ComboFix 09-04-18.05 - Lars 18.04.2009 12:19.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.602 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Lars\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) . ((((((((((((((((((((((( Dateien erstellt von 2009-03-18 bis 2009-04-18 )))))))))))))))))))))))))))))) . 2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\Malwarebytes 2009-04-18 08:17 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-04-18 08:17 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-04-18 08:17 . 2009-04-18 08:17 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-04-16 21:08 . 2009-04-16 21:08 -------- d-----w C:\—‚Ó‚§[‚ÞƒƒCƒg‘ÌŒ±”Å 2009-04-16 20:59 . 2009-04-16 21:06 96352315 ----a-w C:\athome_trial.exe 2009-04-15 18:55 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-15 18:55 . 2009-03-06 14:19 286720 ------w c:\windows\system32\dllcache\pdh.dll 2009-04-15 18:55 . 2009-02-09 11:21 111104 ------w c:\windows\system32\dllcache\services.exe 2009-04-15 18:55 . 2009-02-09 10:51 401408 ------w c:\windows\system32\dllcache\rpcss.dll 2009-04-15 18:55 . 2009-02-09 10:51 736768 ------w c:\windows\system32\dllcache\lsasrv.dll 2009-04-15 18:55 . 2009-02-09 10:51 740352 ------w c:\windows\system32\dllcache\ntdll.dll 2009-04-15 18:55 . 2009-02-09 10:51 678400 ------w c:\windows\system32\dllcache\advapi32.dll 2009-04-15 18:55 . 2009-02-09 10:51 473600 ------w c:\windows\system32\dllcache\fastprox.dll 2009-04-15 18:55 . 2009-02-09 10:51 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll 2009-04-15 18:53 . 2009-03-27 06:49 1203922 ------w c:\windows\system32\dllcache\sysmain.sdb 2009-04-15 18:53 . 2008-04-21 21:13 217600 ------w c:\windows\system32\dllcache\wordpad.exe 2009-04-15 18:50 . 2009-04-15 18:50 -------- d-----w c:\programme\Trend Micro 2009-04-15 18:41 . 2009-04-15 18:42 -------- d-----w c:\programme\SUPERAntiSpyware 2009-04-15 18:41 . 2009-04-15 18:42 -------- d-----w c:\dokumente und einstellungen\Lars\Anwendungsdaten\SUPERAntiSpyware.com 2009-04-15 18:22 . 2009-04-15 18:22 -------- d-----w c:\dokumente und einstellungen\Lars\PrivacIE 2009-04-15 18:14 . 2009-04-15 18:14 -------- d-----w c:\dokumente und einstellungen\Lars\IETldCache 2009-04-15 18:12 . 2009-04-15 20:11 1374 ----a-w c:\windows\imsins.BAK 2009-04-15 18:10 . 2009-02-20 16:49 78336 ----a-w c:\windows\system32\ieencode.dll 2009-04-15 06:19 . 2009-04-15 06:19 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F} 2009-04-15 06:17 . 2009-04-15 06:17 -------- d-sh--w C:\FOUND.012 2009-04-15 05:04 . 2009-04-15 05:04 164 ----a-w C:\install.dat 2009-04-15 04:23 . 2009-04-15 04:23 -------- d-----w c:\programme\Trend Micro(2) 2009-04-13 09:10 . 2009-04-13 09:10 -------- d-----w c:\programme\Spybot - Search & Destroy 2009-04-13 08:59 . 2009-04-13 08:59 -------- d-----w c:\programme\Safer Networking 2009-04-13 08:46 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-03-30 08:27 . 2008-06-19 14:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys 2009-03-30 08:26 . 2009-03-30 08:26 -------- d-----w c:\programme\Panda Security 2009-03-30 07:22 . 2009-03-30 07:22 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan 2009-03-30 07:22 . 2009-03-30 07:22 -------- d-----w c:\programme\Security Task Manager 2009-03-29 15:26 . 2009-03-29 15:26 -------- d-----w C:\Sysclean 2009-03-29 10:20 . 2009-03-29 10:20 -------- d-----w c:\dokumente und einstellungen\Lars\DoctorWeb 2009-03-29 09:58 . 2009-03-29 09:58 -------- d-----w c:\programme\CleanUp! 2009-03-21 14:06 . 2009-03-21 14:06 1063424 ------w c:\windows\system32\dllcache\kernel32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-18 10:11 . 2006-06-12 15:24 18364 ----a-w c:\windows\system32\tablet.dat 2009-04-16 16:34 . 2005-04-28 18:15 77778 ----a-w c:\windows\system32\perfc007.dat 2009-04-16 16:34 . 