ComboFix 07-11-08.1 - Sebastian 2007-11-15 15:02:44.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1597 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\myglobalsearch C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.JAR C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.JAR C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST C:\Programme\myglobalsearch\bar\1.bin\M9PLUGIN.DLL C:\Programme\myglobalsearch\bar\1.bin\MGSBAR.DLL C:\Programme\myglobalsearch\bar\1.bin\NPMYGLSH.DLL C:\Programme\myglobalsearch\bar\Cache\[u]0[/u]001CED4 C:\Programme\myglobalsearch\bar\Cache\[u]0[/u]001D106 C:\Programme\myglobalsearch\bar\Cache\[u]0[/u]001D23F.bin C:\Programme\myglobalsearch\bar\Cache\[u]0[/u]001D452.bin C:\Programme\myglobalsearch\bar\Cache\[u]0[/u]001D5AA.bin C:\Programme\myglobalsearch\bar\Cache\files.ini C:\Programme\myglobalsearch\bar\History\search C:\Programme\myglobalsearch\bar\Settings\prevcfg.htm . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_EXAMPLE -------\LEGACY_NDNET1 -------\LEGACY_RUNTIME ((((((((((((((((((((((( Dateien erstellt von 2007-10-15 bis 2007-11-15 )))))))))))))))))))))))))))))) . 2007-11-15 15:02 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-15 14:33 d-------- C:\WINDOWS\ERUNT 2007-11-13 21:58 d----c--- C:\Programme\NoLimits Coasters Demo v1.55 2007-11-13 19:43 8,495,616 -----c--- C:\WINDOWS\system32\dllcache\shell32.dll 2007-11-11 15:29 1,087,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-11-11 15:29 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-11-11 15:29 75,248 --a------ C:\WINDOWS\zllsputility.exe 2007-11-11 15:29 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-11-11 15:29 54,672 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-11-11 15:29 42,384 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2007-11-11 15:29 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-11-11 15:29 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-11-11 15:28 d----c--- C:\Programme\ZoneAlarm 2007-11-04 14:20 d----c--- C:\Programme\Zylom Games 2007-11-04 14:20 d-------- C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\Zylom 2007-11-04 14:20 d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom 2007-11-02 16:23 61,440 -r-hs---- C:\WINDOWS\system32\AgCPanelSpanisht.exe 2007-11-02 16:23 144 --ahs---- C:\WINDOWS\system32\3031644281.dat 2007-10-24 23:37 d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MailFrontier 2007-10-24 23:36 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-10-15 22:37 d----c--- C:\Programme\softnyx . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-15 14:05 15,884 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-11-11 20:43 14,336 ----a-w C:\WINDOWS\system32\svchost.exe 2007-11-10 11:24 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic 2007-11-08 15:23 --------- d-----w C:\Programme\Lx_cats 2007-11-05 16:38 --------- dc----w C:\Programme\ICQ6 2007-11-02 23:49 --------- dc----w C:\Programme\Commando - Automatensystem 2007-11-01 19:00 --------- d-----w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\uTorrent 2007-10-25 13:14 --------- dc----w C:\Programme\Stronghold Legends 2007-10-25 13:13 --------- dc----w C:\Programme\Stronghold 2 2007-10-17 21:37 --------- dc----w C:\Programme\Call of Duty 2 2007-10-15 21:58 --------- dc----w C:\Programme\GOA 2007-09-29 09:44 --------- dc----w C:\Programme\QuickTime 2007-09-22 22:09 --------- dc----w C:\Programme\Apple Software Update 2007-09-22 22:09 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Apple 2007-09-22 10:06 --------- d-----w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\Samsung 2007-09-22 09:58 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-09-22 09:57 --------- dc----w C:\Programme\Samsung 2007-09-19 15:44 --------- d-----w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\AdobeUM 2007-09-15 23:59 --------- d-----w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\SecondLife 2007-09-15 14:29 --------- dc----w C:\Programme\ICQLite 2007-09-15 14:29 --------- d-----w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\ICQ 2007-04-13 14:44 38,536 ----a-w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-06-01 15:48 0 ----a-w C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\wklnhst.dat 2001-07-12 19:57 0 -c-ha-r C:\Programme\EBUSetup.sem . