ComboFix 09-05-03.1 - Udo 04.05.2009 3:50.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1217 [GMT 2:00] ausgeführt von:: c:\temp\RootKit-Tools\Cmbo-fx-rename.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) AV: avast! antivirus 4.8.1335 [VPS 090503-0] *On-access scanning disabled* (Updated) AV: Windows Live OneCare *On-access scanning disabled* (Updated) FW: Windows Live OneCare-Firewall *disabled* FW: ZoneAlarm Firewall *disabled* . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . u:\recycler\untitled.bmp . ((((((((((((((((((((((( Dateien erstellt von 2009-04-04 bis 2009-05-04 )))))))))))))))))))))))))))))) . 2009-05-04 01:30 . 2009-04-28 17:05 286208 ----a-w c:\temp\gmer.exe 2009-05-04 01:18 . 2009-05-04 01:07 71168 ----a-w C:\mbr.exe 2009-05-04 01:07 . 2009-05-04 01:07 71168 ----a-w c:\temp\mbr.exe 2009-05-01 20:48 . 2009-05-01 20:48 -------- d-----w c:\dokumente und einstellungen\Admin.CHICAGO\Anwendungsdaten\DAEMON Tools Pro 2009-05-01 14:17 . 2009-05-01 15:53 -------- d-----w c:\programme\Avast4 2009-05-01 14:03 . 2009-05-01 14:11 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-05-01 14:03 . 2009-05-01 14:03 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-04-21 22:52 . 2009-04-21 22:52 3190688 ----a-w c:\temp\ccsetup218.exe 2009-04-14 17:27 . 2009-04-14 17:27 -------- d-----w c:\programme\iPod 2009-04-14 17:27 . 2009-04-14 17:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-04-14 17:27 . 2009-04-14 17:27 -------- d-----w c:\programme\iTunes 2009-04-07 06:23 . 2009-04-07 06:23 -------- d-----w c:\windows\McAfee.com . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-04 01:55 . 2008-05-26 20:46 488 ----a-w c:\windows\Tasks\1-Klick-Wartung.job 2009-05-04 01:55 . 2008-02-24 20:56 6 ---ha-w c:\windows\Tasks\SA.DAT 2009-05-04 01:53 . 2009-01-10 15:18 369632 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-05-04 01:53 . 2009-01-10 15:18 25623840 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-05-04 00:57 . 2009-01-10 14:59 322 ---ha-w c:\windows\Tasks\MP Scheduled Scan.job 2009-05-03 22:00 . 2009-02-23 23:53 954 ----a-w c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1390067357-527237240-725345543-1004.job 2009-05-03 18:10 . 2009-01-19 20:29 -------- d-----w c:\programme\Mozilla Thunderbird 3 Beta 1 2009-05-03 17:35 . 2009-05-03 17:37 2050048 ----a-w c:\windows\Internet Logs\xDB1C.tmp 2009-05-03 15:45 . 2008-10-11 21:35 410 ---ha-w c:\windows\Tasks\User_Feed_Synchronization-{57E05B50-0505-4DFB-8DCE-2BD4EC6D32F3}.job 2009-05-01 15:50 . 2008-02-24 21:21 98040 ----a-w c:\dokumente und einstellungen\Admin.CHICAGO\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-01 14:03 . 2008-02-24 21:41 -------- d-----w c:\programme\Avira 2009-05-01 10:30 . 2002-08-29 12:00 520962 ----a-w c:\windows\system32\perfh007.dat 2009-05-01 10:30 . 2002-08-29 12:00 109888 ----a-w c:\windows\system32\perfc007.dat 2009-05-01 10:24 . 2009-02-20 08:14 5117974 ----a-w c:\windows\Internet Logs\tvDebug.zip 2009-05-01 07:37 . 2008-09-13 13:55 -------- d-----w c:\programme\DVBViewer 2009-04-29 18:29 . 2009-04-29 20:57 1990144 ----a-w c:\windows\Internet Logs\xDB1B.tmp 2009-04-29 11:08 . 2009-04-29 18:08 1989632 ----a-w c:\windows\Internet Logs\xDB1A.tmp 2009-04-29 09:23 . 2009-04-29 09:55 1989120 ----a-w c:\windows\Internet Logs\xDB19.tmp 2009-04-28 22:21 . 2009-04-29 07:05 1988096 ----a-w c:\windows\Internet Logs\xDB18.tmp 2009-04-28 05:27 . 2009-04-28 06:17 1986048 ----a-w c:\windows\Internet Logs\xDB17.tmp 2009-04-24 11:09 . 2009-04-25 04:42 1977856 ----a-w c:\windows\Internet Logs\xDB16.tmp 2009-04-23 20:16 . 2008-06-13 21:33 -------- d-----w c:\programme\Spybot - Search & Destroy 2009-04-23 19:05 . 2009-04-23 19:07 1971712 ----a-w c:\windows\Internet Logs\xDB15.tmp 2009-04-23 06:06 . 2009-04-23 11:26 1968640 ----a-w c:\windows\Internet Logs\xDB14.tmp 2009-04-22 09:17 . 2009-04-22 13:28 1968640 ----a-w c:\windows\Internet Logs\xDB13.tmp 2009-04-14 17:27 . 2008-03-11 02:13 -------- d-----w c:\programme\Gemeinsame Dateien\Apple 2009-04-14 15:19 . 2008-03-11 02:14 276 ----a-w c:\windows\Tasks\AppleSoftwareUpdate.job 2009-04-11 16:28 . 2009-04-11 16:31 183296 ----a-w c:\windows\Internet Logs\xDB12.tmp 2009-04-08 17:19 . 2008-03-02 11:01 -------- d-----w c:\programme\UltraEdit 2009-04-06 09:54 . 2009-04-06 09:56 187392 ----a-w c:\windows\Internet Logs\xDB11.tmp 2009-04-01 06:29 . 2009-04-01 08:08 1842688 ----a-w c:\windows\Internet Logs\xDB10.tmp 2009-04-01 06:29 . 2009-04-01 08:08 1312768 ----a-w c:\windows\Internet Logs\xDBF.tmp 2009-03-30 13:09 . 