ComboFix 09-07-03.03 - swadmin 04.07.2009 0:09.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.41.1031.18.1007.540 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\swadmin.PC001\Desktop\cf.exe AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . [i] ADS - WINDOWS: deleted 48 bytes in 1 streams. [/i] (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Internet Explorer.lnk C:\install.exe c:\windows\system32\_000006_.tmp.dll c:\windows\system32\_000007_.tmp.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-06-03 bis 2009-07-03 )))))))))))))))))))))))))))))) . 2009-07-03 21:16 . 2009-07-03 22:06 -------- d-s---w- C:\ComboFix 2009-06-27 18:54 . 2009-06-27 18:54 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET 2009-06-23 13:15 . 2009-06-23 13:16 -------- d-----w- c:\dokumente und einstellungen\Bienz.Mario\Anwendungsdaten\Notepad++ 2009-06-23 13:14 . 2009-06-23 13:17 -------- d-----w- c:\dokumente und einstellungen\Bienz.Mario\Anwendungsdaten\SpieleEntwicklungsKombinat 2009-06-23 12:49 . 2009-06-23 12:49 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\SpieleEntwicklungsKombinat 2009-06-23 11:41 . 2009-06-23 11:41 -------- d-----w- c:\programme\Sunflowers 2009-06-22 09:26 . 2009-06-22 09:27 -------- d-----w- c:\programme\FileZilla FTP Client 2009-06-21 17:42 . 2009-06-21 17:42 -------- d-----w- c:\programme\DiskInternals 2009-06-21 11:09 . 2009-06-23 10:31 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\TeamViewer 2009-06-20 19:25 . 2009-06-20 19:25 -------- d-----w- c:\programme\AZR 2009-06-20 19:04 . 2009-06-20 19:04 -------- d-----w- c:\programme\Object Fix Zip 2009-06-20 18:24 . 2009-06-20 18:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SpieleEntwicklungsKombinat 2009-06-20 18:24 . 2009-06-23 11:12 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys 2009-06-20 18:24 . 2009-06-20 18:24 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys 2009-06-20 18:24 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll 2009-06-13 09:03 . 2009-06-25 19:04 -------- d-----w- c:\dokumente und einstellungen\Bienz.Mario\Tracing 2009-06-07 11:20 . 2009-07-03 18:01 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Tracing 2009-06-07 11:18 . 2009-06-07 11:18 -------- d-----w- c:\programme\Microsoft 2009-06-07 11:18 . 2009-06-07 11:18 -------- d-----w- c:\programme\Windows Live SkyDrive 2009-06-07 11:13 . 2009-06-07 11:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2009-06-05 20:38 . 2009-06-05 20:38 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Auslogics 2009-06-05 20:38 . 2009-06-05 20:38 -------- d-----w- c:\programme\Auslogics 2009-06-05 14:48 . 2009-06-05 14:48 -------- d-----w- c:\programme\NT Registry Optimizer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-07-03 22:09 . 2009-04-20 10:07 -------- d-----w- c:\programme\LogMeIn 2009-07-02 19:14 . 2009-05-30 15:24 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\.purple 2009-06-29 10:04 . 2004-08-04 12:00 78640 ----a-w- c:\windows\system32\perfc007.dat 2009-06-29 10:04 . 2004-08-04 12:00 445526 ----a-w- c:\windows\system32\perfh007.dat 2009-06-28 20:25 . 2009-04-25 17:02 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\FileZilla 2009-06-28 07:32 . 2009-04-18 19:30 -------- d-----w- c:\programme\ElcomSoft 2009-06-27 22:57 . 2009-02-22 16:10 -------- d-----w- c:\programme\a-squared Free 2009-06-23 11:21 . 2007-01-23 16:54 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-06-21 18:27 . 2009-04-25 08:34 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\ICQ 2009-06-21 11:55 . 2009-04-06 20:36 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\TeraCopy 2009-06-13 18:12 . 2009-05-10 12:35 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Nokia 2009-06-07 11:17 . 2009-01-25 13:00 -------- d-----w- c:\programme\Windows Live 2009-06-06 13:49 . 2009-05-17 10:34 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\KompoZer 2009-06-06 09:35 . 2009-04-26 10:31 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Skype 2009-06-01 10:35 . 2009-06-01 10:35 -------- d-----w- c:\programme\pidgin-otr 2009-05-31 10:32 . 2009-05-31 10:28 119461 ----a-w- c:\windows\hpqins00.dat 2009-05-31 10:25 . 2009-05-31 10:25 10134 ----a-r- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Microsoft\Installer\{4CCC7F68-A437-4559-A840-F5E010934951}\ARPPRODUCTICON.exe 2009-05-31 10:17 . 2009-05-31 10:16 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Printer Info Cache 2009-05-31 10:17 . 2009-05-31 10:16 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Image Zone Express 2009-05-31 10:16 . 2009-04-06 16:24 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\HP 2009-05-30 16:01 . 2007-08-26 07:28 -------- d-----w- c:\programme\Eset 2009-05-30 15:53 . 2009-05-30 13:43 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\gtk-2.0 2009-05-30 15:49 . 2009-05-30 15:31 -------- d-----w- c:\programme\fonomo-pidgin 2009-05-30 15:20 . 2009-05-30 15:20 -------- d-----w- c:\programme\Pidgin 2009-05-30 15:20 . 2009-05-30 15:20 103670 ----a-w- c:\programme\uninst.exe 2009-05-30 15:20 . 2009-05-30 15:20 -------- d-----w- c:\programme\share 2009-05-30 15:20 . 2009-05-30 15:20 -------- d-----w- c:\programme\lib 2009-05-30 15:20 . 2009-05-30 15:20 -------- d-----w- c:\programme\etc 2009-05-30 15:20 . 2009-05-30 15:20 -------- d-----w- c:\programme\bin 2009-05-22 14:39 . 2009-05-22 14:39 1915520 ----a-w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe 2009-05-17 14:44 . 2009-01-25 12:18 -------- d-----w- c:\programme\Notepad++ 2009-05-17 14:44 . 2009-05-17 14:43 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Notepad++ 2009-05-17 11:46 . 2009-05-17 11:38 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\CameraWindowDC 2009-05-17 11:38 . 