ComboFix 08-04-15.5 - Felix Troll 2008-04-16 18:11:57.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.146 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Felix Troll\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Downloaded Program Files\setup.inf F:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 )))))))))))))))))))))))))))))) . 2008-04-16 17:05 . 2008-04-16 17:05 d-------- C:\Programme\Trend Micro 2008-04-16 02:24 . 2008-04-16 01:27 691,545 --a------ C:\WINDOWS\unins000.exe 2008-04-16 02:24 . 2008-04-16 02:24 2,551 --a------ C:\WINDOWS\unins000.dat 2008-03-16 23:23 . 2008-04-15 13:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-16 23:23 . 2008-03-16 23:23 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-16 16:18 48,816,160 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-16 16:11 --------- d-----w C:\Dokumente und Einstellungen\Felix Troll\Anwendungsdaten\Skype 2008-04-16 14:08 --------- d-----w C:\Dokumente und Einstellungen\Felix Troll\Anwendungsdaten\skypePM 2008-04-02 15:53 --------- d-----w C:\Dokumente und Einstellungen\Felix Troll\Anwendungsdaten\dvdcss 2008-04-01 23:38 6,540,795 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-03-29 16:47 --------- d-----w C:\Programme\Trillian 2008-03-25 23:38 1,606,144 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp 2008-03-24 12:28 571,604 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-17 09:50 --------- d-----w C:\Programme\Java 2008-03-15 10:53 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-03-15 10:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype 2008-03-14 10:04 --------- d-----w C:\Programme\Cedelia 2008-03-12 01:10 --------- d-----w C:\Dokumente und Einstellungen\Felix Troll\Anwendungsdaten\Move Networks 2008-03-12 00:58 --------- d-----w C:\Programme\Hotspot Shield 2008-03-11 11:46 69,632 ----a-w C:\WINDOWS\system32\TIFmtA.dll 2008-03-11 11:46 61,440 ----a-w C:\WINDOWS\system32\TrackID.DLL 2008-03-11 11:46 53,248 ----a-w C:\WINDOWS\system32\RIC625PI.DLL 2008-03-11 11:46 49,664 ----a-w C:\WINDOWS\system32\RIC625X.EXE 2008-03-11 11:46 49,152 ----a-w C:\WINDOWS\system32\TIBase64.dll 2008-03-05 00:19 --------- d-----w C:\Programme\OpenVPN 2008-03-04 16:40 1,513,984 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2008-02-29 20:05 --------- d-----w C:\Programme\gnubg 2008-02-29 00:13 --------- d-----w C:\Programme\Virtools 2008-02-21 16:41 --------- d-----w C:\Programme\DivX 2008-01-12 16:47 2,675,200 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2008-01-12 16:47 1,404,928 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp 2007-12-06 07:41 1,707,520 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2007-12-06 07:25 1,707,008 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2007-11-15 11:06 1,655,296 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2007-11-08 18:43 1,640,448 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "SpeedswitchXP"="C:\Programme\SpeedswitchXP\SpeedswitchXP.exe" [2006-07-14 23:56 626688] "DW4"="" [] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872] "Voipwise"="C:\Programme\Voipwise.com\Voipwise\Voipwise.exe" [ ] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "SoundMan"="SOUNDMAN.EXE" [2005-03-07 22:30 77824 C:\WINDOWS\SOUNDMAN.EXE] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-08-10 16:10 110592] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-01-12 20:35 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-01-12 20:35 688218] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 00:38 802816] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 00:32 696320] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 01:24 262401] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "WinampAgent"="C:\Programme\Winamp\wianmpa.exe" [ ] "supertintin_skype"="C:\Programme\Supertintin for Skype\supertintin_skype.exe" [2007-09-25 15:54 167936] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-21 14:34 286720] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-28 14:08 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"= "C:\\Programme\\VoipStunt.com\\VoipStunt\\VoipStunt.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2003-10-20 19:09] R3 tapvpn;TAP VPN Adapter;C:\WINDOWS\system32\DRIVERS\tapvpn.sys [2008-01-23 23:25] S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 14:37] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0a20686c-5939-11dc-90b0-000e356826e6}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe \Shell\Open(&0)\command - H:\Recycled\ctfmon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{43e14a6e-9d48-11dc-9c26-000e356826e6}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-16 18:17:57 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-04-16 18:20:10 ComboFix-quarantined-files.txt 2008-04-16 16:20:05 6 Verzeichnis(se), 3,032,096,768 Bytes frei 9 Verzeichnis(se), 3,913,924,608 Bytes frei . 2008-04-14 22:07:01 --- E O F ---