ComboFix 08-12-25.04 - SabS 2008-12-26 14:58:59.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.490 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\SabS\Desktop\Com-boFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\SabS\LOKALE~1\Temp\tmp1.tmp . ((((((((((((((((((((((( Dateien erstellt von 2008-11-26 bis 2008-12-26 )))))))))))))))))))))))))))))) . 2008-12-26 13:11 . 2008-12-26 13:11 d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-26 13:11 . 2008-12-26 13:11 d-------- c:\dokumente und einstellungen\SabS\Anwendungsdaten\Malwarebytes 2008-12-26 13:11 . 2008-12-26 13:11 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-26 13:11 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-26 13:11 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-12-24 12:09 . 2008-12-24 12:09 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BigFishGamesCache 2008-12-14 19:33 . 2008-12-14 19:33 dr-h----- c:\dokumente und einstellungen\SabS\Anwendungsdaten\SecuROM 2008-12-08 19:28 . 2008-12-08 19:28 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NevoSoft Games 2008-12-02 18:05 . 2008-12-02 18:04 410,976 --a------ c:\windows\system32\deploytk.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-26 11:13 --------- d-----w c:\programme\Zylom Games 2008-12-26 11:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-12-26 10:12 --------- d-----w c:\dokumente und einstellungen\SabS\Anwendungsdaten\Zylom 2008-12-23 10:31 --------- d-----w c:\dokumente und einstellungen\SabS\Anwendungsdaten\PlayFirst 2008-12-23 10:31 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-12-22 08:59 --------- d-----w c:\programme\Mozilla Thunderbird 2008-12-19 15:57 --------- d-----w c:\dokumente und einstellungen\SabS\Anwendungsdaten\OpenOffice.org2 2008-12-15 17:31 --------- d-----w c:\programme\OXXOGames 2008-12-15 05:03 --------- d-----w c:\programme\SlySoft 2008-12-08 19:30 --------- d-----w c:\programme\DEUTSCHLAND SPIELT 2008-12-02 18:36 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2008-12-02 17:04 --------- d-----w c:\programme\Java 2008-11-14 17:29 --------- d-----w c:\dokumente und einstellungen\SabS\Anwendungsdaten\funkitron 2008-11-12 07:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreshGames 2008-11-02 15:04 --------- d-----w c:\dokumente und einstellungen\SabS\Anwendungsdaten\FarmerJane 2008-10-31 05:18 --------- d-----w c:\programme\Nero 2008-10-31 05:18 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead 2008-10-31 05:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero 2008-10-31 05:11 --------- d-----w c:\programme\Windows Sidebar 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-10-10 13:20 107,888 ----a-w c:\windows\system32\CmdLineExt.dll 2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll 2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-03-29 17:12 0 -c--a-w c:\programme\temp01 2008-08-23 09:50 32,768 -csha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008082320080824\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-04 68856] "MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "TaskSwitchXP"="c:\programme\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 62976] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-02 136600] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-23 266497] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008] "LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-25 185896] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\Soundman.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Google Updater.lnk - c:\programme\Google\Google Updater\GoogleUpdater.exe [2007-02-02 124152] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIb\\RpcSandraSrv.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XIb\\Win32\\RpcDataSrv.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Messenger\\livecall.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1cf8cbd2-ab67-11dd-b70a-00142a8002b0}] \Shell\Auto\command - F:\activexdebugger32.exe f \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f \Shell\explore\Command - F:\activexdebugger32.exe f \Shell\open\Command - F:\activexdebugger32.exe f [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba6cab60-0338-11dd-b597-0011675c3fe5}] \Shell\AutoRun\command - G:\LaunchU3.exe -a *Newly Created Service* - PROCEXP90 . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe HKLM-Run-Cmaudio - cmicnfg.cpl Notify-WgaLogon - (no file) . ------- Zusätzlicher Suchlauf ------- . uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\dokumente und einstellungen\SabS\Startmenü\Programme\IMVU\Run IMVU.lnk FF - ProfilePath - c:\dokumente und einstellungen\SabS\Anwendungsdaten\Mozilla\Firefox\Profiles\[u]0[/u]6o86z2n.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q= FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q= FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdivx32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npnul32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nppdf32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nppl3260.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nprjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nprpjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-26 15:00:48 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . Zeit der Fertigstellung: 2008-12-26 15:02:51 ComboFix-quarantined-files.txt 2008-12-26 14:01:34 Vor Suchlauf: 3,975,491,584 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 10,708,127,744 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /noguiboot /bootlogo 156 --- E O F --- 2008-12-18 06:04:31