ComboFix 08-09-01.01 - marc01 2008-09-02 19:52:37.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1619 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\marc01\Desktop\frogger\foto03.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red][b]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/b][/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Install.dat C:\WINDOWS\system32\dao350.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSREST.SYS -------\Legacy_TDSSSERV -------\Service_TDSSserv ((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 )))))))))))))))))))))))))))))) . 2008-09-02 18:46 . 2008-09-02 18:46 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-09-02 18:46 . 2008-09-02 18:46 d-------- C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Malwarebytes 2008-09-02 18:46 . 2008-09-02 18:46 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-09-02 18:46 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-02 18:46 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-02 18:43 . 2008-09-02 18:43 d-------- C:\Programme\CCleaner 2008-09-02 18:35 . 2008-09-02 18:39 d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-01 22:06 . 2008-09-01 22:06 d-------- C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Lavasoft 2008-09-01 20:38 . 2008-09-01 22:31 d-------- C:\WINDOWS\system32\de-de 2008-09-01 20:38 . 2008-09-01 22:31 d-------- C:\WINDOWS\system32\de 2008-09-01 20:38 . 2008-09-01 22:31 d-------- C:\WINDOWS\system32\bits 2008-09-01 20:38 . 2008-09-01 22:30 d-------- C:\WINDOWS\l2schemas 2008-09-01 20:00 . 2004-08-04 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-09-01 19:37 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2008-09-01 19:37 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2008-09-01 19:37 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2008-09-01 19:37 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2008-09-01 18:42 . 2008-09-01 23:24 d-------- C:\Programme\Spyware Terminator 2008-09-01 18:42 . 2008-09-01 18:42 d-------- C:\Programme\Crawler 2008-09-01 18:42 . 2008-09-01 22:59 d-------- C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Spyware Terminator 2008-09-01 18:42 . 2008-09-01 23:24 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator 2008-09-01 18:42 . 2008-09-01 18:42 141,312 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2008-08-31 23:10 . 2008-08-31 23:10 d-------- C:\Programme\Zone Labs 2008-08-30 17:09 . 2008-08-30 17:09 d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy) 2008-08-19 07:32 . 2008-08-19 07:40 d-------- C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Scribus 2008-08-19 07:31 . 2008-08-19 07:32 d-------- C:\Programme\Scribus 1.3.4 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-02 16:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-09-02 16:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-01 19:46 2,090,496 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-08-31 12:33 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-08-24 10:19 --------- d-----w C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\OpenOffice.org2 2008-07-23 20:12 --------- d-----w C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\UseNeXT 2008-07-16 04:07 --------- d-----w C:\Programme\QuickPar 2008-07-13 17:32 --------- d-----w C:\Programme\UseNeXT 2007-06-27 18:05 0 ----a-w C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\wklnhst.dat 2007-11-17 07:01 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 18:45 53248] "fscp"="C:\Programme\AVC Finger-sensing Pad Driver\fscp.exe" [2006-08-31 18:26 995328] "FuncKey"="C:\Programme\Hotkey Management\FuncKey.exe" [2006-09-05 20:29 139264] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 10:44 266497] "PowerManager"="C:\Programme\Power Manager\PM.exe" [2006-09-06 19:13 151552] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 10:42 7585792] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk.disabled] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk.disabled backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk.disabled] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk.disabled backup=C:\WINDOWS\pss\HP Image Zone Schnellstart.lnk.disabledCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Pml Driver HPZ12"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe "Yahoo! Pager"=C:\Programme\Yahoo!\Messenger\ypager.exe -quiet [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" "Alcmtr"=ALCMTR.EXE "mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "PDFPrint"="C:\Programme\PDFDrucker\PDF24Updater.exe" "RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "SkyTel"=SkyTel.EXE "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime "mausemu"=C:\Dokumente und Einstellungen\marc01\Desktop\Download - Mozilla\mausemu4\mausemu.exe "Logitech Hardware Abstraction Layer"=KHALMNPR.EXE "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "nwiz"=nwiz.exe /install "PowerManager"=C:\Programme\Power Manager\PM.exe "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" "RTHDCPL"=RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"= "C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\NetMeeting\\conf.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\TVUPlayer\\TVUPlayer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "22600:UDP"= 22600:UDP:azureus R2 FspadSvc;FspadSvc;C:\Programme\AVC Finger-sensing Pad Driver\fspadsvr.exe [2006-08-23 14:05] R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-07-03 17:11] S1 29c5d73c;29c5d73c;C:\WINDOWS\system32\drivers\29c5d73c.sys [] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe [2005-08-10 13:26] S3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;C:\WINDOWS\system32\DRIVERS\fspad.sys [2006-09-01 12:14] S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57] S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58] S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e865bb0-8265-11dc-a9d0-003005d82c32}] \Shell\AutoRun\command - E:\laucher.exe . Inhalt des "geplante Tasks" Ordners . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - Notify-dimsntfy - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\marc01\Anwendungsdaten\Mozilla\Firefox\Profiles\663v4kdo.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-02 20:01:51 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-09-02 20:07:15 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-09-02 18:07:09 Pre-Run: 6,042,742,784 Bytes frei Post-Run: 5,951,455,232 Bytes frei 167 --- E O F --- 2008-09-01 18:03:33