2009-03-30 13:11 1831936 ----a-w c:\windows\Internet Logs\xDBE.tmp 2009-03-30 06:15 . 2009-02-20 01:52 1046720 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-03-19 14:32 . 2008-01-29 10:01 23400 ----a-w c:\windows\system32\drivers\GEARAspiWDM.sys 2009-03-18 02:48 . 2008-03-11 00:55 -------- d-----w c:\programme\QuickTime 2009-03-13 23:46 . 2009-03-13 23:46 70656 ----a-w c:\windows\cabarc.exe 2009-03-12 23:10 . 2009-03-12 23:11 547328 ----a-w c:\windows\Internet Logs\xDBC.tmp 2009-03-12 23:10 . 2009-03-12 23:11 1754624 ----a-w c:\windows\Internet Logs\xDBD.tmp 2009-03-10 10:57 . 2008-05-11 16:26 98040 ----a-w c:\dokumente und einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-03-06 14:19 . 2002-08-29 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-06 10:30 . 2009-03-06 14:45 1733632 ----a-w c:\windows\Internet Logs\xDBB.tmp 2009-03-03 00:03 . 2002-08-29 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-03-02 00:45 . 2009-03-02 06:49 1716224 ----a-w c:\windows\Internet Logs\xDBA.tmp 2009-02-25 11:02 . 2008-02-25 21:23 98040 ----a-w c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-02-24 23:09 . 2009-02-24 23:09 144 ----a-w c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2009-02-24 07:44 . 2009-02-24 10:39 1713152 ----a-w c:\windows\Internet Logs\xDB9.tmp 2009-02-21 21:43 . 2009-02-21 21:45 1674240 ----a-w c:\windows\Internet Logs\xDB8.tmp 2009-02-21 18:06 . 2009-02-21 18:07 1672192 ----a-w c:\windows\Internet Logs\xDB7.tmp 2009-02-21 14:14 . 2009-02-21 14:17 1697280 ----a-w c:\windows\Internet Logs\xDB6.tmp 2009-02-20 16:49 . 2008-02-24 21:16 78336 ----a-w c:\windows\system32\ieencode.dll 2009-02-15 18:09 . 2009-02-15 18:10 1636352 ----a-w c:\windows\Internet Logs\xDB5.tmp 2009-02-09 14:04 . 2002-08-29 12:00 1846912 ----a-w c:\windows\system32\win32k.sys 2009-02-09 11:21 . 2002-08-29 03:41 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 11:21 . 2002-08-29 12:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 11:21 . 2002-08-29 12:00 111104 ----a-w c:\windows\system32\services.exe 2009-02-09 10:51 . 2002-08-29 12:00 736768 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:51 . 2002-08-29 12:00 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 10:51 . 2002-08-29 12:00 678400 ----a-w c:\windows\system32\advapi32.dll 2009-02-09 10:51 . 2002-08-29 12:00 740352 ----a-w c:\windows\system32\ntdll.dll 2009-02-08 09:55 . 2009-02-08 09:57 1590272 ----a-w c:\windows\Internet Logs\xDB4.tmp 2009-02-06 10:39 . 2002-08-29 12:00 35328 ----a-w c:\windows\system32\sc.exe 2009-02-03 19:57 . 2002-08-29 12:00 56832 ----a-w c:\windows\system32\secur32.dll 2008-03-04 01:19 . 2008-03-04 01:19 0 --sh--w c:\windows\SAA223A20.tmp . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2007-12-01 15360] "H/PC Connection Agent"="d:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872] "Google Update"="c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-02-23 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-08-31 2622232] "RTHDCPL"="c:\windows\RTHDCPL.EXE" [2007-10-16 16855552] "PaperPort PTD"="d:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2006-05-05 36864] "IndexSearch"="d:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2006-05-05 40960] "IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-07-12 178712] "CTxfiHlp"="c:\windows\system32\CTXFIHLP.EXE" [2006-08-11 18944] "CTHelper"="c:\windows\CTHELPER.EXE" [2006-08-11 17920] "AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-08-31 907040] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-08-31 140568] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-04-02 342312] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "avast!"="c:\progra~1\Avast4\ashDisp.exe" [2009-02-05 81000] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-14 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2007-12-01 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Launchy.lnk - c:\programme\Launchy\Launchy.exe [2009-1-8 286720] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= "c:\programme\Qualcomm\Eudora\EuShlExt.dll" [2006-08-17 86016] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] 2007-04-27 11:10 18744 ----a-w c:\windows\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ SsiEfr.exe\[u]0[/u]SsiEfr.exe\[u]0[/u]SsiEfr.exe [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background "Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized "MsnMsgr"="c:\programme\MSN Messenger\msnmsgr.exe" /background "AdobeBridge"="d:\programme\Adobe_CS4\Adobe Bridge CS4\Bridge.exe" -stealth "ICQ"="c:\programme\ICQ6\ICQ.exe" silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" "QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "nwiz"=nwiz.exe /install "BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "GrooveMonitor"="d:\programme\Microsoft Office\Office12\GrooveMonitor.exe" "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" "Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE "NBKeyScan"="d:\programme\Nero\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "d:\programme\Microsoft ActiveSync\rapimgr.exe"= d:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "d:\programme\Microsoft ActiveSync\wcescomm.exe"= d:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "d:\programme\Microsoft ActiveSync\WCESMgr.exe"= d:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server "5353:TCP"= 5353:TCP:Adobe CSI CS4 "51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server "51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server R0 hteejby;hteejby; [x] R2 acedrv10;acedrv10; [x] R2 acehlp10;acehlp10; [x] R2 OcHealthMon;Windows Live OneCare Health Monitor; [x] R2 USBDLM;USBDLM; [x] R3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016] R3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\Drivers\btnetBus.sys [2008-12-07 30088] R3 DRHARD;DRHARD; [x] R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;j:\programme\Common\Database\bin\fbserver.exe [2005-11-17 1527900] R3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\Drivers\IvtBtBus.sys [2008-07-02 26248] R3 SynasUSB;SynasUSB; [x] R3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768] R3 usb2vcom;USB Data Cable;c:\windows\system32\DRIVERS\usb2vcom.sys [2005-12-21 29152] S0 BtHidBus;Bluetooth HID Bus Service;c:\windows\System32\Drivers\BtHidBus.sys [2008-07-31 20616] S0 ssfs0bbc;ssfs0bbc;c:\windows\system32\DRIVERS\ssfs0bbc.sys [2008-08-09 29808] S1 aswSP;avast! Self Protection; [x] S1 Kithara-Krts8;Kithara RealTime Suite 8 Runtime;c:\windows\system32\Krts8.sys [2008-02-01 341376] S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2008-11-21 93776] S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2008-11-21 41744] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-01 108289] S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560] S2 Kithara-kbas6;Kithara Base Driver 6;c:\windows\system32\kbas6.sys [2002-08-02 64576] S2 Kithara-khdw6;Kithara »Hardware Toolkit« 6;c:\windows\system32\khdw6.sys [2002-08-02 27392] S2 Kithara-kioa6;Kithara »I/O Accelerator« 6;c:\windows\system32\kioa6.sys [2002-08-02 36288] S2 Kithara-kkey6;Kithara »Keyboard Toolkit« 6;c:\windows\system32\kkey6.sys [2002-08-02 31200] S2 Kithara-kser6;Kithara »Serial Toolkit« 6;c:\windows\system32\kser6.sys [2002-08-02 54176] S2 Kithara-ktmr6;Kithara »Timer Toolkit« 6;c:\windows\system32\ktmr6.sys [2002-08-02 35168] S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064] S2 SVKP;SVKP;c:\windows\system32\SVKP.sys [2008-02-25 2368] S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2008-12-31 603904] S2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592] S3 ctgame;Game Port;c:\windows\system32\DRIVERS\ctgame.sys [2002-12-30 12160] S3 kncbda;Satelco EasyWatch PCI DVB-C (BDA);c:\windows\system32\DRIVERS\kncbda32.sys [2007-07-26 119784] S3 Mach3;Mach3 Pulseing Service;c:\windows\system32\Drivers\Mach3.sys [2008-01-03 106240] S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2008-12-17 81360] S3 xpvcom;XPVCOM Port;c:\windows\system32\Drivers\xpvcom.sys [2007-03-23 30032] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{036652d6-e1cf-11dd-824c-000000000000}] \Shell\AutoRun\command - M:\setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{82b5e4fe-fc88-11dd-8fe3-001a4d5b863d}] \Shell\AutoRun\command - O:\Menu.exe . Inhalt des "geplante Tasks" Ordners 2009-05-04 c:\windows\Tasks\1-Klick-Wartung.job - d:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-18 12:57] 2009-04-14 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] 2009-05-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1390067357-527237240-725345543-1004.job - c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-02-23 23:53] 2009-05-04 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] 2009-05-03 c:\windows\Tasks\User_Feed_Synchronization-{57E05B50-0505-4DFB-8DCE-2BD4EC6D32F3}.job - c:\windows\system32\msfeedssync.exe [2007-08-13 17:36] . - - - - Entfernte verwaiste Registrierungseinträge - - - - ShellIconOverlayIdentifiers-{8D2223A2-B3C6-4e32-B096-CDD11F628C60} - (no file) SafeBoot-OneCareMP . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.heise.de/ IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx IE: An vorhandenes PDF anfügen - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft E&xel exportieren - d:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - e:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://128.230.73.133/activex/AMC.cab FF - ProfilePath - c:\dokumente und einstellungen\Udo.CHICAGO\Anwendungsdaten\Mozilla\Firefox\Profiles\abka8ev6.default\ FF - prefs.js: browser.search.selectedEngine - eBay FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de/ FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?ei=UTF-8&fr=ytff-ytbm&p= FF - component: c:\dokumente und einstellungen\Udo.CHICAGO\Anwendungsdaten\Mozilla\Firefox\Profiles\abka8ev6.default\extensions\{FCAB6FDD-5585-425b-95C1-5ED856F3FD08}\components\nsCatcher.dll FF - plugin: c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.141.5\npGoogleOneClick7.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np32dsw.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdivx32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npLegitCheckPlugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npnul32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPOFF12.DLL FF - plugin: c:\programme\Mozilla Firefox\plugins\nppdf32.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nppl3260.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin2.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin3.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin4.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin5.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin6.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npqtplugin7.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nprjplug.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\nprpjplug.dll FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll FF - plugin: c:\programme\Photosynth\npPhotosynthMozilla.dll ---- FIREFOX Richtlinien ---- d:\programme\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); d:\programme\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); d:\programme\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); d:\programme\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); d:\programme\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-04 03:57 Windows 5.1.2600 Service Pack 3, v.5755 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1390067357-527237240-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_USERS\S-1-5-21-1390067357-527237240-725345543-1004\Software\Policies\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (S-1-5-21-1390067357-527237240-725345543-1004) @Allowed: (Read) (S-1-5-21-1390067357-527237240-725345543-1004) @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*] "AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG06.00.00.01WORKSTATION"="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" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1600) c:\windows\system32\PCANotify.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll - - - - - - - > 'lsass.exe'(1664) c:\windows\system32\relog_ap.dll - - - - - - - > 'explorer.exe'(2628) c:\windows\system32\WPDShServiceObj.dll d:\programme\Microsoft_Virtual_PC\VPCShExH.DLL c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\programme\Qualcomm\Eudora\EuShlExt.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ZoneLabs\vsmon.exe c:\programme\Avast4\aswUpdSv.exe c:\programme\Avast4\ashServ.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe d:\programme\Nero\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\nvsvc32.exe c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe c:\progra~1\GEMEIN~1\Adobe\ADOBEV~2\Server\bin\VERSIO~2.EXE d:\progra~1\MICROS~3\rapimgr.exe c:\programme\Avast4\ashMaiSv.exe c:\programme\Avast4\ashWebSv.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\iPod\bin\iPodService.exe c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe c:\windows\system32\wscntfy.exe c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe c:\dokumente und einstellungen\Udo.CHICAGO\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe c:\programme\Mozilla Firefox\firefox.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-05-04 4:00 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-04 02:00 Vor Suchlauf: 2.334.588.928 Bytes frei Nach Suchlauf: 2.574.045.184 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=BR56RM multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=BR56RM-BAK 380 --- E O F --- 2009-04-30 20:23