code:
C:\System Volume Information\_restore{231F9AD0-3408-401E-AAE4-E90B8A2596C1}\RP86\A0032140.exe;"Virus gefunden: Win32/Cryptor"
Habe natürlich alle Infektionen entfernt. Ein erneuter kompletter Scan mit allen Platten hat NICHTS mehr ergeben.
Allerdings habe ich dann Combofix nochmal gestartet. Das Programm meinte wieder, Rootkitaktivitäten gesehen zu haben, ein erneutes Ausführen von TDSS-Killer hat aber nichts ergeben.
Wie gesagt, der PC läuft rund. Muss mir das mit Combofix Sorgen machen?
Hier der Combofix-Log:
[code]
Combofix Logfile: Code:
ComboFix 10-07-15.05 - ** 17.07.2010 15:42:39.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1542 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-17 bis 2010-07-17 ))))))))))))))))))))))))))))))
.
2010-07-17 08:19 . 2010-07-17 08:19 242896 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtdix.sys
2010-07-17 08:19 . 2010-07-17 08:19 216200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgldx86.sys
2010-07-17 08:19 . 2010-07-17 08:19 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-17 08:18 . 2010-07-17 08:18 813336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avginet.dll
2010-07-17 08:18 . 2010-07-17 08:18 624920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgiproxy.exe
2010-07-17 08:18 . 2010-07-17 08:18 1690464 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgupd.dll
2010-07-17 08:18 . 2010-07-17 08:18 1038688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgupd.exe
2010-07-15 14:45 . 2010-07-15 14:45 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-07-15 12:55 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-06-22 10:32 . 2010-06-30 07:30 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-06-22 10:31 . 2010-06-22 10:31 -------- d-----w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\DivX
2010-06-22 10:27 . 2010-06-30 07:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-06-22 10:17 . 2010-06-22 10:17 503808 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-65bed7a9-n\msvcp71.dll
2010-06-22 10:17 . 2010-06-22 10:17 499712 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-65bed7a9-n\jmc.dll
2010-06-22 10:17 . 2010-06-22 10:17 348160 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-65bed7a9-n\msvcr71.dll
2010-06-22 10:17 . 2010-06-22 10:17 61440 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4bc19ec1-n\decora-sse.dll
2010-06-22 10:17 . 2010-06-22 10:17 12800 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4bc19ec1-n\decora-d3d.dll
2010-06-22 10:17 . 2010-04-12 16:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-20 22:29 . 2010-06-20 22:29 -------- d-----w- c:\programme\iPod
2010-06-20 22:29 . 2010-06-20 22:30 -------- d-----w- c:\programme\iTunes
2010-06-20 22:29 . 2010-06-20 22:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-20 22:27 . 2010-06-20 22:27 -------- d-----w- c:\programme\Apple Software Update
2010-06-20 22:26 . 2010-06-20 22:26 -------- d-----w- c:\programme\Bonjour
2010-06-20 22:13 . 2008-04-14 02:22 26624 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-06-20 22:06 . 2010-06-20 22:06 -------- d-----w- c:\programme\Windows Media Connect 2
2010-06-20 22:04 . 2010-06-20 22:05 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-06-20 19:27 . 2008-04-13 19:46 51200 -c--a-w- c:\windows\system32\dllcache\msdv.sys
2010-06-20 19:27 . 2008-04-13 19:46 51200 ----a-w- c:\windows\system32\drivers\msdv.sys
2010-06-19 15:11 . 2010-06-17 13:35 1496064 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-06-19 15:11 . 2010-06-17 13:35 43008 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-06-19 15:11 . 2010-06-17 13:35 339456 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-06-19 15:11 . 2010-06-17 13:35 346112 ----a-w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-17 08:19 . 2009-03-27 09:33 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-07-17 08:19 . 2009-01-04 13:05 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-08 19:03 . 2010-03-12 17:46 -------- d-----w- c:\programme\Avidemux 2.5
2010-06-23 08:31 . 2005-03-03 06:14 91464 ----a-w- c:\windows\system32\perfc007.dat
2010-06-23 08:31 . 2005-03-03 06:14 475180 ----a-w- c:\windows\system32\perfh007.dat
2010-06-22 10:17 . 2005-03-06 13:22 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-06-22 10:17 . 2005-03-06 13:22 -------- d-----w- c:\programme\Java
2010-06-22 08:48 . 2005-12-11 21:00 -------- d-----w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Apple Computer
2010-06-20 22:29 . 2008-12-16 18:56 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-06-20 22:28 . 2005-12-11 20:59 -------- d-----w- c:\programme\QuickTime
