ComboFix 08-12-15.08 - Administrator 2008-12-16 21:34:33.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1014.458 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboJosef.exe * Resident AV is active [COLOR=RED][B]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.# c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.#\MBX@520@384238.### c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.#\MBX@520@384268.### c:\dokumente und einstellungen\Administrator\Anwendungsdaten\.#\MBX@520@384298.### c:\programme\Microsoft Common c:\windows\system32\drivers\TDSSmaxt.sys c:\windows\system32\qviexio3.dat c:\windows\system32\TDSSbubx.log c:\windows\system32\TDSScfum.dll c:\windows\system32\TDSSfxwp.dll c:\windows\system32\TDSSlxwp.dll c:\windows\system32\TDSSnmxh.dll c:\windows\system32\TDSSnrsr.dat c:\windows\system32\TDSSofxh.dll c:\windows\system32\TDSSosvd.dat c:\windows\system32\TDSSrhym.dll c:\windows\system32\TDSSriqp.dll c:\windows\system32\TDSSsihc.log c:\windows\system32\TDSStkdu.log c:\windows\system32\TDSStkdv.log . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS ((((((((((((((((((((((( Dateien erstellt von 2008-11-16 bis 2008-12-16 )))))))))))))))))))))))))))))) . 2008-12-16 17:38 . 2008-12-16 17:38 d-------- C:\PCWELT 2008-12-16 16:46 . 2008-12-16 20:30 d-------- c:\programme\Spybot - Search & Destroy 2008-12-16 16:46 . 2008-12-16 20:30 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-12-16 12:03 . 2008-12-16 12:03 d-------- c:\programme\Rising 2008-12-16 12:03 . 2008-12-16 12:03 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Rising 2008-12-14 19:51 . 2008-12-14 19:51 d-------- c:\programme\AxBx 2008-12-14 18:53 . 2008-12-14 18:53 d--h----- c:\windows\PIF 2008-12-14 16:51 . 2008-12-14 16:51 d-------- c:\programme\Avira 2008-12-14 16:51 . 2008-12-14 16:51 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2008-12-14 12:35 . 2008-12-14 12:35 410,984 --a------ c:\windows\system32\deploytk.dll 2008-12-14 12:33 . 2008-12-14 17:57 d-------- c:\programme\phase5 2008-12-12 08:01 . 2008-12-16 10:01 d-------- c:\programme\a-squared Free 2008-12-11 12:59 . 2008-12-11 12:59 d-------- c:\programme\temp 2008-12-09 09:54 . 2008-12-09 09:54 d-------- c:\programme\phonostar 2008-12-09 09:54 . 2008-12-13 17:00 d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\phonostar-Player 2008-12-03 16:31 . 2008-12-03 16:31 d-------- c:\programme\Gemeinsame Dateien\TVG 2008-12-03 16:31 . 2008-12-03 16:31 d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TVG 2008-12-03 16:31 . 2008-12-03 16:31 d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DasTelefonbuch Deutschland 2008-12-03 16:26 . 2008-12-03 16:26 d-------- c:\programme\TVG 2008-11-29 17:55 . 2008-11-29 17:55 d-------- c:\windows\Sun 2008-11-27 11:16 . 2008-11-27 11:16 d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Talkback 2008-11-25 17:58 . 2008-11-25 17:58 d-------- C:\backup 2008-11-20 13:44 . 2008-11-21 08:02 44,544 --a------ c:\windows\system32\agremove.exe 2008-11-19 12:06 . 2008-11-21 14:26 32 --a------ c:\windows\DICapture.INI . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-16 20:19 --------- d-----w c:\programme\Mozilla Thunderbird 2008-12-16 11:23 237,168 ----a-w c:\windows\system32\bsmain.exe 2008-12-16 11:23 10,736 ----a-w c:\windows\system32\drivers\RsNTGdi.sys 2008-12-16 11:22 63,088 ----a-w c:\windows\system32\drivers\HookNtos.sys 2008-12-16 11:22 39,024 ----a-w c:\windows\system32\drivers\HOOKREG.sys 2008-12-16 11:22 30,704 ----a-w c:\windows\system32\drivers\HookHelp.sys 2008-12-16 11:22 164,976 ----a-w c:\windows\system32\drivers\HookSys.sys 2008-12-16 11:22 13,808 ----a-w c:\windows\system32\drivers\HookCont.sys 2008-12-16 11:22 113,264 ----a-w c:\windows\system32\RavExt.dll 2008-12-15 14:09 --------- d-----w c:\programme\FreePDF_XP 2008-12-14 11:35 --------- d-----w c:\programme\Java 2008-12-12 15:27 --------- d-----w c:\programme\DI Capture 2008-12-09 06:55 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DWS Power Inside 2008-11-20 08:00 --------- d-----w c:\programme\TrayBackup 2008-11-20 07:09 --------- d-----w c:\programme\Windows Desktop Search 2008-11-14 16:24 --------- d-----w c:\programme\Tools&More 2008-11-14 16:03 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-11-14 16:02 --------- d-----w c:\programme\Lavasoft 2008-11-14 16:02 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2008-11-14 15:07 5,609 ----a-w c:\windows\system32\comsatac.dll 2008-11-13 17:56 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Dateicommander 2008-11-13 15:53 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Macrovision 2008-11-13 15:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision 2008-11-13 