Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1474 Windows 5.1.2600 Service Pack 3 08.12.2008 13:29:47 mbam-log-2008-12-08 (13-29-47).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 274724 Laufzeit: 1 hour(s), 45 minute(s), 45 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ComboFix 08-12-06.06 - gert2 2008-12-08 17:02:22.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.673 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\gert2\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [COLOR=RED][B]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\gert2\Cookies\prf23.tmp c:\windows\pi.exe c:\windows\system\oeminfo.ini c:\windows\system32\Cfx32.lic c:\windows\system32\cfx32.ocx c:\windows\system32\config\SAM.SAV c:\windows\system32\FTPx.dll c:\windows\system32\MabryObj.dll c:\windows\system32\mdm.exe c:\windows\system32\Win9xcd1.dll D:\Autorun.inf ----- BITS: Eventuell infizierte Webseiten ----- hxxp://nt3server:8530 . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF ((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 )))))))))))))))))))))))))))))) . 2008-12-08 10:56 . 2008-12-08 10:56 d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-08 10:56 . 2008-12-08 10:56 d-------- c:\dokumente und einstellungen\gert2\Anwendungsdaten\Malwarebytes 2008-12-08 10:56 . 2008-12-08 10:56 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-08 10:56 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-08 10:56 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-05 17:13 . 2008-12-05 17:14 d-------- C:\HijackThis 2008-12-02 10:53 . 2008-12-02 10:54 d-------- C:\AcerE380 2008-11-28 13:42 . 2008-11-28 11:52 219,441,152 --a------ C:\CDBOOT.ISO 2008-11-27 13:54 . 2005-05-11 13:29 d--h----- c:\dokumente und einstellungen\gert2\WLANProfiles 2008-11-19 11:11 . 2008-11-19 11:11 791,137 --a------ C:\vbnedess_Formular.zip 2008-11-17 12:15 . 2008-11-17 12:15 54,156 --ah----- c:\windows\QTFont.qfn 2008-11-17 12:15 . 2008-11-17 12:15 1,409 --a------ c:\windows\QTFont.for 2008-11-13 09:31 . 2008-09-04 18:15 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll 2008-11-13 09:31 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-10 10:35 . 2008-11-10 10:35 d-------- C:\test . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-02 13:41 --------- d-----w c:\programme\Mozilla Thunderbird 2008-11-27 12:53 --------- d-----w c:\programme\Free Download Manager 2008-11-26 16:02 --------- d-----w c:\dokumente und einstellungen\gert2\Anwendungsdaten\Free Download Manager 2008-11-18 16:58 --------- d-----w c:\dokumente und einstellungen\gert2\Anwendungsdaten\gtk-2.0 2008-10-28 14:53 --------- d--h--w c:\programme\InstallShield Installation Information 2008-10-28 14:53 --------- d-----w c:\programme\AceBIT 2008-10-28 14:53 --------- d-----w c:\dokumente und einstellungen\gert2\Anwendungsdaten\AceBIT 2008-10-28 14:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AceBIT 2008-10-28 10:00 --------- d-----w c:\programme\Stellar Phoenix Windows Data Recovery 2008-10-28 09:45 --------- d-----w c:\programme\Recuva 2008-10-27 15:05 --------- d-----w c:\programme\NetObjects 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-10 14:50 --------- d-----w c:\dokumente und einstellungen\gert2\Anwendungsdaten\U3 2003-01-21 01:00 13,095,560 ----a-w c:\windows\system32\config\systemprofile\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\uwe\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\gst\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\gst.OEBVI-NEDESS\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\gert2.XPSTAT4\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\Default User\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\Administrator\MpSetup.exe 2003-01-21 01:00 13,095,560 ----a-w c:\dokumente und einstellungen\administrator.OEBVI-NEDESS\MpSetup.exe 2001-10-05 10:53 21,866 ----a-w c:\programme\Gemeinsame Dateien\tppupd2k.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 1211176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-05-02 110592] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-05-02 610304] "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-10-02 155648] "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-10-02 118784] "PCMService"="c:\programme\Aspire Arcade\PCMService.exe" [2004-03-25 81920] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-22 335872] "PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2004-03-10 406016] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624] "KEN Taskbar Client"="c:\programme\KEN!