ComboFix 09-08-02.04 - Klaus 03.08.2009 19:02.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.717 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Klaus\desktop\cf.exe Benutzte Befehlsschalter :: /killall AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00FC-0D24-347CA8A3377C} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-2000478354-688789844-854245398-500 c:\recycler\S-1-5-21-2577798107-3100742089-723526212-500 c:\recycler\S-1-5-21-3819872328-4263654913-335969594-500 c:\recycler\S-1-5-21-450653027-2750932322-4074304791-500 c:\windows\Installer\41920.msi c:\windows\Installer\a2efd.msp c:\windows\Installer\a2f46.msp c:\windows\Installer\a2f77.msp c:\windows\Installer\a2f80.msp c:\windows\Installer\WinRMSrv.msi c:\windows\system\msvbvm60.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-07-03 bis 2009-08-03 )))))))))))))))))))))))))))))) . 2009-08-03 16:31 . 2009-08-03 16:31 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller 2009-08-03 11:13 . 2009-08-03 11:13 580096 -c--a-w- c:\windows\system32\dllcache\user32.dll 2009-08-03 11:10 . 2009-08-03 11:10 -------- d-----w- c:\windows\ERUNT 2009-08-03 10:44 . 2009-08-03 10:44 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2009-08-02 12:26 . 2009-08-02 12:26 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\PrivacIE 2009-08-02 12:26 . 2009-08-02 12:26 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\IECompatCache 2009-08-02 12:17 . 2009-08-02 12:17 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2009-08-02 12:16 . 2009-08-02 12:16 -------- d-sh--w- c:\dokumente und einstellungen\Klaus\IETldCache 2009-08-02 12:06 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-08-02 12:06 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll 2009-08-02 12:06 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll 2009-08-02 12:06 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll 2009-08-02 12:06 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-08-02 12:06 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll 2009-08-02 12:06 . 2009-08-02 12:06 -------- d-----w- c:\windows\ie8updates 2009-08-02 12:05 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll 2009-08-02 12:02 . 2009-08-02 12:04 -------- dc-h--w- c:\windows\ie8 2009-07-27 21:05 . 2009-07-28 05:50 -------- d-----w- c:\dokumente und einstellungen\Klaus\DoctorWeb 2009-07-19 15:10 . 2009-07-19 15:24 -------- d-----w- C:\Gmer 2009-07-05 20:21 . 2009-07-05 20:21 -------- d-----w- c:\windows\system32\wbem\Repository . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-03 17:17 . 2005-05-24 10:40 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Skype 2009-08-03 16:32 . 2005-03-02 09:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-08-03 08:46 . 2008-03-13 07:24 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\skypePM 2009-07-30 19:15 . 2007-09-17 18:29 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\DVD Profiler 2009-07-28 05:25 . 2004-01-27 06:22 82238 ----a-w- c:\windows\system32\perfc007.dat 2009-07-28 05:25 . 2004-01-27 06:22 452612 ----a-w- c:\windows\system32\perfh007.dat 2009-07-26 09:21 . 2009-01-13 23:50 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-07-25 14:19 . 2009-01-14 22:49 3775175 -c--a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-07-25 08:47 . 2009-01-15 08:58 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\SUPERAntiSpyware.com 2009-07-25 08:47 . 2007-04-03 15:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-07-25 08:47 . 2009-01-15 08:58 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-07-19 17:23 . 2007-02-18 14:12 -------- d-----w- c:\programme\Wertpapieranalyse_2006 2009-07-19 16:50 . 2008-03-04 20:43 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-07-19 16:46 . 2005-07-20 17:36 -------- d-----w- c:\programme\palmOne 2009-07-19 16:24 . 2006-01-06 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-13 11:36 . 