15:17 --------- d-----w c:\programme\Vofue 2008-11-13 15:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vofue 2008-11-13 15:12 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2008-11-10 08:08 --------- d-----w c:\programme\Redemption 2008-11-10 08:05 --------- d--h--w c:\programme\InstallShield Installation Information 2008-11-10 07:56 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2008-11-10 07:26 --------- d-----w c:\programme\S.A.D 2008-11-07 19:16 4,608 ----a-w c:\windows\system32\R5CoInst.dll 2008-11-07 19:16 21,888 ----a-w c:\windows\system32\drivers\eps2kt1.sys 2008-11-07 19:16 12,800 ----a-w c:\windows\system32\drivers\smccard.sys 2008-11-07 19:16 --------- d-----w c:\programme\Elster 2008-11-07 15:59 41,150 ----a-w c:\windows\system32\msratnit.dll 2008-11-05 14:54 --------- d-----w c:\programme\Gemeinsame Dateien\Java 2008-10-30 11:01 --------- d-----w c:\programme\Wuestenrot 2008-10-29 07:54 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\WEB.DE 2008-10-29 07:52 --------- d-----w c:\programme\WEB.DE 2008-10-29 07:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEB.DE 2008-10-28 19:33 --------- d-----w c:\programme\Gemeinsame Dateien\SWF Studio 2008-10-28 16:20 --------- d-----w c:\programme\CCleaner 2008-10-28 07:00 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DeepBurner 2008-10-28 06:58 --------- d-----w c:\programme\Astonsoft 2008-10-27 08:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Acronis 2008-10-26 08:21 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\FRITZ! 2008-10-25 08:14 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Toolbars 2008-10-24 16:48 --------- d-----w c:\programme\VS Revo Group 2008-10-24 16:38 --------- d-----w c:\programme\Audacity 2008-10-24 16:38 --------- d-----w c:\programme\Anvil Studio 2008-10-24 16:34 --------- d-----w c:\programme\Audiograbber 2008-10-24 16:34 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Desktopicon 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-24 08:19 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Digitaler Routenplaner 2008-10-24 08:15 --------- d-----w c:\programme\Digitaler Routenplaner 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-23 11:57 --------- d-----w c:\programme\Osborn Software 2008-10-22 12:47 --------- d-----w c:\programme\MSXML 4.0 2008-10-22 09:11 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Steuersoft 2008-10-22 09:04 --------- d-----w c:\programme\Steuersoft 2008-10-22 09:01 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Steuersoft 2008-10-22 07:35 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-10-22 07:26 --------- d-----w c:\programme\Plustek 2008-10-22 07:24 --------- d-----w c:\programme\Gemeinsame Dateien\iMpacct 2008-10-22 07:19 --------- d-----w c:\programme\hp deskjet 930c series 2008-10-22 07:18 --------- d-----w c:\programme\Hewlett-Packard 2008-10-22 07:14 --------- d-----w c:\programme\Brother 2008-10-22 06:41 --------- d-----w c:\programme\Juice 2008-10-21 19:00 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\iPodder 2008-10-21 14:55 --------- d-----w c:\programme\Ikarus 2008-10-21 14:03 --------- d-----w c:\programme\7-Zip 2008-10-21 14:00 --------- d-----w c:\programme\gs8.53 2008-10-21 14:00 --------- d-----w c:\programme\fonts 2008-10-21 12:44 --------- d-----w c:\programme\TDBG6 2008-10-21 12:35 --------- d-----w c:\programme\Microsoft SQL Server 2008-10-21 12:34 --------- d-----w c:\programme\Microsoft.NET 2008-10-21 12:30 392,320 ----a-w c:\windows\system32\drivers\timntr.sys 2008-10-21 12:30 32,768 ----a-w c:\windows\system32\drivers\tifsfilt.sys 2008-10-21 12:30 114,048 ----a-w c:\windows\system32\drivers\snapman.sys 2008-10-21 12:30 --------- d-----w c:\programme\Gemeinsame Dateien\Acronis 2008-10-21 12:29 --------- d-----w c:\programme\Acronis 2008-10-21 12:22 --------- d-----w c:\programme\Network Associates 2008-10-21 12:22 --------- d-----w c:\programme\Gemeinsame Dateien\Network Associates 2008-10-21 12:22 --------- d-----w c:\programme\Gemeinsame Dateien\Cisco Systems 2008-10-21 12:22 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates 2008-10-21 12:15 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\InstallShield 2008-10-21 11:58 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Thunderbird 2008-10-21 10:04 --------- d-----w c:\programme\Microsoft Works 2008-10-21 10:00 --------- d-----w c:\programme\Lenovo Fingerprint Software 2008-10-21 09:56 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Windows Search 2008-10-21 09:55 --------- d-----w c:\programme\Lenovo 2008-10-21 09:49 --------- d-----w c:\programme\Intel 2008-10-21 09:45 --------- d-----w c:\programme\Broadcom 2008-10-21 