"Siegfried Khn" - 07-02-09 20:57:58 Service Pack 2 ComboFix 07-02-07 - Running from: "C:\Tools" ((((((((((((((((((((((((((((((( Files Created from 2007-01-09 to 2007-02-09 )))))))))))))))))))))))))))))))))) 2007-02-09 19:32 d-------- C:\DOKUME~1\SIEGFR~1\Anwendungsdaten\Leadertech 2007-02-06 20:32 94,424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-02-06 20:32 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr 2007-02-06 20:32 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-02-06 20:32 689,280 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-02-06 20:32 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-02-06 20:32 31,560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-02-06 20:32 23,352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-02-06 20:32 d-------- C:\Programme\Alwil Software 2007-02-06 20:28 d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Adobe 2007-02-03 19:31 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT 2007-02-03 19:31 dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-02-03 19:31 dr------- C:\DOKUME~1\ADMINI~1\Startmen 2007-02-03 19:31 d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen 2007-02-03 19:31 d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung 2007-02-03 19:31 d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen 2007-02-03 19:31 d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung 2007-02-03 19:31 d-------- C:\DOKUME~1\ADMINI~1\Favoriten 2007-02-03 16:24 d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP 2007-02-03 16:23 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys 2007-02-03 16:23 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys 2007-02-03 16:23 d-------- C:\Programme\Spyware Doctor 2007-02-03 16:23 d-------- C:\DOKUME~1\SIEGFR~1\Anwendungsdaten\PC Tools (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-09 20:10 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-09 19:35 -------- d--h----- C:\Programme\installshield installation information 2007-02-09 19:33 -------- d-------- C:\Programme\awave studio 2007-02-09 19:32 -------- d-------- C:\Programme\anti-leech 2007-02-08 07:30 28256 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys 2007-02-08 07:28 -------- d-------- C:\DOKUME~1\SIEGFR~1\Anwendungsdaten\adobe 2007-02-08 07:27 -------- d-------- C:\DOKUME~1\SIEGFR~1\Anwendungsdaten\adobeum 2007-02-06 20:23 -------- d-------- C:\Programme\cyberlink 2007-02-05 21:06 -------- d---s---- C:\DOKUME~1\SIEGFR~1\Anwendungsdaten\microsoft 2007-02-04 09:21 -------- d-------- C:\Programme\ahead 2007-01-09 20:46 -------- d-------- C:\Programme\mozilla firefox 2006-12-15 19:53 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-12-15 19:53 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2006-12-07 17:02 2174976 --a------ C:\WINDOWS\system32\wmvcore.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "CloneDVDElbyDelay"="\"C:\\Programme\\Elaborate Bytes\\CloneDVD\\ElbyCheck.exe\" /L ElbyDelay" "CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "ElbyCheckAnyDVD"="\"C:\\Programme\\SlySoft\\AnyDVD\\ElbyCheck.exe\" /L AnyDVD" "AnyDVD"="\"C:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\"" "MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_05\\bin\\jusched.exe" "zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "dmnku.exe"="C:\\WINDOWS\\system32\\dmnku.exe" "avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe" "UnlockerAssistant"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\"" "Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoBandCustomize"=dword:00000000 "NoActiveDesktopChanges"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ backup-20070208-192750-202 O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\system32\ImapiRox.exe (file missing) backup-20070208-192544-579 O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) backup-20070204-092714-612 O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) backup-20070204-092654-811 O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll backup-20070204-092654-416 O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) backup-20070204-092604-426 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot backup-20070204-092410-477 O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll backup-20061230-100015-538 O15 - Trusted Zone: http://www.penreader.com ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-09 20:59:32 down.