2010-06-20 22:27 . 2005-12-11 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-06-19 15:06 . 2010-04-07 16:33 -------- d-----w- c:\programme\JDownloader
2010-06-15 19:01 . 2010-06-15 19:01 72504 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2005-03-03 14:26 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-11 11:11 . 2010-06-11 11:11 -------- d-----w- c:\programme\CCleaner
2010-06-11 11:09 . 2010-06-11 11:09 388096 ----a-r- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-06-11 11:09 . 2010-06-11 11:09 -------- d-----w- c:\programme\Trend Micro
2010-06-09 15:08 . 2010-06-09 14:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-06-09 15:05 . 2005-03-03 06:13 14336 ----a-w- c:\windows\system32\svchost.exe
2010-06-09 14:58 . 2010-06-04 08:44 -------- d-----w- c:\programme\East West
2010-06-09 09:53 . 2010-06-09 09:53 -------- d-----w- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Malwarebytes
2010-06-09 09:52 . 2010-06-09 09:52 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-09 09:52 . 2010-06-09 09:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-08 11:07 . 2010-06-08 11:07 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-06 00:00 . 2010-06-06 00:00 15086 ----a-r- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Microsoft\Installer\{B7DAD844-34CD-456B-83CC-88065323DD69}\_4ae13d6c.exe
2010-06-06 00:00 . 2010-06-06 00:00 15086 ----a-r- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Microsoft\Installer\{B7DAD844-34CD-456B-83CC-88065323DD69}\_2cd672ae.exe
2010-06-06 00:00 . 2010-06-06 00:00 15086 ----a-r- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Microsoft\Installer\{B7DAD844-34CD-456B-83CC-88065323DD69}\_294823.exe
2010-06-06 00:00 . 2010-06-06 00:00 15086 ----a-r- c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Microsoft\Installer\{B7DAD844-34CD-456B-83CC-88065323DD69}\_18be6784.exe
2010-06-06 00:00 . 2010-06-06 00:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Steinberg
2010-06-03 08:28 . 2006-11-20 10:08 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-23 10:45 . 2010-05-23 10:45 6650 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\15\UpdateFiles\SSEStandard_Patch_15.11.bat
2010-05-18 15:35 . 2010-05-18 15:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 15:35 . 2010-05-18 15:35 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2010-05-18 15:35 . 2010-05-18 15:35 197920 ----a-w- c:\windows\system32\dnssdX.dll
2010-05-18 15:35 . 2010-05-18 15:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-06 10:31 . 2005-03-03 06:13 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2005-03-03 06:13 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-29 11:19 . 2010-06-09 09:52 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 11:19 . 2010-06-09 09:52 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 18:40 . 2005-03-06 14:04 126448 ------w- c:\windows\system32\pxinsi64.exe
2010-04-27 18:40 . 2005-03-06 14:04 123888 ------w- c:\windows\system32\pxcpyi64.exe
2010-04-27 18:40 . 2005-01-12 00:03 45648 ----a-w- c:\windows\system32\drivers\pxhelp20.sys
2010-04-20 05:29 . 2005-03-03 06:13 285696 ----a-w- c:\windows\system32\atmfd.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-07-07_11.23.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-17 14:41 . 2010-07-17 14:41 16384 c:\windows\Temp\Perflib_Perfdata_6e4.dat
+ 2010-06-20 22:07 . 2009-05-26 11:40 18808 c:\windows\system32\spmsg.dll
+ 2005-09-20 09:00 . 2010-07-02 19:39 34045896 c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]
[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 09:25 2117704 ----a-w- c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]
[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]
[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-29 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2004-07-19 61440]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2003-11-07 114688]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-01 339968]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-02-14 53248]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2005-01-14 184320]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-05-11 200069]
"StartAlphaTrackApplet"="AlphaTrackApplet.exe" [2006-12-18 413696]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-17 2065760]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-17 08:19 12536 ----a-w- c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-01-18 11:48 73728 ----a-w- c:\windows\system32\VESWinlogon.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=ma_cmidn.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver 3\\Dreamweaver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\mymoments\\Fotobuch.exe"=
