ComboFix 08-07-31.02 - Cypher-Nemesis 2008-08-01 10:23:52.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1427 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Cypher-Nemesis\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

[color=red][b]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\2aX31fY6.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-01 bis 2008-08-01  ))))))))))))))))))))))))))))))
.

2008-08-01 09:22 . 2008-08-01 09:22	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-01 09:22 . 2008-08-01 09:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\Malwarebytes
2008-08-01 09:22 . 2008-08-01 09:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-01 09:22 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-01 09:22 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-31 08:41 . 2008-07-31 08:41	<DIR>	d--------	C:\Programme\Trend Micro
2008-07-29 07:11 . 2008-08-01 09:15	35,842	--a------	C:\WINDOWS\system32\WgT6KwoY.exe_
2008-07-29 07:11 . 2008-08-01 10:16	35,842	--a------	C:\WINDOWS\system32\WgT6KwoY.exe
2008-07-25 12:01 . 2008-07-25 12:01	<DIR>	d--------	C:\Dokumente und Einstellungen\NetworkService\Eigene Dateien
2008-07-21 07:18 . 2008-07-21 07:18	0	--a------	C:\WINDOWS\system32\WgT6KwoY.exe.a_a
2008-07-21 07:07 . 2008-07-21 07:07	29,760	--a------	C:\WINDOWS\system32\QG73DNg5.exe
2008-07-21 07:07 . 2008-07-21 07:07	0	--a------	C:\WINDOWS\system32\QG73DNg5.exe.a_a
2008-07-16 20:11 . 2008-07-16 20:12	<DIR>	d--------	C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\Ventrilo
2008-07-14 08:31 . 2008-07-14 21:19	<DIR>	d--------	C:\Programme\AutoIt3
2008-07-12 21:24 . 2008-07-12 21:24	<DIR>	d--------	C:\Programme\Avira
2008-07-12 21:24 . 2008-07-12 21:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-11 22:16 . 2008-07-11 22:16	0	--a------	C:\WINDOWS\system32\J5xOW2yP.exe.a_a
2008-07-11 18:00 . 2008-07-11 18:00	<DIR>	dr-------	C:\Dokumente und Einstellungen\NetworkService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-01 08:37	---------	d-----w	C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\VMware
2008-08-01 08:34	---------	d-----w	C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\VMware
2008-08-01 08:34	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-08-01 07:52	---------	d-----w	C:\Programme\ASUS
2008-08-01 06:58	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-01 06:52	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-01 06:50	---------	d-----w	C:\Programme\AC Tool
2008-07-31 09:14	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Visions
2008-07-29 15:42	---------	d-----w	C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\teamspeak2
2008-07-12 23:05	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sage Software Shared
2008-07-12 23:05	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sage KHK Shared
2008-06-12 06:18	---------	d-----w	C:\Programme\Gemeinsame Dateien\xing shared
2008-06-12 06:18	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real
2008-06-03 06:40	---------	d-----w	C:\Programme\ICQToolbar
2008-04-24 06:25	22,032	----a-w	C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-08-23 08:22 110592]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-20 14:58 7581696]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-20 14:58 86016]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-17 18:09 987136]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 01:38 802816]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 01:32 696320]
"ATKMEDIA"="C:\Programme\ASUS\ATK Media\DMEDIA.EXE" [2006-05-16 17:29 53248]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 18:46 90112]
"vmware-tray"="C:\Programme\VMware\VMware Workstation\vmware-tray.exe" [2007-05-01 22:52 68400]
"VMware hqtray"="C:\Programme\VMware\VMware Workstation\hqtray.exe" [2007-05-01 22:52 56112]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 07:26 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ABLKSR]
--a--c--- 2006-01-02 20:14 61440 C:\WINDOWS\ABLKSR\ABLKSR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a--c--- 2003-09-29 23:17 175616 C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update]
--a--c--- 2006-02-21 16:20 180224 C:\Programme\ASUS\ASUS Live Update\ALU.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a--c--- 2006-09-28 21:21 57344 C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a--c--- 2004-08-04 15:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a--c--- 2005-12-10 16:57 133016 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ElbyCheckAnyDVD]
--a--c--- 2003-09-20 21:23 45056 C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a--c--- 2006-10-30 10:36 256576 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-10-25 19:58 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2006-10-12 04:10 49263 C:\Programme\Java\jre1.5.0_09\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a--c--- 2005-10-21 00:26 761945 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-06-12 08:17 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-07-20 14:58 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"WmdmPmSN"=3 (0x3)
"helpsvc"=2 (0x2)
"wuauserv"=2 (0x2)
"iPod Service"=3 (0x3)
"AntiVirService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 MsDtsServer;SQL Server Integration Services;C:\Programme\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [2005-10-14 02:45]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-06-11 11:34]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;C:\Programme\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2005-12-09 10:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3ae981bc-e775-11dc-819a-0018f371d5b7}]
\Shell\AutoRun\command - H:\EmDesk.exe
\Shell\EmDesk\command - H:\EmDesk.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3bc-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - H:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3bd-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - H:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3be-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3bf-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - I:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3c0-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - J:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3c1-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3c2-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - H:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3c3-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - I:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7847f3c4-e9c3-11db-bedb-0018f371d5b7}]
\Shell\AutoRun\command - J:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-07-29 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 18:13]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-Net4Switch - C:\Programme\ASUS\Net4Switch\Net4Switch.exe
MSConfigStartUp-MsnMsgr - C:\Programme\MSN Messenger\msnmsgr.exe
MSConfigStartUp-PowerForPhone - C:\Program Files\PowerForPhone\PowerForPhone\PowerForPhone.exe
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
MSConfigStartUp-Logitech Hardware Abstraction Layer - KHALMNPR.EXE


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Cypher-Nemesis\Anwendungsdaten\Mozilla\Firefox\Profiles\74d0ya1l.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.gmx.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 10:36:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql]
"ImagePath"="\"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:MSSQLSERVER"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-01 10:45:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-01 08:45:20

Pre-Run: 2,697,523,712 Bytes frei
Post-Run: 3,208,688,640 Bytes frei

204	--- E O F ---	2007-10-27 06:18:30