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\WINDOWS\Downloaded Program Files 07.06.2006 11:09 1.249 erma.inf 08.10.2004 10:10 65 desktop.ini 08.12.2003 12:58 3.759 swflash.inf 3 Datei(en) 5.073 Bytes 0 Verzeichnis(se), 7.366.766.592 Bytes frei sys.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\ 09.02.2007 21:09 0 sys.txt 09.02.2007 21:09 391 down.txt 09.02.2007 21:09 289 tmp.txt 09.02.2007 21:08 10.353 system.txt 09.02.2007 21:08 393 systemtemp.txt 09.02.2007 21:06 95.174 system32.txt 09.02.2007 20:59 7.719 ComboFix.txt 09.02.2007 19:17 1.073.270.784 hiberfil.sys 09.02.2007 19:17 1.610.612.736 pagefile.sys 08.02.2007 19:36 7.207 hijackthis.log system.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\WINDOWS 09.02.2007 21:08 2.749.208 pfirewall.log 09.02.2007 21:04 51 iTouch.ini 09.02.2007 19:32 839 wiadebug.log 09.02.2007 19:17 0 0.log 09.02.2007 19:17 1.201.973 WindowsUpdate.log 09.02.2007 19:17 50 wiaservc.log 09.02.2007 19:17 2.048 bootstat.dat 08.02.2007 20:12 32.618 SchedLgU.Txt 07.02.2007 20:36 172.746 setupapi.log 06.02.2007 20:15 135 NeroDigital.ini 04.02.2007 10:26 181.209 setupact.log 03.02.2007 19:32 160.416 ntbtlog.txt 03.02.2007 14:13 86.982 iis6.log 03.02.2007 14:13 192.673 comsetup.log 03.02.2007 14:13 1.355 imsins.log 03.02.2007 14:13 30.297 ocmsn.log 03.02.2007 14:13 10.675 KB929969.log 03.02.2007 14:13 211.200 tsoc.log 03.02.2007 14:13 115.100 ntdtcsetup.log 03.02.2007 14:13 27.445 msgsocm.log 03.02.2007 14:13 265.461 ocgen.log 03.02.2007 14:13 543.269 FaxSetup.log 25.01.2007 21:10 4.116.469 pfirewall.log.old 10.01.2007 21:14 1.797 vtplus32.ini 28.12.2006 13:54 922 spupdsvc.log 28.12.2006 13:52 1.393 imsins.BAK 28.12.2006 13:52 38.611 KB925454.log 28.12.2006 13:52 31.428 updspapi.log 28.12.2006 13:52 30.360 KB924191.log 28.12.2006 13:52 29.954 KB922819.log 28.12.2006 13:52 28.158 KB923414.log 28.12.2006 13:52 18.746 KB917734.log 28.12.2006 13:52 53.620 wmsetup.log 28.12.2006 13:52 19.083 KB925398.log 28.12.2006 13:51 28.144 KB922616.log 28.12.2006 13:51 27.514 KB920685.log 28.12.2006 13:51 27.865 KB923980.log 28.12.2006 13:51 27.627 KB911280.log 28.12.2006 13:51 27.379 KB924270.log 28.12.2006 13:51 25.889 KB924496.log 28.12.2006 13:51 25.457 KB921398.log 28.12.2006 13:51 1.185 ie7_main.log 28.12.2006 13:50 17.189 KB923689.log 28.12.2006 13:49 15.053 KB911564.log 28.12.2006 13:49 24.524 KB920670.log 28.12.2006 13:49 24.724 KB918439.log 28.12.2006 13:49 28.319 KB920872.log 28.12.2006 13:49 24.867 KB919007.log 28.12.2006 13:49 25.118 KB914388.log 28.12.2006 13:49 24.712 KB917344.log 28.12.2006 13:49 23.493 KB917953.log 28.12.2006 13:48 20.847 KB923191.log 28.12.2006 13:48 22.673 KB917422.log 28.12.2006 13:48 12.665 KB922582.log 28.12.2006 13:48 19.697 KB926255.log 28.12.2006 13:48 19.661 KB925486.log 28.12.2006 13:48 19.846 KB920213.log 28.12.2006 13:48 17.748 KB916595.log 28.12.2006 13:48 18.180 KB923694.log 28.12.2006 13:23 13.942 KB920683.log 28.12.2006 13:23 13.738 KB914389.log systemtemp.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\DOKUME~1\SIEGFR~1\LOKALE~1\Temp 09.02.2007 21:04 32.768 ~DF3CEE.tmp 09.02.2007 21:04 222 jusched.log 09.02.2007 19:17 32.768 ~DFD6B6.tmp 3 Datei(en) 65.758 Bytes 0 Verzeichnis(se), 7.366.922.240 Bytes frei tmp.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\WINDOWS\temp 09.02.2007 19:17 16.384 Perflib_Perfdata_128.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 7.366.799.360 Bytes frei window\system32.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 6CD7-7332 Verzeichnis von C:\WINDOWS\system32 09.02.2007 19:17 13.646 wpa.dbl 09.02.2007 19:17 16.836 ikhcore.log 08.02.2007 19:15 317.152 FNTCACHE.DAT 06.02.2007 20:32 3.002 CONFIG.NT 15.01.2007 18:32 689.280 aswBoot.exe 15.01.2007 18:23 90.112 AVASTSS.scr 03.01.2007 00:19 10.980.776 MRT.exe 07.12.2006 17:02 2.174.976 wmvcore.dll 08.11.2006 06:06 679.424 inetcomm.dll 04.11.2006 14:14 1.245.696 msxml4.dll