2005-04-28 18:15 423130 ----a-w c:\windows\system32\perfh007.dat 2009-04-15 18:28 . 2009-04-15 17:40 668 ----a-w C:\aaw7boot.log 2009-03-09 03:19 . 2008-12-18 12:50 410984 ----a-w c:\windows\system32\deploytk.dll 2009-03-06 14:19 . 2005-04-28 18:15 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2005-04-28 19:15 826368 ----a-w c:\windows\system32\dllcache\wininet.dll 2009-03-03 00:03 . 2005-04-28 18:15 826368 ----a-w c:\windows\system32\wininet.dll 2009-02-28 04:54 . 2005-04-28 18:29 636072 ----a-w c:\windows\system32\dllcache\iexplore.exe 2009-02-24 08:02 . 2009-02-24 08:02 -------- d-----w c:\programme\MediaMonkey 2009-02-20 10:20 . 2007-05-09 07:13 13824 ------w c:\windows\system32\dllcache\ieudinit.exe 2009-02-20 10:20 . 2005-04-28 18:15 70656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe 2009-02-20 05:14 . 2005-04-28 18:15 161792 ----a-w c:\windows\system32\dllcache\ieakui.dll 2009-02-18 09:52 . 2009-02-18 09:52 -------- d-----w c:\programme\ExplorerXP 2009-02-10 17:03 . 2008-10-15 06:32 2068352 ------w c:\windows\system32\dllcache\ntkrnlpa.exe 2009-02-10 17:03 . 2004-08-03 22:50 2068352 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 13:04 . 2008-10-15 06:31 1846912 ------w c:\windows\system32\dllcache\win32k.sys 2009-02-09 13:04 . 2005-04-28 18:15 1846912 ----a-w c:\windows\system32\win32k.sys 2009-02-09 11:21 . 2008-10-15 06:32 2191360 ------w c:\windows\system32\dllcache\ntoskrnl.exe 2009-02-09 11:21 . 2005-04-28 18:15 2191360 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 11:21 . 2008-10-15 06:32 2026496 ------w c:\windows\system32\dllcache\ntkrpamp.exe 2009-02-09 11:21 . 2008-10-15 06:32 2147840 ------w c:\windows\system32\dllcache\ntkrnlmp.exe 2009-02-09 11:21 . 2005-04-28 18:15 111104 ----a-w c:\windows\system32\services.exe 2009-02-09 10:51 . 2005-04-28 18:15 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 10:51 . 2005-04-28 18:15 736768 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:51 . 2005-04-28 18:15 740352 ----a-w c:\windows\system32\ntdll.dll 2009-02-09 10:51 . 2005-04-28 18:15 678400 ----a-w c:\windows\system32\advapi32.dll 2009-02-06 10:39 . 2005-04-28 18:15 35328 ----a-w c:\windows\system32\sc.exe 2009-02-06 10:39 . 2005-04-28 18:15 35328 ----a-w c:\windows\system32\dllcache\sc.exe 2009-02-03 19:57 . 2009-02-03 19:57 56832 ------w c:\windows\system32\dllcache\secur32.dll 2009-02-03 19:57 . 2005-04-28 18:15 56832 ----a-w c:\windows\system32\secur32.dll 2009-01-12 18:29 . 2006-06-09 17:19 59584 ----a-w c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-03-17 16:34 . 2006-11-04 12:08 24192 ----a-w c:\dokumente und einstellungen\Lars\usbsermptxp.sys 2008-03-17 16:34 . 2006-11-04 12:08 22768 ----a-w c:\dokumente und einstellungen\Lars\usbsermpt.sys 2006-11-04 12:10 . 2006-11-04 12:10 9232 ----a-w c:\dokumente und einstellungen\Lars\mqdmmdfl.sys 2006-11-04 12:10 . 2006-11-04 12:10 92064 ----a-w c:\dokumente und einstellungen\Lars\mqdmmdm.sys 2006-11-04 12:10 . 2006-11-04 12:10 79328 ----a-w c:\dokumente und einstellungen\Lars\mqdmserd.sys 2006-11-04 12:10 . 2006-11-04 12:10 66656 ----a-w c:\dokumente und einstellungen\Lars\mqdmbus.sys 2006-11-04 12:10 . 2006-11-04 12:10 6208 ----a-w c:\dokumente und einstellungen\Lars\mqdmcmnt.sys 2006-11-04 12:10 . 2006-11-04 12:10 5936 ----a-w c:\dokumente und einstellungen\Lars\mqdmwhnt.sys 2006-11-04 12:10 . 2006-11-04 12:10 4048 ----a-w c:\dokumente und einstellungen\Lars\mqdmcr.sys 2006-06-09 17:18 . 