09:24 --------- d-----w c:\programme\Windows Media Connect 2 2008-10-21 08:20 --------- d-----w c:\programme\microsoft frontpage 2008-10-21 08:18 --------- d-----w c:\programme\Online-Dienste 2008-10-21 08:17 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WEB.DE_WEB.DE SmartDrive Manager"="REM" [X] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "ISUSPM"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128] "PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-09-19 126976] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="REM" [X] "Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2006-10-12 1282048] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-23 138008] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-23 162584] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-23 138008] "TPWAUDAP"="c:\programme\Lenovo\HOTKEY\TpWAudAp.exe" [2008-03-11 54560] "FingerPrintSoftware"="c:\programme\Lenovo Fingerprint Software\fpapp.exe" [2007-03-02 933888] "ShStatEXE"="c:\programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208] "McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320] "Network Associates Error Reporting Service"="c:\programme\Gemeinsame Dateien\Network Associates\TalkBack\tbmon.exe" [2003-10-07 147514] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-17 1194728] "AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-17 1966928] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-16 149024] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-04-25 311296] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-12 196608] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-14 136600] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "RavTask"="c:\programme\Rising\Rav\RavTask.exe" [2008-12-16 211568] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 c:\windows\RTHDCPL.EXE] "AGRSMMSG"="AGRSMMSG.exe" [2006-08-30 c:\windows\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\programme\Lenovo\Bluetooth Software\BTTray.exe [2006-11-13 561213] DocAction (Plustek PL806).lnk - c:\programme\Plustek\Plustek PL806\DocuAction.exe [2008-10-22 57344] OfficeManager Terminerinnerung.lnk - c:\programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe [2008-12-03 201728] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= "c:\windows\system32\RavExt.dll" [2008-12-16 113264] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ATFUS] 2007-02-27 16:26 131072 c:\windows\system32\FpWinlogonNp.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2008-03-17 15:02 34080 c:\programme\Lenovo\HOTKEY\tphklock.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\windows\system32\msdtc.exe"= c:\windows\system32\msdtc.exe:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:MSDTC "c:\\WINDOWS\\system32\\DWRCS.exe"= "c:\\Programme\\Juice\\Juice.exe"= "c:\\Programme\\Steuersoft\\EstPlusNX\\EPStart.exe"= "c:\\Programme\\Steuersoft\\EstPlusNX\\EStPLUS.exe"= "c:\\Programme\\Steuersoft\\EstPlusNX\\EPUpdate.exe"= "c:\\WINDOWS\\system32\\fxsclnt.exe"= "c:\\AWD\\AV-Butler\\VM\\bin\\javaw.exe"= "c:\\AWD\\AV-Butler\\VM\\bin\\java.exe"= "c:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5010:TCP"= 5010:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5010 "5011:TCP"= 5011:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5011 "5012:TCP"= 5012:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5012 "5013:TCP"= 5013:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5013 "5014:TCP"= 5014:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5014 "5015:TCP"= 5015:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5015 "5016:TCP"= 5016:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5016 "5017:TCP"= 5017:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5017 "5018:TCP"= 5018:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5018 "5019:TCP"= 5019:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5019 "5020:TCP"= 5020:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5020 "5021:TCP"= 5021:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5021 "5022:TCP"= 5022:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5022 "5023:TCP"= 5023:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5023 "5024:TCP"= 5024:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5024 "5025:TCP"= 5025:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5025 "5026:TCP"= 5026:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5026 "5027:TCP"= 5027:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5027 "5028:TCP"= 5028:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5028 "5029:TCP"= 5029:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5029 "5030:TCP"= 