\kentbcli.exe" [2007-02-07 262144] "NcpBudget"="c:\programme\LANCOM\Advanced_VPN_Client\ncpbudgt.exe" [2005-01-05 214016] "NcpPopup"="c:\programme\LANCOM\Advanced_VPN_Client\ncppopup.exe" [2005-02-23 382976] "SfWinStartInfo"="l:\sfirm32\sfWinStartupInfo.exe" [2006-11-02 98304] "mssSort"="c:\programme\Maxtor\Maxtor Quick Start\msssort.exe" [2005-01-31 45056] "TPP Auto Loader"="c:\windows\TPPALDR.EXE" [2001-10-05 118784] "HP Component Manager"="c:\programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "CA Total Protection Control Center"="c:\programme\CA\Protection Suite\Client\TPCC.exe" [2006-03-16 126976] "Protection Suite Anti-Spyware Realtime"="c:\programme\CA\eTrust PestPatrol Corporate Edition\\PPMCActiveDetection.exe" [2005-05-13 118784] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152] "Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2006-11-29 90112] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "AGRSMMSG"="AGRSMMSG.exe" [2003-11-19 c:\windows\AGRSMMSG.exe] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe] "SoundMan"="SOUNDMAN.EXE" [2004-02-09 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= vdrcodec.dll "SENTINEL"= snti386.dll "VIDC.MJPG"= Pvmjpg21.dll "VIDC.PIM1"= pclepim1.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox] --a------ 2004-01-14 02:10 409600 c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp] --a------ 2002-08-15 16:32 94208 c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "GhostStartService"=2 (0x2) "Brother XP spl Service"=2 (0x2) "bmwebcfg"=2 (0x2) "Ati HotKey Poller"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\LANCOM\\Advanced_VPN_Client\\NCPMON.EXE"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\KEN!\\kentbcli.exe"= "c:\\Programme\\LANCOM\\LANmonitor\\lanmon.exe"= "c:\\Programme\\LANCOM\\LANconfig\\lanconf.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R2 CASDiscoverySvc;CA BrightStor Discovery Service;"c:\programme\CA\SharedComponents\BrightStor\CADS\casdscsvc.exe" [2008-07-05 131072] R2 CASUniversalAgent;CA BrightStor Universal Agent;"c:\programme\CA\SharedComponents\BrightStor\UniAgent\UnivAgent.exe" [2008-07-05 409600] R2 KEN Client Service;AVM KEN Klient;c:\programme\KEN!\KENCLI.EXE [2008-07-05 167936] R2 LcsCapiCtl;LANCAPI Control;c:\windows\System32\rcapi.exe [2008-07-05 180224] R2 LogWatch;Event Log Watch;c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2008-07-05 53248] R2 ncprwsnt;ncprwsnt;c:\programme\LANCOM\Advanced_VPN_Client\ncprwsnt.exe [2008-07-05 1171456] R2 NcpSec;NcpSec;c:\programme\LANCOM\Advanced_VPN_Client\ncpsec.exe [2008-07-05 45056] R2 rwsrsu;RwsRsu;c:\programme\LANCOM\Advanced_VPN_Client\rwsrsu.exe [2008-07-05 249856] S3 CA_LIC_CLNT;CA License Client;"c:\programme\CA\SharedComponents\CA_LIC\\lic98rmt.exe" [2008-07-05 126976] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c614e1b-8629-11dd-aa2b-000e350c805c}] \Shell\AutoRun\command - F:\WDSetup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{16508595-be64-11d8-a573-806d6172696f}] \Shell\AutoRun\command - G:\run.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f86b3823-a715-11dc-a679-000e350c805c}] \Shell\AutoRun\command - G:\install.EXE id= ver=1.0.0.0 . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file) HKCU-Run-updateMgr - c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe HKCU-Run-MsnMsgr - c:\programme\MSN Messenger\MsnMsgr.Exe HKLM-Run-LManager - c:\progra~1\LAUNCH~1\CPLFL32.EXE HKLM-Run-Realtime Monitor - c:\progra~1\CA\ETRUST~2\realmon.exe HKLM-Run-Logitech Hardware Abstraction Layer - KHALMNPR.EXE MSConfigStartUp-mmtask - c:\program files\MusicMatch\MusicMatch Jukebox\mmtask.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = https://lika.geobasis-bb.de/ mStart Page = hxxp://www.arcor.de mWindow Title = Arcor AG & Co. KG uInternet Connection Wizard,ShellNext = hxxp://192.168.1.12:3128/ken.html uInternet Settings,ProxyServer = ftp=192.168.1.12:3128;http=192.168.1.12:3128;https=192.168.1.12:3128;socks=192.168.1.12:1080 uInternet Settings,ProxyOverride = localhost; uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Download all with Free Download Manager - file://c:\programme\Free Download Manager\dlall.htm IE: Download selected with Free Download Manager - file://c:\programme\Free Download Manager\dlselected.htm IE: Download with Free Download Manager - file://c:\programme\Free Download Manager\dllink.htm IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: {5B7027AD-AA6D-40df-8F56-9560F277D2A5} - {0f420c1e-9ed6-4da5-8b91-eddde887a1dc} - c:\windows\System32\Print602.dll IE: {A156A7A7-14A2-4282-B487-8E25AB68D608} - {E2AC7314-3101-4d2b-B4AB-AD381381717F} - c:\windows\System32\Print602.dll IE: {F242786D-E1AE-49e7-BD01-E1ABCA405241} - {861B46DD-E551-4dab-A464-208F44F7ABEA} - c:\windows\System32\Print602.dll TCP: {AFE84B2D-DCFE-434F-8DB8-CFFC29DBF116} = 192.168.1.1,192.168.1.12 O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-08 17:10:35 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1544) c:\windows\system32\msctfime.ime c:\windows\system32\ncpgina1.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Crypserv.exe c:\programme\Canon\IJPLM\ijplmsvc.exe c:\programme\CA\eTrust Antivirus\InoRpc.exe c:\programme\CA\eTrust Antivirus\InoRT.exe c:\programme\CA\eTrust Antivirus\InoTask.exe c:\windows\system32\ppRemoteService.exe c:\windows\system32\fxssvc.exe c:\windows\system32\scardsvr.exe c:\programme\CA\eTrust PestPatrol Corporate Edition\PPMCActiveDetection.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-08 17:14:47 - PC wurde neu gestartet [gert2] ComboFix-quarantined-files.txt 2008-12-08 16:14:44 Vor Suchlauf: 4,891,541,504 Bytes frei Nach Suchlauf: 6,766,727,168 Bytes frei 212 --- E O F --- 2008-11-14 08:40:23