ComboFix 09-02-21.01 - Kathrin 2009-02-23 13:30:15.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2047.1601 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Kathrin\Desktop\hijackthis\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) . ((((((((((((((((((((((( Dateien erstellt von 2009-01-23 bis 2009-02-23 )))))))))))))))))))))))))))))) . 2009-02-23 12:43 . 2009-02-23 12:43 d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-23 12:43 . 2009-02-23 12:43 d-------- c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\Malwarebytes 2009-02-23 12:43 . 2009-02-23 12:43 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-23 12:43 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-23 12:43 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-17 09:09 . 2009-02-17 09:09 54,156 --ah----- c:\windows\QTFont.qfn 2009-02-17 09:09 . 2009-02-17 09:09 1,409 --a------ c:\windows\QTFont.for 2009-02-12 11:05 . 2009-02-12 11:05 100 --a------ C:\index.ini 2009-02-12 10:44 . 2009-02-12 10:44 d-------- c:\programme\Trend Micro 2009-02-12 10:40 . 2009-02-12 10:11 15,688 --a------ c:\windows\system32\lsdelete.exe 2009-02-12 10:12 . 2009-02-12 10:11 64,160 --a------ c:\windows\system32\drivers\Lbd.sys 2009-02-12 10:10 . 2009-02-12 10:10 d-------- c:\programme\Lavasoft 2009-02-12 10:10 . 2009-02-12 10:10 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-02-12 10:10 . 2009-02-12 10:10 d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800} 2009-02-12 09:30 . 2009-02-12 09:30 d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-12 09:14 90,112 ----a-w c:\windows\DUMP663b.tmp 2009-01-08 13:58 --------- d-----w c:\programme\CCleaner 2008-10-23 12:47 22,328 ----a-w c:\dokumente und einstellungen\Kathrin\Anwendungsdaten\PnkBstrK.sys . ((((((((((((((((((((((((((((( SnapShot@2009-02-23_13.06.28,71 ))))))))))))))))))))))))))))))))))))))))) . - 2009-02-12 08:32:02 84,190 ----a-w c:\windows\system32\perfc007.dat + 2009-02-23 12:16:46 84,190 ----a-w c:\windows\system32\perfc007.dat - 2009-02-12 08:32:02 71,302 ----a-w c:\windows\system32\perfc009.dat + 2009-02-23 12:16:46 71,302 ----a-w c:\windows\system32\perfc009.dat - 2009-02-12 08:32:02 457,196 ----a-w c:\windows\system32\perfh007.dat + 2009-02-23 12:16:46 457,196 ----a-w c:\windows\system32\perfh007.dat - 2009-02-12 08:32:02 439,598 ----a-w c:\windows\system32\perfh009.dat + 2009-02-23 12:16:46 439,598 ----a-w c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] "AVMUSBFernanschluss"="c:\dokumente und einstellungen\Kathrin\Lokale Einstellungen\Apps\2.0\ZAY0N5PW.LLH\9KVYYO0B.N1E\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe" [2008-12-03 139264] "PeerGuardian"="d:\peerguardian2\pg2.exe" [2005-09-18 1421824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-28 102400] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-05-31 401408] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-06-03 385024] "EOUApp"="c:\programme\Intel\Wireless\Bin\EOUWiz.exe" [2005-05-31 356352] "NB Probe"="c:\programme\ASUS\NB Probe\NBProbe.exe" [2005-07-27 765952] "Wireless Console"="c:\programme\ASUS\Wireless Console\wcourier.exe" [2005-07-22 57344] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-01 282624] "OM_Monitor"="c:\programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 40960] "Copperhead"="c:\programme\Razer\Copperhead\razerhid.exe" [2005-11-25 155648] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-09-23 7286784] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-12 509784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2008-02-29 29184] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-05-31 22:46 110592 c:\programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.MJPG"= pvmjpg21.dll "aux2"= wdmaud.sys [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ChangeFilterMerit] --a------ 2005-05-17 09:54 40960 c:\programme\tv\Presto! PVR\ChangeFilterMerit.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2005-09-23 07:27 7286784 c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM_Monitor] --a------ 2006-05-16 17:51 57344 c:\programme\OLYMPUS\OLYMPUS Master\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Presto! PVR Monitor] --a------ 2006-02-23 11:24 57344 c:\programme\tv\Presto! PVR\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] --a------ 2006-09-28 13:16 185896 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\Kathrin\\Lokale Einstellungen\\Apps\\2.0\\ZAY0N5PW.LLH\\9KVYYO0B.N1E\\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\\fritzbox-usb-fernanschluss.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-12 64160] R0 R592;R592;c:\windows\system32\drivers\R592.sys [2004-10-15 57088] R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [2004-10-15 27264] R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;c:\programme\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344] R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [2008-06-12 101248] R3 DCamUSBET;USB2.0 1.3M WebCam;c:\windows\system32\drivers\etDevice.sys [2005-10-20 94720] R3 FiltUSBET;ET USB Device Lower Filter;c:\windows\system32\drivers\etFilter.sys [2006-05-31 148352] R3 ScanUSBET;ET USB Still Image Capture Device;c:\windows\system32\drivers\etScan.sys [2005-10-20 6016] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096] S3 bdacap;PC-DTV Receiver;c:\windows\system32\drivers\bdacap.sys [2008-05-01 217728] S3 GLHIDKBFILTER;GLHIDKBFILTER;c:\windows\system32\drivers\GLKbFilter.sys [2008-05-01 11264] S3 SDTHelper;Helper driver for SDT-Tool;\??\c:\dokume~1\Kathrin\LOKALE~1\Temp\Rar$EX00.297\sdthlpr.sys --> c:\dokume~1\Kathrin\LOKALE~1\Temp\Rar$EX00.297\sdthlpr.sys [?] S3 UsbFltr;Razer Copperhead Driver;c:\windows\system32\drivers\copperhd.sys [2008-05-01 11596] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - pgfilter . Inhalt des "geplante Tasks" Ordners 2009-02-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-12 10:11] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.ja-nee.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-23 13:31:36 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1084) c:\programme\Intel\Wireless\Bin\LgNotify.dll . Zeit der Fertigstellung: 2009-02-23 13:32:32 ComboFix-quarantined-files.txt 2009-02-23 12:32:32 ComboFix2.txt 2009-02-23 12:07:18 Vor Suchlauf: 13 Verzeichnis(se), 20.496.220.160 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 20,494,385,152 Bytes frei 143