ComboFix 10-01-04.01 - cato 07.01.2010 21:49:49.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1014.535 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\cato\Desktop\Combo-fix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Vorheriger Suchlauf ------- . c:\recycler\S-1-5-21-3239730011-776884081-2994033645-500 c:\windows\kb913800.exe c:\windows\system32\dumphive.exe c:\windows\system32\Process.exe c:\windows\system32\SrchSTS.exe c:\windows\system32\tmp.reg c:\windows\system32\VCCLSID.exe c:\windows\system32\WS2Fix.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-12-07 bis 2010-01-07 )))))))))))))))))))))))))))))) . 2010-01-07 11:14 . 2010-01-07 11:14 -------- d-----w- c:\dokumente und einstellungen\cato\Anwendungsdaten\Malwarebytes 2010-01-07 11:14 . 2009-12-30 13:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 11:13 . 2010-01-07 11:25 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-07 11:13 . 2010-01-07 11:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-07 11:13 . 2009-12-30 13:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-07 01:20 . 2010-01-07 01:21 -------- d-----w- C:\rsit 2010-01-07 01:20 . 2010-01-07 01:20 -------- d-----w- c:\programme\trend micro 2010-01-07 01:10 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-01-07 01:10 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2010-01-07 01:10 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2010-01-07 01:10 . 2010-01-07 01:10 -------- d-----w- c:\programme\Avira 2010-01-07 01:10 . 2010-01-07 01:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2010-01-07 00:56 . 2010-01-07 00:57 1872472 ----a-w- C:\SmitfraudFix.exe 2010-01-07 00:43 . 2010-01-07 14:26 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-01-06 23:33 . 2010-01-07 00:46 -------- d-----w- c:\dokumente und einstellungen\cato\Lokale Einstellungen\Anwendungsdaten\Trend Micro 2010-01-06 22:48 . 2010-01-06 22:48 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Trend Micro 2010-01-06 22:23 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2010-01-06 22:22 . 2010-01-06 22:22 -------- d-----w- c:\programme\Panda Security 2010-01-06 22:14 . 2010-01-07 14:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-01-06 22:11 . 2010-01-06 22:11 -------- d-----w- c:\programme\CCleaner 2010-01-06 21:24 . 2010-01-06 21:25 -------- d-----w- c:\dokumente und einstellungen\cato\Anwendungsdaten\QuickScan 2010-01-06 19:26 . 2010-01-06 21:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-07 14:53 . 2009-01-14 12:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-01-06 21:23 . 2006-08-17 11:22 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-01-06 18:33 . 2008-05-15 21:02 85336 ----a-w- c:\dokumente und einstellungen\cato\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-06 18:03 . 2007-05-22 19:58 -------- d-----w- c:\dokumente und einstellungen\daniela\Anwendungsdaten\Skype 2010-01-04 17:47 . 2006-08-17 02:08 485476 ----a-w- c:\windows\system32\perfh007.dat 2009-12-08 23:30 . 2008-06-01 10:59 -------- d-----w- c:\programme\DIXI4 2009-11-01 18:00 . 2009-11-01 17:59 1925024 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe 2009-10-29 05:19 . 2006-08-17 02:08 674304 ----a-w- c:\windows\system32\wininet.dll 2009-10-21 06:00 . 2006-08-17 02:08 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 06:00 . 2006-08-17 02:07 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 14:58 . 2004-08-03 23:00 263552 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:51 . 2006-08-17 02:07 267776 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:51 . 2006-08-17 02:07 69632 ----a-w- c:\windows\system32\raschap.dll 2009-10-12 13:51 . 2006-08-17 02:07 113152 ----a-w- c:\windows\system32\rastls.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-16 68856] "ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="c:\programme\Apoint\Apoint.exe" [2004-11-17 118784] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-04-05 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-04-05 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-04-05 118784] "SkyTel"="SkyTel.EXE" [2006-05-16 2879488] "AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-08-25 53248] "Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056] "SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2006-08-10 217088] "ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768] "Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2006-02-14 176128] "VAIO Update 2"="c:\programme\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552] "SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975] "EPSON Stylus DX4200 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 98304] "PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-28 222720] "RoxWatchTray"="c:\programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-08-16 236016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360] "PcSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 1634304] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon] 2006-06-20 14:11 73728 ----a-w- c:\windows\system32\VESWinlogon.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Roxio\\Media Manager 9\\MediaManager9.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [06.01.2010 23:23 28552] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.01.2010 02:10 108289] R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?] R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [17.08.2006 03:09 226304] S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\programme\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?] . Inhalt des "geplante Tasks" Ordners . . ------- Zusätzlicher Suchlauf ------- . uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/de/ IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 IE: RSS-Support-Site zu VAIO Information FLOW hinzufügen - c:\programme\Sony\VAIO Information FLOW\aiesc.html Trusted Zone: sony-europe.com Trusted Zone: sonystyle-europe.com Trusted Zone: vaio-link.com FF - ProfilePath - c:\dokumente und einstellungen\cato\Anwendungsdaten\Mozilla\Firefox\Profiles\3z81yraf.default\ FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-07 21:53 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(864) c:\windows\system32\VESWinlogon.dll c:\windows\system32\midimap.dll . Zeit der Fertigstellung: 2010-01-07 21:54:57 ComboFix-quarantined-files.txt 2010-01-07 20:54 Vor Suchlauf: 8 Verzeichnis(se), 34.412.949.504 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 34.381.438.976 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect - - End Of File - - 44D6C20E81F9CBDC3E716F1FA9684D91