5030:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Port 5030 "135:TCP"= 135:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.0.0/255.255.0.0:Enabled:RPC EndpointMapper - Port 135 "137:UDP"= 137:UDP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:@xpsp2res.dll,-22001 "138:UDP"= 138:UDP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:@xpsp2res.dll,-22002 "139:TCP"= 139:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:@xpsp2res.dll,-22004 "5000:TCP"= 5000:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Exchange - Port 5000 "5001:TCP"= 5001:TCP:LocalSubNet,10.10.10.0/255.255.255.0,129.129.100.0/255.255.255.0,129.129.190.0/255.255.255.0:Enabled:Exchange - Port 5001 "6129:TCP"= 6129:TCP:DameWare Mini Remote Control Service [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowOutboundPacketTooBig"= 1 (0x1) "AllowOutboundDestinationUnreachable"= 1 (0x1) "AllowOutboundSourceQuench"= 1 (0x1) "AllowRedirect"= 1 (0x1) "AllowInboundEchoRequest"= 1 (0x1) "AllowInboundRouterRequest"= 1 (0x1) "AllowOutboundTimeExceeded"= 1 (0x1) "AllowOutboundParameterProblem"= 1 (0x1) "AllowInboundTimestampRequest"= 1 (0x1) "AllowInboundMaskRequest"= 1 (0x1) R0 RsNTGDI;RsNTGDI;c:\windows\system32\Drivers\RsNTGdi.sys [2008-12-16 10736] R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\windows\system32\DRIVERS\dwvkbd.sys [2007-02-15 26624] R1 HookCont;HookCont;c:\windows\system32\drivers\HookCont.sys [2008-12-16 13808] R1 HookNtos;HookNtos;c:\windows\system32\drivers\HookNtos.sys [2008-12-16 63088] R1 HookReg;HookReg;c:\windows\system32\drivers\HookReg.sys [2008-12-16 39024] R1 HookSys;HookSys;c:\windows\system32\drivers\HookSys.sys [2008-12-16 164976] R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2008-10-21 58464] R1 uiwbrdr;uiwbrdr;c:\windows\system32\DRIVERS\uiwbrdr.sys [2008-10-29 149120] R2 FingerprintServer;Fingerprint Server;c:\windows\system32\FpLogonServ.exe [2007-01-19 61440] R2 FNF5SVC;Fn+F5 Service;c:\programme\LENOVO\HOTKEY\FNF5SVC.exe [2008-03-14 54560] R2 MSSQL$AWDVERTRIEB;SQL Server (AWDVERTRIEB);"c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sAWDVERTRIEB [2006-04-14 28933976] R2 RsCCenter;Rising Process Communication Center;"c:\programme\Rising\Rav\CCenter.exe" [2008-12-16 162416] R3 R5BaseSmc;USB Token Holder Service;c:\windows\system32\DRIVERS\smccard.sys [2008-11-07 12800] R3 token;USB Token Service;c:\windows\system32\DRIVERS\eps2kt1.sys [2008-11-07 21888] S2 RsRavMon;Rising RealTime Monitor;"c:\programme\RISING\RAV\Ravmond.exe" [2008-12-16 395888] S3 QTAEKC;QTAEKC;c:\dokume~1\ADMINI~1\LOKALE~1\Temp\QTAEKC.exe [] *Newly Created Service* - ENTDRV51 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-SkyTel - REM SkyTel.EXE . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Senden an &Bluetooth-Gerät... - c:\programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm Trusted Zone: *.awd.de FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\nwdkof9e.default\ FF - user.js: yahoo.homepage.dontask - trueFF - prefs.js: browser.startup.homepage - hxxp://www.welt.de/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-16 21:44:25 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1096) c:\windows\system32\FpWinLogonNp.dll c:\programme\Lenovo Fingerprint Software\ATCSSINT.dll c:\programme\Lenovo Fingerprint Software\SharedResources.dll c:\programme\Lenovo Fingerprint Software\FPResource.dll c:\programme\Lenovo\HOTKEY\tphklock.dll - - - - - - - > 'lsass.exe'(1152) c:\windows\system32\relog_ap.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Lenovo\Bluetooth Software\bin\btwdins.exe c:\windows\system32\WLTRYSVC.EXE c:\windows\system32\BCMWLTRY.EXE c:\programme\Lavasoft\Ad-Aware\aawservice.exe c:\programme\Rising\Rav\RavStub.exe c:\windows\system32\BRSVC01A.EXE c:\windows\system32\scardsvr.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\windows\system32\BRSS01A.EXE c:\windows\system32\msdtc.exe c:\programme\a-squared Free\a2service.exe c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\DWRCS.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Network Associates\Common Framework\FrameworkService.exe c:\programme\Network Associates\VirusScan\mcshield.exe c:\programme\Network Associates\VirusScan\vstskmgr.exe c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe c:\windows\system32\DWRCST.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\igfxsrvc.exe c:\programme\Rising\Rav\RavMon.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-12-16 21:47:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-16 20:47:20 Vor Suchlauf: 17 Verzeichnis(se), 199,769,800,704 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 203,330,367,488 Bytes frei 346 --- E O F --- 2008-12-11 06:40:58