Hallo Chris,
erstmal danke für deine Antwort :daumenhoc!! Anbei das Ergebnis.
Ist jetzt wieder alles gut :confused::-)) ? Bereinigt CombiFix auch gleichzeitig ?
Thomas
Combofix Logfile: Code:
ComboFix 10-10-27.A3 - Thomas 28.10.2010 18:05:43.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.655 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Thomas\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\Flags.dtd
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\install.exe
c:\windows\dat.txt
c:\windows\search_res.txt
c:\windows\system32\muzapp.exe
c:\windows\system32\tmp.reg
c:\windows\WOW32.DAT
----- BITS: Eventuell infizierte Webseiten -----
hxxp://pptt.ws
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\userinit.exe wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
((((((((((((((((((((((( Dateien erstellt von 2010-09-28 bis 2010-10-28 ))))))))))))))))))))))))))))))
.
2010-10-27 17:20 . 2010-10-27 17:20 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Malwarebytes
2010-10-27 17:20 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-27 17:20 . 2010-10-27 17:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-27 17:20 . 2010-10-27 17:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-27 17:20 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-26 07:38 . 2010-10-26 07:39 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2010-10-19 20:10 . 2010-10-19 20:10 -------- d-----w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\vShare
2010-10-19 20:10 . 2010-10-19 20:10 -------- d-----w- c:\programme\vShare
2010-10-13 11:29 . 2010-09-18 06:52 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll
2010-10-13 11:29 . 2010-09-18 06:52 974848 ------w- c:\windows\system32\dllcache\mfc42.dll
2010-10-13 11:27 . 2010-08-23 16:11 617472 ------w- c:\windows\system32\dllcache\comctl32.dll
2010-10-10 18:32 . 2010-10-10 18:32 -------- d-----w- c:\programme\CeWe Color
2010-10-07 17:07 . 2010-10-07 17:07 53248 ----a-r- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Microsoft\Installer\{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}\ARPPRODUCTICON.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 18:01 . 2009-04-15 11:10 938889 ----a-w- c:\dokumente und einstellungen\Thomas\Anwendungsdaten\mdbu.bin
2010-09-18 10:22 . 2004-09-07 14:33 974848 ------w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-09-07 14:33 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-09-07 14:33 954368 ------w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-09-07 14:33 953856 ------w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-09-07 14:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-09-07 14:33 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-09-07 14:33 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-09-07 14:33 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-09-07 14:34 1852928 ------w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-09-07 14:34 119808 ------w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-09-07 14:34 99840 ------w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-09-07 14:34 357248 ------w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-09-07 14:33 617472 ------w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-09-07 14:34 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-09-07 14:34 590848 ----a-w- c:\windows\system32\rpcrt4.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-06-13 138552]
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2010-06-13 15:25 1438520 ----a-w- c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-06-13 1438520]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-27 5562368]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2010-02-22 207504]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"tuloxFreeWBS"="c:\programme\tuloxFreeWBS\FreeDict.exe" [2003-05-13 1449984]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2010-06-07 111928]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 09:27 110592 ----a-w- c:\programme\Intel\Wireless\Bin\LgNotify.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ------w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 11:11 25623336 ----a-r- c:\programme\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.05.2009 22:25 64288]
R0 R592;R592;c:\windows\system32\drivers\R592.sys [14.05.2007 20:25 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [14.05.2007 20:25 27264]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R3 ArcCD;ArcCD Filter Driver Service;c:\windows\system32\drivers\ArcCD.sys [19.06.2010 16:06 36224]
R3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [14.05.2007 20:25 193280]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 16:52 1265264]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [26.08.2007 13:53 5824]
S4 ArcUdfs;ArcUdfs FileSystem Driver Service;c:\windows\system32\drivers\ArcUdfs.sys [19.06.2010 16:06 134912]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - ArcRec
.
Inhalt des "geplante Tasks" Ordners
2010-10-27 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 18:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.spiegel.de/
mStart Page = hxxp://home.sweetim.com
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://ips.poi.de/ips-opdata/operator/69189345/objects/jordan.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
URLSearchHooks-{1C4AB6A5-595F-4e86-B15F-F93CCE2BBD48} - (no file)
URLSearchHooks-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
BHO-{0C37B053-FD68-456a-82E1-D788EE342E6F} - (no file)
BHO-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
BHO-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
Toolbar-{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} - (no file)
Toolbar-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
Toolbar-{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
WebBrowser-{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKCU-Run-Getdo - (no file)
HKCU-Run-Kbddx - c:\dokumente und einstellungen\Thomas\Anwendungsdaten\Adobe\Update\wndcli.exe
SSODL-leorop-{B58A65EA-D306-48F0-9BFE-5B2E272FDBA6} - (no file)
AddRemove-tulox Freeware-Wörterbuch (Spanisch) - c:\progra~1\TULOXF~1\UNWISE32
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-28 18:15
Windows 5.1.2600 Service Pack 3 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1013684752-5853617-291304615-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_USERS\S-1-5-21-1013684752-5853617-291304615-1005\Software\SecuROM\License information*]
"datasecu"=hex:28,37,36,55,df,19,60,cc,e2,7f,50,cb,81,eb,1e,9b,e1,d4,f8,20,ee,
c4,49,18,80,dd,8f,c3,d5,84,e4,fe,13,a2,c5,52,95,0b,e6,46,79,9e,65,9f,3f,28,\
"rkeysecu"=hex:88,48,3e,2b,a4,6f,9b,df,70,96,c6,be,ed,09,ea,1c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(476)
c:\programme\Intel\Wireless\Bin\LgNotify.dll
- - - - - - - > 'explorer.exe'(2176)
c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\OProtSvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\System32\snmp.exe
c:\programme\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Intel\Wireless\Bin\ZcfgSvc.exe
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ArcCon.ac
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-28 18:19:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-28 16:19
Vor Suchlauf: 3.375.202.304 Bytes frei
Nach Suchlauf: 3.870.392.320 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - B10AC62F5C27018853EC6320DD4D444C
--- --- --- |