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 11:20 C:\WINDOWS\SOUNDMAN.EXE] "Lexmark 5200 series"="C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" [2004-06-04 10:59] "LXBTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll" [2004-03-17 17:30] "SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 14:43] "NvMediaCenter"="NvMCTray.dll" [2006-08-11 14:43 C:\WINDOWS\system32\nvmctray.dll] "TCMMouse "="C:\PROGRA~1\TCMCOM~1\MouseDrv.exe" [2004-05-27 16:50] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-24 23:20] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-29 10:44] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-03-29 17:12] "UpdateWin"="C:\WINDOWS\system32\AgCPanelSpanisht.exe" [2007-11-02 16:23] "ScanmetenderStandard3"="C:\Programme\Scanmetender Standard\candard.exe" [] "ZoneAlarm Client"="C:\Programme\ZoneAlarm\zlclient.exe" [2007-06-21 21:54] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LClock"="C:\Programme\LClock\lclock.exe" [2004-09-19 19:27] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 14:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] "UpdateWin"=C:\WINDOWS\system32\AgCPanelSpanisht.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices] "UpdateWin"=C:\WINDOWS\system32\AgCPanelSpanisht.exe [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "UpdateWin"=C:\WINDOWS\system32\AgCPanelSpanisht.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="LogonUI.EXE" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "UpdateWin"= C:\WINDOWS\system32\AgCPanelSpanisht.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^BTTray.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] "C:\Programme\BearShare\BearShare.exe" /pause [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] "C:\Programme\ICQ6\ICQ.exe" silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer] C:\Programme\phonostar\ps_timer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool] C:\Programme\VIA\RAID\raid_tool.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "C:\Programme\Steam\Steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave] "C:\Programme\Save\Save.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client] "C:\Programme\ZoneAlarm\zlclient.exe" R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys R2 SVKP;SVKP;\??\C:\WINDOWS\System32\SVKP.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs S2 AdobeRSVP;Adobe LM Service AdobeRSVP;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 BrowserRasMan;Computerbrowser BrowserRasMan;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 CiSvcSENS;Indexdienst CiSvcSENS;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 ClipSrvsrservice;Ablagemappe ClipSrvsrservice;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 COMSysApplxbt_device;COM+-Systemanwendung COMSysApplxbt_device;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 dmadminBITS;Verwaltungsdienst für die Verwaltung logischer Datenträger dmadminBITS;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 dmadminBITSSSDPSRV;Verwaltungsdienst für die Verwaltung logischer Datenträger dmadminBITS dmadminBITSSSDPSRV;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 dmserverlanmanworkstation;Verwaltung logischer Datenträger dmserverlanmanworkstation;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 HidServRemoteRegistry;HID Input Service HidServRemoteRegistry;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 lanmanworkstationSSDPSRV;Arbeitsstationsdienst lanmanworkstationSSDPSRV;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 LmHostsdmserverlanmanworkstation;TCP/IP-NetBIOS-Hilfsprogramm LmHostsdmserverlanmanworkstation;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 NetDDEdsdmAntiVirService;Netzwerk-DDE-Serverdienst NetDDEdsdmAntiVirService;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 NetlogonMSDTC;Anmeldedienst NetlogonMSDTC;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 NtLmSspWmiApSrv;NT-LM-Sicherheitsdienst NtLmSspWmiApSrv;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 NtmsSvcLmHostsdmserverlanmanworkstation;Wechselmedien NtmsSvcLmHostsdmserverlanmanworkstation;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 NtmsSvcRasMan;Wechselmedien NtmsSvcRasMan;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 PlugPlayRSVP;Plug & Play PlugPlayRSVP;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 RasAutosrservice;Verwaltung für automatische RAS-Verbindung RasAutosrservice;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 SharedAccessBrowserRasMan;Windows-Firewall/Gemeinsame Nutzung der Internetverbindung SharedAccessBrowserRasMan;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 SharedAccessShellHWDetectionTrkWks;Windows-Firewall/Gemeinsame Nutzung der Internetverbindung SharedAccessShellHWDetectionTrkWks;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 