ComboFix 09-11-20.05 - andreas 21.11.2009 21:19.3.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.733 [GMT 1:00] ausgeführt von:: C:\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C} AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\System32\Drivers\a347scsi.sys . . . ist infiziert!! . ((((((((((((((((((((((( Dateien erstellt von 2009-10-21 bis 2009-11-21 )))))))))))))))))))))))))))))) . 2009-11-21 19:51 . 2004-08-04 05:59 95360 -c--a-w- c:\windows\system32\dllcache\atapi.sys 2009-11-21 19:51 . 2004-08-04 05:59 95360 ----a-w- c:\windows\system32\drivers\atapi.sys 2009-11-21 18:37 . 2009-11-21 18:37 -------- d-----w- c:\programme\CleanUp! 2009-11-21 18:35 . 2009-11-21 17:10 3570920 ----a-r- C:\ComboFix.exe 2009-11-21 16:47 . 2009-11-21 16:47 -------- d-----w- c:\programme\CCleaner 2009-11-20 08:47 . 2009-11-20 08:47 -------- d-----w- c:\dokumente und einstellungen\Annette\Anwendungsdaten\skypePM 2009-11-20 08:45 . 2009-11-20 08:49 -------- d-----w- c:\dokumente und einstellungen\Annette\Anwendungsdaten\Skype 2009-11-20 08:04 . 2009-11-20 08:04 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-11-20 08:04 . 2009-11-20 08:04 -------- d-----w- c:\dokumente und einstellungen\andreas\Anwendungsdaten\skypePM 2009-11-20 08:02 . 2009-11-20 15:38 -------- d-----w- c:\dokumente und einstellungen\andreas\Anwendungsdaten\Skype 2009-11-20 07:08 . 2009-11-20 07:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-11-20 07:08 . 2009-11-20 07:08 -------- d-----r- c:\programme\Skype 2009-11-20 07:08 . 2009-11-20 07:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-11-20 07:04 . 2009-11-20 07:04 -------- d-----w- c:\dokumente und einstellungen\andreas\Anwendungsdaten\Leadertech 2009-11-20 07:03 . 2009-04-30 23:02 539160 ----a-r- c:\windows\system32\LVUI2RC.dll 2009-11-20 07:03 . 2009-04-30 23:02 539160 ----a-r- c:\windows\system32\LVUI2.dll 2009-11-20 07:03 . 2009-04-30 22:57 416280 ----a-r- c:\windows\system32\lvcodec2.dll 2009-11-20 07:03 . 2009-04-30 23:03 6754712 ----a-r- c:\windows\system32\drivers\lvuvc.sys 2009-11-20 07:02 . 2009-04-30 23:01 265496 ----a-r- c:\windows\system32\drivers\lvrs.sys 2009-11-20 07:02 . 2009-04-30 22:57 199192 ----a-r- c:\windows\system32\lvci1201278.dll 2009-11-20 07:02 . 2009-04-30 22:39 34068 ----a-r- c:\windows\system32\Repository.reg 2009-11-20 07:02 . 2009-04-30 23:00 114712 ----a-r- c:\windows\system32\drivers\lvpopflt.sys 2009-11-20 07:01 . 2009-04-30 23:03 23832 ----a-r- c:\windows\system32\drivers\lvuvcflt.sys 2009-11-20 07:00 . 2009-11-20 07:03 -------- d-----w- c:\programme\Gemeinsame Dateien\LogiShrd 2009-11-20 07:00 . 2009-11-21 09:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LogiShrd 2009-11-20 07:00 . 2009-11-20 07:00 -------- d-----w- c:\programme\Logitech 2009-11-20 06:56 . 2004-08-04 07:07 59264 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2009-11-20 06:56 . 2004-08-04 07:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2009-11-18 13:04 . 2007-05-16 15:45 3497832 ----a-w- c:\windows\system32\d3dx9_34.dll 2009-11-18 13:04 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll 2009-11-15 16:08 . 2009-11-15 16:08 -------- d-----w- C:\Log 2009-11-15 16:08 . 2009-11-15 16:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Clarus 2009-11-15 16:01 . 2009-11-15 16:01 -------- d-----w- c:\programme\Clarus 2009-11-15 06:43 . 2009-11-15 06:46 -------- d-----w- c:\programme\MatheTiger3 2009-11-09 19:08 . 2009-11-09 19:08 -------- d-----w- c:\programme\iPod 2009-11-09 18:58 . 2009-11-09 18:58 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-10-26 15:58 . 2009-11-09 19:09 -------- d-----w- c:\programme\iTunes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-21 20:04 . 2001-08-23 12:00 74996 ----a-w- c:\windows\system32\perfc007.dat 2009-11-21 20:04 . 2001-08-23 12:00 415470 ----a-w- c:\windows\system32\perfh007.dat 2009-11-21 16:31 . 2009-11-20 08:43 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs 2009-11-21 16:31 . 2009-11-20 07:01 0 ----a-w- c:\windows\system32\drivers\logiflt.iad 2009-11-20 18:40 . 