2009-05-17 11:38 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\CANON INC 2009-05-17 11:29 . 2009-05-17 11:29 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\ZoomBrowser EX 2009-05-17 11:16 . 2009-05-17 11:15 -------- d-----w- c:\programme\Canon 2009-05-17 11:15 . 2009-05-17 11:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser 2009-05-17 11:14 . 2009-05-17 11:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Canon 2009-05-17 10:33 . 2009-05-17 10:33 -------- d-----w- c:\programme\KompoZer 2009-05-17 10:17 . 2009-05-17 10:17 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Nvu 2009-05-10 12:35 . 2009-04-06 16:24 -------- d-----w- c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\PC Suite 2009-05-09 12:20 . 2007-09-02 08:22 69632 ----a-w- c:\dokumente und einstellungen\Bienz.Mario\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-05-09 10:20 . 2007-01-23 16:53 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-04-25 07:26 . 2009-04-25 07:26 69632 ----a-w- c:\dokumente und einstellungen\swadmin.PC001\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-17 10:44 . 2009-04-17 10:44 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{EF4F620F-F295-41D7-92C0-6B635709C850}\Installer\CommonCustomActions\msxml6Exec.exe 2009-04-17 10:44 . 2009-04-17 10:44 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{EF4F620F-F295-41D7-92C0-6B635709C850}\Installer\CommonCustomActions\Sleep.exe 2009-04-17 10:44 . 2009-04-17 10:44 3181612 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{EF4F620F-F295-41D7-92C0-6B635709C850}\Installer\CommonCustomActions\vcredistExec.exe 2009-04-17 10:44 . 2009-04-17 10:44 24533728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{EF4F620F-F295-41D7-92C0-6B635709C850}\NokiaSoftwareUpdaterSetup_1.4.98DE.exe 2009-04-09 13:21 . 2008-10-24 19:53 94360 ----a-w- c:\windows\system32\drivers\epfwtdir.sys 2009-04-09 13:18 . 2009-02-06 13:23 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys 2009-04-09 13:10 . 2008-10-24 19:45 113960 ----a-w- c:\windows\system32\drivers\eamon.sys 2009-01-12 19:51 . 2009-01-12 19:51 25292 ----a-w- c:\programme\COPYING.LIB-2 2006-05-03 10:06 . 2009-02-06 20:16 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2009-02-06 20:16 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 13:30 . 2009-02-06 20:16 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}] 2008-10-08 10:22 1172792 ----a-w- c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] "PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016] "Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920] "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152] "LogitechCommunicationsManager"="c:\programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984] "LogitechQuickCamRibbon"="c:\programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-17 1194728] "AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-17 1966928] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-16 149024] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048] "egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-04-09 2029640] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-11 16267776] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360] Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-1-25 66864] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\FileMove Lite FileMove Lite Hilfe.lnk - c:\programme\SDW Software\FileMove Lite\FileMoveLite.chm [2005-1-18 15481] FileMove Lite Website.lnk - c:\programme\SDW Software\FileMove Lite\FileMove Lite Website Deutsch.url [2004-9-21 100] FileMove Lite.lnk - c:\programme\SDW Software\FileMove Lite\FileMove.exe [2005-1-25 208896] c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\ CCleaner.lnk - c:\programme\CCleaner\CCleaner.exe [2009-6-25 1578736] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoCommonGroups"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2008-10-16 18:35 87352 ----a-w- c:\windows\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Sunflowers\\ParaWorld\\bin\\PWServer.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06.02.2009 15:23 107256] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [24.10.2008 21:53 94360] R2 ekrn;ESET Service;c:\programme\Eset\ESET NOD32 Antivirus\ekrn.exe [09.04.2009 15:19 731840] R2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\rainfo.sys [24.07.2008 18:46 12856] R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [20.04.2009 12:08 47640] R2 Prvflder;Prvflder;c:\windows\system32\drivers\prvflder.sys [21.04.2006 09:22 70912] R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [23.01.2007 18:39 36352] S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [05.04.2009 10:53 33176] S4 LMIRfsClientNP;LMIRfsClientNP; [x] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.ch/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Translate with &Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm LSP: c:\windows\system32\wlsppc.dll Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll FF - ProfilePath - c:\dokumente und einstellungen\swadmin.PC001\Anwendungsdaten\Mozilla\Firefox\Profiles\nuqq95tp.default\ FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-07-04 00:11 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(692) c:\windows\system32\LMIinit.dll c:\windows\system32\LMIRfsClientNP.dll - - - - - - - > 'lsass.exe'(752) c:\windows\system32\relog_ap.dll c:\windows\system32\wlsppc.dll . Zeit der Fertigstellung: 2009-07-03 0:13 ComboFix-quarantined-files.txt 2009-07-03 22:13 Vor Suchlauf: 11 Verzeichnis(se), 206'341'025'792 Bytes frei Nach Suchlauf: 11 Verzeichnis(se), 206'429'728'768 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 217 --- E O F --- 2009-03-13 22:04