ShellHWDetectionTrkWks;Shellhardwareerkennung ShellHWDetectionTrkWks;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 ShellHWDetectionTrkWksBITS;Shellhardwareerkennung ShellHWDetectionTrkWks ShellHWDetectionTrkWksBITS;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 SpoolerMSIServer;Druckwarteschlange SpoolerMSIServer;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 Spoolervsmon;Druckwarteschlange Spoolervsmon;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 TlntSvrSpooler;Telnet TlntSvrSpooler;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 vsmonRpcSs;TrueVector Internet Monitor vsmonRpcSs;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 VSSAdobeRSVP;Volumeschattenkopie VSSAdobeRSVP;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 WmiApSrvdmserverlanmanworkstation;WMI-Leistungsadapter WmiApSrvdmserverlanmanworkstation;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S2 WmiImapiService;Treibererweiterungen für Windows-Verwaltungsinstrumentation WmiImapiService;C:\WINDOWS\system32\AgCPanelSpanisht.exe srv S3 D500M;D500M;C:\WINDOWS\system32\DRIVERS\D500M.sys S3 D500U;D500U;C:\WINDOWS\system32\DRIVERS\D500U.sys S3 MaRdPnp;MaRdPnp;C:\WINDOWS\system32\DRIVERS\MaRdP2K.sys S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis1\MTOnlPktAlyX.SYS S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.0 Final Release\RivaTuner32.sys S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp *Newly Created Service* - COMSYSAPPLXBT_DEVICE . Inhalt des "geplante Tasks" Ordners "2007-11-02 21:11:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 15:06:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\WINDOWS\system32\ws2_32.dll:fork2 23552 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . Zeit der Fertigstellung: 2007-11-15 15:08:55 - machine was rebooted . --- E O F --- datfind.bat Datentr„ger in Laufwerk C: ist FESTPLATTE Volumeseriennummer: B4B3-3879 Verzeichnis von C:\WINDOWS\system32 15.11.2007 14:52 81.191 nvapps.xml 15.11.2007 14:44 58.727 vsconfig.xml 11.11.2007 21:43 14.336 svchost.exe 11.11.2007 15:32 4.212 zllictbl.dat 11.11.2007 13:51 2.206 wpa.dbl 07.11.2007 16:30 749 cdplayer.exe.manifest 07.11.2007 16:30 749 wuaucpl.cpl.manifest 07.11.2007 16:30 749 sapi.cpl.manifest 07.11.2007 16:30 749 nwc.cpl.manifest 07.11.2007 16:30 749 ncpa.cpl.manifest 02.11.2007 16:23 144 3031644281.dat 02.11.2007 16:23 61.440 AgCPanelSpanisht.exe 02.11.2007 16:23 0 LDR1B.tmp 02.11.2007 16:22 0 LDR17.tmp 02.11.2007 10:07 1.655.808 LDR19.tmp 29.10.2007 16:35 123.904 xpsp3res.dll 28.10.2007 12:19 380.350 perfh009.dat 28.10.2007 12:19 52.764 perfc009.dat 28.10.2007 12:19 63.580 perfc007.dat 28.10.2007 12:19 391.000 perfh007.dat 28.10.2007 12:19 897.954 PerfStringBackup.INI 25.10.2007 17:55 8.495.616 shell32.dll 11.10.2007 14:12 1.468.968 LegitCheckControl.DLL 21.06.2007 21:55 54.672 vsutil_loc0407.dll 21.06.2007 21:54 17.808 imslsp_install_loc0407.dll 21.06.2007 21:54 21.904 imsinstall_loc0407.dll 21.06.2007 21:54 394.984 vsdatant.sys 21.06.2007 21:54 1.086.952 zpeng24.dll 21.06.2007 21:54 472.552 vsutil.dll 21.06.2007 21:54 83.432 zlcomm.dll 21.06.2007 21:54 71.144 zlcommdb.dll 21.06.2007 21:54 99.816 vsxml.dll 21.06.2007 21:54 46.568 vswmi.dll 21.06.2007 21:54 71.144 vsregexp.dll 21.06.2007 21:54 275.944 vspubapi.dll 21.06.2007 21:54 103.912 vsmonapi.dll 21.06.2007 21:54 157.160 vsinit.dll 21.06.2007 21:54 83.432 vsdata.dll 21.06.2007 21:54 796.048 libeay32_0.9.6l.dll SDFix: Version 1.114 Run by Sebastian on 15.11.2007 at 14:34 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: EXAMPLE NDnet1 runtime Path: \??\C:\WINDOWS\system32\main.sys \??\C:\WINDOWS\system32\ksys.sys \??\C:\WINDOWS\System32\drivers\runtime.sys EXAMPLE - Deleted NDnet1 - Deleted runtime - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\5_exception.nls - Deleted C:\WINDOWS\system32\alog.txt - Deleted C:\WINDOWS\system32\cmds.txt - Deleted C:\WINDOWS\system32\conf.dat - Deleted C:\WINDOWS\system32\cookie1.dat - Deleted C:\WINDOWS\system32\cs.dat - Deleted C:\WINDOWS\system32\form.txt - Deleted C:\WINDOWS\system32\icf.exe - Deleted C:\WINDOWS\system32\info.txt - Deleted C:\WINDOWS\system32\ksys.sys - Deleted C:\WINDOWS\system32\main.sys - Deleted C:\WINDOWS\system32\nortn32.dll - Deleted C:\WINDOWS\system32\ps1.dat - Deleted C:\WINDOWS\system32\rasmoesa.dll - Deleted C:\WINDOWS\system32\rc.dat - Deleted C:\WINDOWS\system32\wsys.dll - Deleted C:\WINDOWS\SYSTEM32\MACAAQ.DLL - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe : ADS Found! svchost.exe: deleted 24064 bytes