2006-06-09 17:18 137 ----a-w c:\dokumente und einstellungen\Lars\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952] "AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-05-28 528384] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2005-03-17 106496] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-14 32768] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "IPHSend"="c:\programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe" [2006-02-17 124520] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032] "HostManager"="c:\programme\Gemeinsame Dateien\AOL\1157055162\ee\AOLSoftware.exe" [2006-05-23 50760] "eRecoveryService"="c:\programme\Acer\eRecovery\Monitor.exe" [2005-06-20 352256] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-17 67584] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ TabUserW.exe.lnk - c:\windows\system32\Wtablet\TabUserW.exe [2003-12-4 77824] Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-12 110592] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aolsoftware.exe"= "c:\\Programme\\Gemeinsame Dateien\\AOL\\1157055162\\ee\\aim6.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\RagTime Privat\\RagTime 5.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 DMSKSSRh;DMSKSSRh; [x] R3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2007-04-04 83208] R3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s716mdfl.sys [2007-04-04 15112] R3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s716mdm.sys [2007-04-04 108552] R3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s716mgmt.sys [2007-04-04 100360] R3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\DRIVERS\s716nd5.sys [2007-04-04 23176] R3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s716obex.sys [2007-04-04 98568] R3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\DRIVERS\s716unic.sys [2007-04-04 98952] R3 XDva092;XDva092; [x] S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544] . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank mStart Page = about:blank DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} - hxxp://dist.globalgamecdn.com/dist/neffy/NeffyLauncher.cab FF - ProfilePath - c:\dokumente und einstellungen\Lars\Anwendungsdaten\Mozilla\Firefox\Profiles\2uqtiqr5.default\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-18 12:21 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\5.0] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\BuildInfo] @DACL=(02 0000) @SACL= "SR_No"="DVD050111-02" "Setup"="041027" "UG"="040827" "RC"="040916a" "Help"="040827" "Readme"="040827" "Skin"="Acer" "iPower"="040713" "OLREG"="041130" "OLREG_RC"="041223" "Ver"="5.00.2214" "UI"="2027_Sym" "Filter(DShow)"="2214_Sym(g)" "Kernel(Utility)"="1915" "AVSetting"="2109_SYM" "Other"="1215" [HKEY_LOCAL_MACHINE\software\CyberLink\PowerDVD\UserReg] @DACL=(02 0000) @SACL= "SR_No"="DVD050111-02" "Prod_Name"="PowerDVD" "Prod_Ver"="5.0" "CustomerNO"="3612" "Hardware"="Desktop PC" "Channel"="OEM" "RegVType"="OEM 2CH" [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\DependentComponents] @DACL=(02 0000) @SACL= "AvRack"="AvRack" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*] "91A14B995DF7C0B42ABAA16065968F3A"="c:\\Programme\\Alias\\Maya7.0\\presets\\Ashli\\" [HKEY_LOCAL_MACHINE\software\muvee Technologies\[u]0[/u]30625] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\muvee Technologies\muvee SDK - NTI_5] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\NewTech Infosystems\NTI CD-MakerV7\OEMUrl] @DACL=(02 0000) @SACL= "Home"="http://global.acer.com" [HKEY_LOCAL_MACHINE\software\Realtek Semiconductor Corp.\Realtek AC'97 Audio] @DACL=(02 0000) @SACL= . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(516) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2352) c:\windows\system32\tabhook.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-04-18 12:23 ComboFix-quarantined-files.txt 2009-04-18 10:23 ComboFix2.txt 2009-04-18 10:14 Vor Suchlauf: 42 Verzeichnis(se), 21.043.904.512 Bytes frei Nach Suchlauf: 42 Verzeichnis(se), 21.028.634.624 Bytes frei Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4 242 --- E O F --- 2009-04-15 20:11