2004-12-14 10:33 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-11-20 15:32 . 2003-12-05 11:24 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-20 15:29 . 2004-02-15 12:46 -------- d-----w- c:\programme\Bildschirmschoner 2009-11-16 09:58 . 2003-12-05 11:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-11-09 19:08 . 2009-08-08 06:53 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-11-07 15:52 . 2004-12-18 12:36 71352 ----a-w- c:\dokumente und einstellungen\andreas\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-21 06:41 . 2009-08-08 10:37 -------- d-----w- c:\dokumente und einstellungen\Annette\Anwendungsdaten\Apple Computer 2009-10-11 08:31 . 2005-04-09 07:00 -------- d-----w- c:\programme\Java 2009-10-11 08:27 . 2009-10-11 08:27 152576 ----a-w- c:\dokumente und einstellungen\andreas\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-10-11 08:04 . 2004-04-06 20:16 -------- d-----w- c:\programme\Easy CD-DA Extractor 6 2009-09-13 08:08 . 2009-09-13 08:08 58828 ---ha-w- c:\windows\system32\mlfcache.dat 2009-08-28 17:42 . 2009-08-08 06:53 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys 2009-08-28 17:42 . 2009-08-08 06:53 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll 2006-10-07 20:54 . 2006-05-28 16:45 390023 --sha-r- c:\programme\wunauclt.zip 2006-10-07 20:54 . 2006-05-28 16:45 390023 --sha-r- c:\programme\wunauclt.tbe 2006-08-27 15:38 . 2006-08-27 15:39 1015973 --sha-r- c:\programme\serial.zip 2006-08-27 15:38 . 2006-08-27 15:39 1015973 --sha-r- c:\programme\serial.tde 2006-08-27 15:19 . 2006-08-27 15:19 56239 ----a-w- c:\programme\svchosts.tbe . ((((((((((((((((((((((((((((( SnapShot@2009-11-21_19.14.41 ))))))))))))))))))))))))))))))))))))))))) . + 2009-11-21 20:00 . 2009-11-21 20:00 16384 c:\windows\Temp\Perflib_Perfdata_5b8.dat + 2001-08-23 12:00 . 2009-11-21 20:04 62344 c:\windows\system32\perfc009.dat - 2001-08-23 12:00 . 2009-11-21 18:57 62344 c:\windows\system32\perfc009.dat + 2001-08-23 12:00 . 2009-11-21 20:04 401064 c:\windows\system32\perfh009.dat - 2001-08-23 12:00 . 2009-11-21 18:57 401064 c:\windows\system32\perfh009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 176128] "C-Media Echo Control"="c:\programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 147456] "PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2004-03-10 406016] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112] "svchospt"="c:\windows\system32\svchospt.exe" [2008-05-27 933888] "DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2006-11-12 157592] "ToolBoxFX"="c:\programme\Hewlett-Packard\ToolBoxFX\bin\HPTLBXFX.exe" [2006-06-15 49152] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-05-14 55296] "C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2002-07-12 1581056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\andreas\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2008-11-7 517384] c:\dokumente und einstellungen\andreas\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2008-11-7 517384] c:\dokumente und einstellungen\andreas\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2008-11-7 517384] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ MA111 Configuration Utility.lnk - c:\programme\NETGEAR\MA111 Configuration Utility\wlancfg.exe [2005-8-25 459264] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] Watch.lnk - c:\programme\MUSTEK 1248UB\Driver\WATCH.exe [2008-3-23 364544] c:\dokumente und einstellungen\andreas\Startmen\Programme\Autostart\ Logitech . Produktregistrierung.lnk - c:\programme\Logitech\Logitech WebCam Software\eReg.exe [2008-11-7 517384] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Mein Sparbuch heute.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk backup=c:\windows\pss\WISO Mein Sparbuch heute.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^andreas^Startmenü^Programme^Autostart^Samsung Auto Backup Guage.lnk] path=c:\dokumente und einstellungen\andreas\Startmenü\Programme\Autostart\Samsung Auto Backup Guage.lnk backup=c:\windows\pss\Samsung Auto Backup Guage.