2009-01-13 23:50 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-07-13 11:36 . 2009-01-13 23:50 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-07-05 13:13 . 2009-06-07 12:30 -------- d-----w- c:\programme\Gigaset DECT 2009-07-03 16:55 . 2004-12-07 18:16 915456 ----a-w- c:\windows\system32\wininet.dll 2009-06-26 16:49 . 2009-06-26 16:49 81920 ------w- c:\windows\system32\ieencode.dll 2009-06-21 20:51 . 2008-10-04 16:24 -------- d-----w- c:\dokumente und einstellungen\Klaus\Anwendungsdaten\dvdcss 2009-06-21 00:22 . 2009-06-21 00:22 -------- d-----w- c:\programme\Avira 2009-06-21 00:22 . 2009-06-21 00:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-06-16 14:36 . 2004-01-27 06:21 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2004-01-27 06:21 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-03 19:09 . 2003-05-30 08:00 1296896 ----a-w- c:\windows\system32\quartz.dll 2009-05-07 15:32 . 2004-01-27 06:21 348160 ----a-w- c:\windows\system32\localspl.dll 2009-07-19 14:33 . 2009-07-19 14:30 134648 ----a-w- c:\programme\mozilla firefox\components\brwsrcmp.dll 2009-01-14 12:00 . 2009-01-14 12:15 23 -csha-w- c:\windows\system32\eeadafb_z.dll 2009-01-14 12:00 . 2009-01-14 12:36 23 -csha-w- c:\windows\system32\Kopie von eeadafb_z.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-08-11 21741864] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "NVIEW"="nview.dll" - c:\windows\system32\nview.dll [2004-04-15 856135] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "00THotkey"="c:\windows\System32\00THotkey.exe" [2003-12-18 253952] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-04-15 4866048] "Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-10-30 192512] "DpUtil"="c:\programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-12-22 155648] "TMESRV.EXE"="c:\programme\TOSHIBA\TME3\TMESRV31.EXE" [2004-01-09 126976] "TMERzCtl.EXE"="c:\programme\TOSHIBA\TME3\TMERzCtl.EXE" [2003-10-29 81920] "TMESBS.EXE"="c:\programme\TOSHIBA\TME3\TMESBS32.EXE" [2003-10-29 77824] "TAudEffect"="c:\programme\Toshiba\TAudEffect\TAudEff.exe" [2004-01-13 209000] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 145920] "NVRotateSysTray"="c:\windows\system32\nvsysrot.dll" [2004-04-15 49152] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-01 802816] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-01 696320] "PhiBtn"="c:\windows\System32\drivers\PhiBtn.exe" [2005-08-25 155648] "Traymin900"="c:\windows\System32\drivers\Tray900.exe" [2005-08-25 266240] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648] "StarMoneyRunEntry"="c:\programme\StarMoney Business 3.0 Deutsche Bank Edition\oflagent.exe" [2008-10-08 58120] "SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-01-19 118784] "TosHKCW.exe"="c:\programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-09-09 49152] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "000StTHK"="000StTHK.exe" - c:\windows\system32\000StTHK.exe [2001-06-23 24576] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2004-04-15 323584] "LTSMMSG"="LTSMMSG.exe" - c:\windows\ltsmmsg.exe [2003-04-18 32768] "TFNF5"="TFNF5.exe" - c:\windows\system32\TFNF5.exe [2003-11-17 73728] "TFncKy"="TFncKy.exe" [BU] "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592] "TPSMain"="TPSMain.exe" - c:\windows\system32\TPSMain.exe [2004-06-28 266240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - c:\treiber\yakumo-blue\BTTray.exe [2004-10-1 565309] Quicken 2007 Zahlungserinnerung.lnk - c:\alt-prog\Intuit\Qiucken14\billmind.exe [2006-11-28 49152] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TPSMain"=TPSMain.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFSServB.exe"= "c:\\Programme\\WebCallDirect.com\\WebCallDirect\\WebCallDirect.exe"= "c:\\Demo\\totalcmd\\TOTALCMD.EXE"= "c:\\Dreambox\\DCC\\DCC.exe"= "c:\\Programme\\FRITZ!fax\\FriFax32.