ComboFix 08-10-11.02 - user 2008-10-12 16:33:34.3 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.287 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED][B]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/B][/COLOR] . ((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 )))))))))))))))))))))))))))))) . 2008-10-09 18:54 . 2008-10-09 18:54 d-------- C:\Programme\ZoneAlarmSB 2008-10-09 18:52 . 2008-10-09 18:52 d-------- C:\WINDOWS\system32\ZoneLabs 2008-10-09 18:52 . 2008-10-09 18:52 d-------- C:\Programme\Zone Labs 2008-10-09 18:52 . 2008-08-21 20:41 1,221,008 --a------ C:\WINDOWS\system32\zpeng25.dll 2008-10-09 18:52 . 2008-10-12 16:30 348,371 --a------ C:\WINDOWS\system32\vsconfig.xml 2008-10-09 11:46 . 2008-10-09 11:46 d-------- C:\Programme\AVG 2008-10-08 11:50 . 2008-10-08 11:50 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-10-08 11:48 . 2008-10-08 11:48 d-------- C:\WINDOWS\ERUNT 2008-10-08 10:29 . 2008-10-08 10:29 d-------- C:\Programme\SUPERAntiSpyware 2008-10-08 10:29 . 2008-10-08 10:29 d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\SUPERAntiSpyware.com 2008-10-08 10:29 . 2008-10-08 10:29 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-10-08 02:51 . 2008-10-08 02:51 d-------- C:\rsit 2008-10-07 22:46 . 2008-10-07 22:46 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-07 22:46 . 2008-10-07 22:46 d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes 2008-10-07 22:46 . 2008-10-07 22:46 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-07 22:46 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-07 22:46 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-07 22:38 . 2008-10-07 22:38 d-------- C:\Programme\CCleaner 2008-10-07 19:47 . 2008-10-07 19:47 d-------- C:\Programme\Spybot - Search & Destroy 2008-10-07 19:47 . 2008-10-07 19:47 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-10-07 16:49 . 2008-10-07 16:49 d--h----- C:\$AVG8.VAULT$ 2008-10-07 15:36 . 2008-10-07 15:36 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8 2008-10-07 15:18 . 2008-10-07 15:18 d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SmartSurfer 2008-10-07 14:59 . 2008-10-07 14:59 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-10-05 23:11 . 2008-10-05 23:11 d-------- C:\Programme\Trend Micro 2008-10-03 13:13 . 2008-10-03 13:14 d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\ratiopharm 2008-09-29 19:10 . 2008-04-13 20:54 22,016 --a------ C:\WINDOWS\system32\drivers\MSIRCOMM.sys 2008-09-29 19:10 . 2008-04-13 20:54 22,016 --a------ C:\WINDOWS\system32\dllcache\msircomm.sys 2008-09-26 17:36 . 2008-09-26 17:36 d-------- C:\Programme\LingoPad 2008-09-26 17:36 . 2008-09-26 17:36 d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Lingo4u 2008-09-19 15:28 . 2008-09-19 15:28 d-------- C:\WINDOWS\system32\de 2008-09-19 15:28 . 2008-09-19 15:28 d-------- C:\WINDOWS\system32\bits 2008-09-19 15:28 . 2008-09-19 15:28 d-------- C:\WINDOWS\l2schemas . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-07 15:52 --------- d-----w C:\Programme\Bullfrog 2008-08-28 21:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-08-25 13:24 --------- d-----w C:\Programme\Google 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-04-01 21:38 14,852 ----a-w C:\Programme\settings.dat 2003-01-21 01:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\user\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-22 335872] "LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2003-04-28 184320] "LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-12-15 262144] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-01-09 98304] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-01-09 491520] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 32873] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-05-07 185896] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-08-21 981904] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe] "SoundMan"="SOUNDMAN.EXE" [2003-12-19 C:\WINDOWS\SOUNDMAN.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672] hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-04-06 323646] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^user^Startmenü^Programme^Autostart^Registration DIE SIEDLER - Das Erbe der Könige - Gold Edition.LNK] path=C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\Registration DIE SIEDLER - Das Erbe der Könige - Gold Edition.LNK backup=C:\WINDOWS\pss\Registration DIE SIEDLER - Das Erbe der Könige - Gold Edition.LNKStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^user^Startmenü^Programme^Autostart^WEB.DE SmartSurfer.lnk] path=C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\WEB.DE SmartSurfer.lnk backup=C:\WINDOWS\pss\WEB.DE SmartSurfer.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] --a------ 2008-09-01 17:08 173304 C:\Programme\ICQ6\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-06-02 11:13 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware] --a------ 2008-09-03 14:07 1576176 C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2008-05-07 15:59 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] --a------ 2007-08-30 17:43 4670704 C:\Programme\Yahoo!\Messenger\YahooMessenger.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe [2007-12-18 132560] R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2006-05-09 24521] R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2006-05-09 155216] S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2006-05-09 155216] . Inhalt des "geplante Tasks" Ordners 2008-04-24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1200855256.job - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52] 2008-10-04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] 2008-09-30 C:\WINDOWS\Tasks\WebReg 20080930201512.job - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe [2003-04-06 01:01] . . ------- Zusätzlicher Suchlauf ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\j6m91ii4.default\ FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJava11.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJava12.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJava13.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJava14.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJava32.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPJPI142_01.dll FF -: plugin - C:\Programme\Java\j2re1.4.2_01\bin\NPOJI610.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPZoneSB.dll FF -: plugin - C:\Programme\Yahoo!\Shared\npYState.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 16:36:10 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-10-12 16:36:50 ComboFix2.txt 2008-10-09 09:05:52 ComboFix-quarantined-files.txt 2008-10-12 14:36:48 Vor Suchlauf: 19 Verzeichnis(se), 58.836.287.488 Bytes frei Nach Suchlauf: 26 Verzeichnis(se), 58,823,344,128 Bytes frei 180 --- E O F --- 2008-10-07 18:54:04