"c:\\Programme\\Lawo\\mxGUI\\tools\\xming\\Xming.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:emule 1
"4672:UDP"= 4672:UDP:emule 2
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [09.04.2010 10:58 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [09.04.2010 10:58 5248]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [04.01.2009 14:05 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [27.03.2009 10:33 243024]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [01.11.2009 13:19 100944]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [01.11.2009 13:19 41424]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [17.07.2010 09:19 308136]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [11.06.2003 01:00 45440]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [11.06.2003 01:00 38992]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [17.12.2008 18:46 33792]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [03.03.2005 07:14 71961]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [01.11.2009 13:19 79888]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [29.05.2009 21:12 87760]
S2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [12.10.2004 04:47 98304]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.02.2010 18:50 135664]
S2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [12.10.2004 03:40 118784]
S2 upsslu;Security Monitor;c:\windows\system32\svchost.exe -k netsvcs [03.03.2005 07:13 14336]
S3 AlphaTrack;AlphaTrack Driver;c:\windows\system32\drivers\AlphaTrack.sys [09.01.2009 21:24 78848]
S3 AlphaTrackWdmService;AlphaTrack Wdm Audio;c:\windows\system32\drivers\AlphaTrackWdm.sys [09.01.2009 21:24 34816]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\programme\AVG\AVG9\Toolbar\ToolbarBroker.exe [22.04.2010 09:31 430152]
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\drivers\fdlubase.sys [11.06.2003 01:00 704128]
S3 GWUSB2E;USB 2.0 10/100Base Ethernet Adapter;c:\windows\system32\drivers\GWUSB2E.sys [02.11.2005 15:51 10496]
S3 hdsp;RME Hammerfall Audio Device;c:\windows\system32\drivers\hdsp.sys [04.03.2009 16:42 66048]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
S3 rrau0002;rrau0002;c:\windows\system32\drivers\rrau0002.sys [01.01.2009 13:08 24576]
S3 rrwd0002;rrwd0002;c:\windows\system32\drivers\rrwd0002.sys [01.01.2009 13:08 97280]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [01.11.2009 13:19 32016]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
upsslu
.
Inhalt des "geplante Tasks" Ordners
2010-06-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
2010-07-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-25 17:49]
2010-07-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-25 17:49]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Easy-WebPrint Add To Print List - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Print - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Übertragen mit Image Converter 2 - c:\programme\Sony\Image Converter 2\menu.htm
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll
FF - ProfilePath - c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\dokumente und einstellungen\Paddy\Anwendungsdaten\Mozilla\Firefox\Profiles\tl1rio09.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils2.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils3.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\IGeared_tavgp_xputils35.dll
FF - component: c:\programme\AVG\AVG9\Toolbar\Firefox\avg@igeared\components\xpavgtbapi.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: d:\programme\Adobe\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-klmdb.sys
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-17 15:50
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5F0918]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9f58cb8
\Driver\atapi -> 0x8a5f0918
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9de6bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9df3a21
SendHandler -> NDIS.sys @ 0xb9dd187b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1126878031-2439804501-3234919006-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{612194DA-D453-C45D-DC0B-F5218EDEC066}*]
"hanpogbijmefhmbd"=hex:6a,61,65,63,66,63,66,63,67,65,6c,6d,69,63,69,6e,6e,65,
6d,6a,00,e4
"iahmlemhmpjdjdkohp"=hex:6a,61,65,63,69,63,61,63,6b,6a,6b,61,6a,63,6b,65,6d,6b,
67,68,00,dc
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1308)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\VESWinlogon.dll
.
Zeit der Fertigstellung: 2010-07-17 15:52:39
ComboFix-quarantined-files.txt 2010-07-17 14:52
ComboFix2.txt 2010-07-07 11:26
Vor Suchlauf: 9.307.013.120 Bytes frei
Nach Suchlauf: 9.298.087.936 Bytes frei
- - End Of File - - AE69317C3ED31615459C6D8D7ABB2372
--- --- --- |