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^andreas^Startmenü^Programme^Autostart^Samsung Auto Backup Real-Time Daemon.lnk] path=c:\dokumente und einstellungen\andreas\Startmenü\Programme\Autostart\Samsung Auto Backup Real-Time Daemon.lnk backup=c:\windows\pss\Samsung Auto Backup Real-Time Daemon.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^andreas^Startmenü^Programme^Autostart^Samsung Auto Backup Scheduler.lnk] path=c:\dokumente und einstellungen\andreas\Startmenü\Programme\Autostart\Samsung Auto Backup Scheduler.lnk backup=c:\windows\pss\Samsung Auto Backup Scheduler.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "InterBaseServer"=3 (0x3) "InterBaseGuardian"=2 (0x2) "MySQL"=2 (0x2) "UleadBurningHelper"=2 (0x2) "MDM"=2 (0x2) "Tomcat5"=3 (0x3) "rpcapd"=3 (0x3) "OracleOraDb10g_home1TNSListener"=2 (0x2) "IDriverT"=3 (0x3) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) "AdobeActiveFileMonitor5.0"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SmartFTP\\SmartFTP.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "e:\\Programme\\Ubisoft\\DIE SIEDLER - Aufstieg eines Königreichs\\base\\bin\\Settlers6.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:@xpsp2res.dll,-22010 "3540:UDP"= 3540:UDP:@xpsp2res.dll,-22011 "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 TwkMs;CHIPDRIVE Maus Adapter;c:\windows\system32\drivers\TWKMS.SYS [24.03.2004 19:18 4828] R2 thomedav;TOFS File System;c:\windows\system32\drivers\thomedav.sys [27.12.2008 18:40 83072] R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;c:\windows\system32\drivers\TWKPCSC.SYS [24.03.2004 19:18 11612] R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;c:\windows\SCARDS32.EXE [24.03.2004 19:18 265216] R3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\drivers\TWKPNP.SYS [24.03.2004 19:18 5550] S2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\system32\DRIVERS\nvtvsnd.sys --> c:\windows\system32\DRIVERS\nvtvsnd.sys [?] S3 jnv4_mib;jnv4_mib;\??\c:\dokume~1\andreas\LOKALE~1\Temp\jnv4_mib.sys --> c:\dokume~1\andreas\LOKALE~1\Temp\jnv4_mib.sys [?] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512] S3 TMPassthruMP;TMPassthruMP;c:\windows\system32\DRIVERS\TMPassthru.sys --> c:\windows\system32\DRIVERS\TMPassthru.sys [?] S3 V2210VID;DigitalCam Pro;c:\windows\system32\drivers\V2210vid.sys [19.04.2004 14:04 434368] S4 OracleOraDb10g_home1TNSListener;OracleOraDb10g_home1TNSListener;e:\oracle\product\10.1.0\Db_1\BIN\TNSLSNR --> e:\oracle\product\10.1.0\Db_1\BIN\TNSLSNR [?] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.02.2007 19:02 646392] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} - hxxps://banking.seb.de/hbci/plugin/AXFOAM.CAB DPF: {CAFECAFE-0013-0001-0017-ABCDEFABCDEF} FF - ProfilePath - c:\dokumente und einstellungen\andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\xx3dy6bm.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:de-DE:official FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-21 21:33 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86DF4008]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf76b3fc3 \Driver\ACPI -> ACPI.sys @ 0xf75eccb8 \Driver\atapi -> 0x86df4008 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876 ParseProcedure -> ntoskrnl.exe @ 0x8057016c \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876 ParseProcedure -> ntoskrnl.exe @ 0x8057016c NDIS: Realtek RTL8139/810X Family PCI Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf7484bc3 PacketIndicateHandler -> NDIS.sys @ 0xf7472a0b SendHandler -> NDIS.sys @ 0xf7486b31 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraDb10g_home1TNSListener] "ImagePath"="e:\oracle\product\10.1.0\Db_1\BIN\TNSLSNR " . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(736) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-11-21 21:37 ComboFix-quarantined-files.txt 2009-11-21 20:36 Vor Suchlauf: 5.471.158.272 Bytes frei Nach Suchlauf: 5.434.548.224 Bytes frei - - End Of File - - 83E636DFB0AC78070C2469C71B72030D