in 1 streams. Checking for remaining Streams C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-15 14:45:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s0"=dword:c172b882 "s1"=dword:8d283407 "s2"=dword:4788d871 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Programme\Alcohol Soft\Alcohol 120\" "h0"=dword:00000000 "ujdew"=hex:59,75,c3,4d,69,63,7d,0b,3f,f4,b6,25,15,7f,ca,77,5e,e7,90,85,23,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Programme\Alcohol Soft\Alcohol 120\" "h0"=dword:00000000 "ujdew"=hex:59,75,c3,4d,69,63,7d,0b,3f,f4,b6,25,15,7f,ca,77,5e,e7,90,85,23,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Programme\Alcohol Soft\Alcohol 120\" "h0"=dword:00000000 "ujdew"=hex:59,75,c3,4d,69,63,7d,0b,3f,f4,b6,25,15,7f,ca,77,5e,e7,90,85,23,.. scanning hidden registry entries ... scanning hidden files ... C:\WINDOWS\system32\ws2_32.dll:fork2 23552 bytes executable scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 1 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\FEAR\\FEAR.exe"="C:\\Programme\\FEAR\\FEAR.exe:*:Enabled:FEAR" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Programme\\Anno 1701\\Anno1701.exe"="C:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701" "C:\\Programme\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"="C:\\Programme\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe:*:Enabled:Rainbow Six Vegas" "C:\\Programme\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"="C:\\Programme\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe:*:Enabled:Rainbow Six Vegas Updater" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="C:\\Programme\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)" "C:\\Programme\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="C:\\Programme\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)" "C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer" "C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent" "C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6" "C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost" "C:\\Programme\\Stronghold Legends\\StrongholdLegends.exe"="C:\\Programme\\Stronghold Legends\\StrongholdLegends.exe:*:Enabled:Stronghold Legends" "C:\\Programme\\Stronghold 2\\Stronghold2.exe"="C:\\Programme\\Stronghold 2\\Stronghold2.exe:*:Enabled:Stronghold 2" "C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare" "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Sun 11 Jun 2006 355 ..SH. --- "C:\Boot.BAK" Wed 8 Mar 2000 1,241,088 ...H. --- "C:\Programme\7Play - Shark\Dirapi.dll" Wed 8 Mar 2000 552,960 ...H. --- "C:\Programme\7Play - Shark\Iml32.dll" Wed 8 Mar 2000 266,293 ...H. --- "C:\Programme\7Play - Shark\msvcrt.dll" Wed 8 Mar 2000 135,168 ...H. --- "C:\Programme\7Play - Shark\Proj.dll" Fri 27 May 2005 33 A..H. --- "C:\Programme\Serials 2005\Crypt.dll" Fri 2 Nov 2007 61,440 ..SHR --- "C:\WINDOWS\system32\AgCPanelSpanisht.exe" Wed 24 May 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv1.bak" Mon 12 Jun 2006 401 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv18.bak" Sun 2 Jul 2006 401 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv19.bak" Fri 6 Aug 2004 1,953,792 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\launcher.exe" Fri 6 Aug 2004 53,760 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll" Fri 6 Aug 2004 94,208 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\RmvSuite.exe" Fri 6 Aug 2004 35,328 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll" Fri 6 Aug 2004 20,480 ...HR --- "C:\Programme\Microsoft Works Suite 2005\Setup\unregwtr.exe" Sun 15 Jan 2006 68,271 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Meine empfangenen Dateien\15.12.zip" Sun 15 Jan 2006 129,110 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Meine empfangenen Dateien\15.Dec 05.zip" Sun 15 Jan 2006 1,021,028 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Meine empfangenen Dateien\19.12.zip" Mon 6 Feb 2006 1,342,498 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Meine empfangenen Dateien\6.1.zip" Sun 29 Jan 2006 176,778 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Meine empfangenen Dateien\Bikini-oberteil.zip" Sat 31 Mar 2007 2,158 ...HR --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Wed 24 May 2006 4,348 ...H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak" Thu 13 Sep 2007 782 A..H. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak" Sun 13 Aug 2006 400 A.SH. --- "C:\Dokumente und Einstellungen\Sebastian.ASROCK-775DUAL\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak" Finished!