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015 "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016 "500:UDP"= 500:UDP:@xpsp2res.dll,-22017 R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [02.04.2005 15:30 3026] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [27.01.2004 11:21 5760] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.06.2009 02:22 108289] R2 Tmesbs;Tmesbs32;c:\programme\Toshiba\TME3\TMESBS32.EXE [27.01.2004 11:21 77824] R2 Tmesrv;Tmesrv3;c:\programme\Toshiba\TME3\TMESRV31.EXE [27.01.2004 11:21 126976] R3 fhlppppoe;PPPOE/ADSL miniport;c:\windows\system32\drivers\fhlpppoe.sys [29.10.2006 10:27 49200] R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [27.01.2004 11:30 28416] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] S3 CAMTOOLS;Camtools;c:\windows\system32\drivers\CAMTOOLS.sys [06.01.2006 13:10 9856] S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [26.03.2005 14:28 223232] S3 camvid40;Philips SPC 900NC PC Camera;c:\windows\system32\drivers\camdrv41.sys [16.11.2006 16:43 1240576] S3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [01.03.2005 10:36 8448] S3 DVBCAM;DVB CA Module;c:\windows\system32\drivers\dvbcamd.sys [30.08.2002 17:07 6207] S3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [22.05.2007 10:39 53632] S3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [22.05.2007 11:14 263751] S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [22.05.2007 10:39 50759] S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [22.05.2007 10:39 113408] S4 GVTVCZF;GVTVCZF;c:\dokume~1\Klaus\LOKALE~1\Temp\GVTVCZF.exe --> c:\dokume~1\Klaus\LOKALE~1\Temp\GVTVCZF.exe [?] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: add to &BOM - c:\\Demos\\BIET-O~1\\\\AddToBOM.hta IE: Senden an &Bluetooth - c:\treiber\yakumo-blue\btsendto_ie_ctx.htm IE: {{B4E30F61-16D9-11D3-85D1-005004229569} - {85E0B172-04FA-11D1-B7DA-00A0C90348D6} - c:\lotus\org6\organize\bandobjs.dll Trusted Zone: microsoft.com\windowsupdate FF - ProfilePath - c:\dokumente und einstellungen\Klaus\Anwendungsdaten\Mozilla\Firefox\Profiles\sr3lxp7w.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: c:\programme\Mozilla Firefox\plugins\npMDView3D.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-03 19:12 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-616017547-3680707749-1469849038-1011\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A66C5C80-CDD0-F5DC-6E6C-53CDDF523A31}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "paolimbkpgcgekmbekhmbnjiaehjakaa"=hex:61,62,6a,61,6a,69,6b,6c,6d,69,66,6e,6c, 6f,69,6c,69,63,67,70,6e,69,70,61,63,64,63,61,6c,61,62,6f,6a,64,00,00 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1016) c:\windows\system32\nView.dll c:\windows\system32\NVWRSDE.DLL c:\programme\TOSHIBA\TME3\TMEEJMD.DLL c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\btncopy.dll c:\windows\system32\TPwrCfg.DLL c:\windows\system32\TPwrReg.dll c:\windows\system32\TPSTrace.DLL c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Intel\Wireless\Bin\WLKEEPER.exe c:\windows\system32\scardsvr.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\treiber\yakumo-blue\bin\btwdins.exe c:\programme\Toshiba\ConfigFree\CFSvcs.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Analog Devices\SoundMAX\SMAgent.exe c:\programme\Windows Media Player\wmpnetwk.exe c:\windows\system32\wscntfy.exe c:\programme\Toshiba\TOSHIBA Controls\TFncKy.exe c:\programme\Toshiba\TME3\TMEEJME.exe c:\windows\system32\rundll32.exe c:\programme\Apoint2K\ApntEx.exe c:\windows\system32\rundll32.exe c:\windows\system32\TPSBattM.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\rundll32.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-03 19:22 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-03 17:22 Vor Suchlauf: 33 Verzeichnis(se), 12.890.087.424 Bytes frei Nach Suchlauf: 33 Verzeichnis(se), 12.852.166.656 Bytes frei 246