ComboFix 10-04-01.02 - Marko 02.04.2010 15:27:12.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2047.1484 [GMT 2:00] ausgeführt von:: e:\mp3player\test.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat c:\dokumente und einstellungen\Marko\Anwendungsdaten\Desktopicon c:\dokumente und einstellungen\Marko\Anwendungsdaten\Desktopicon\eBayShortcuts.exe c:\dokumente und einstellungen\Marko\Anwendungsdaten\WindowsApplication1 c:\dokumente und einstellungen\Marko\Anwendungsdaten\WindowsApplication1\WindowsApplication1.config c:\windows\AppPatch\AcAdProc.dll ----- BITS: Eventuell infizierte Webseiten ----- hxxp://auj+|Cv+@J:NGD_DQ{ztHG.XgIpmL . ((((((((((((((((((((((( Dateien erstellt von 2010-03-02 bis 2010-04-02 )))))))))))))))))))))))))))))) . 2010-04-02 12:48 . 2010-04-02 12:48 388096 ----a-r- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-04-02 12:48 . 2010-04-02 12:48 -------- d-----w- c:\programme\TrendMicro 2010-04-01 22:42 . 2010-04-01 22:42 0 ----a-w- c:\windows\system32\cd.dat 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Malwarebytes 2010-04-01 21:36 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-01 21:36 . 2010-04-01 21:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-01 21:36 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-31 12:00 . 2010-03-31 12:00 75 ----a-w- c:\windows\system32\nvUnsupRes.dat 2010-03-31 09:35 . 2010-04-02 13:31 804864 ----a-w- c:\windows\system32\drivers\vpjrp.sys 2010-03-29 15:53 . 2010-03-29 15:53 1925088 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- C:\Hotspot Shield 2010-03-24 10:50 . 2010-03-24 10:51 -------- d-----w- c:\programme\Hotspot Shield 2010-03-17 14:20 . 2009-04-10 16:19 185344 ----a-w- c:\windows\system32\PCGW32.DLL 2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\iZ3D Driver 2010-03-17 14:20 . 2010-03-17 14:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\iZ3D Driver 2010-03-17 14:20 . 2010-03-17 14:20 -------- d-----w- c:\programme\iZ3D Driver 2010-03-05 23:53 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-01 17:17 . 2009-07-09 13:12 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-04-01 15:45 . 2009-07-09 13:12 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\MyPhoneExplorer 2010-04-01 11:58 . 2010-01-28 18:14 1 ----a-w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-31 09:33 . 2010-03-31 09:33 8 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat 2010-03-28 06:31 . 2001-08-23 12:00 84318 ----a-w- c:\windows\system32\perfc007.dat 2010-03-28 06:31 . 2001-08-23 12:00 458476 ----a-w- c:\windows\system32\perfh007.dat 2010-03-27 15:03 . 2009-07-08 21:09 -------- d-----w- c:\programme\Wilmaa 2010-03-23 13:10 . 2009-07-01 08:18 37888 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-22 18:51 . 2009-06-30 22:56 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-22 18:49 . 2009-12-21 23:50 -------- d-----w- c:\programme\Pcsx2 2010-03-22 17:31 . 2009-10-05 10:04 -------- d-----w- c:\programme\Electronic Arts 2010-03-18 18:56 . 2009-07-24 18:18 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\dvdcss 2010-03-06 17:43 . 2009-07-02 08:47 -------- d-----w- c:\programme\iTunes 2010-03-06 17:18 . 2009-07-02 08:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-03-04 12:20 . 2009-12-19 00:23 -------- d-----w- c:\programme\PokerStars 2010-03-01 19:12 . 2010-03-01 18:42 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\FreeFLVConverter 2010-03-01 18:42 . 2010-03-01 18:42 -------- d-----w- c:\programme\Free FLV Converter 2010-02-26 15:33 . 2010-02-26 15:33 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Thinstall 2010-02-26 06:10 . 2004-08-03 22:57 667648 ----a-w- c:\windows\system32\wininet.dll 2010-02-26 06:10 . 2004-08-03 22:57 81920 ----a-w- c:\windows\system32\ieencode.dll 2010-02-20 01:30 . 2010-02-20 01:30 -------- d-----w- c:\programme\Animake 2010-02-20 01:29 . 2009-10-30 20:08 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\Winamp 2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\programme\ManyCam 2.4 2010-02-20 00:38 . 2010-02-20 00:37 -------- d-----w- c:\dokumente und einstellungen\Marko\Anwendungsdaten\ManyCam 2010-02-17 18:00 . 2010-02-17 18:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM 2010-02-17 18:00 . 2009-07-02 17:18 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-02-11 10:45 . 2010-02-11 10:45 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9} 2010-01-28 18:00 . 2009-07-08 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll 2010-01-08 23:42 . 2010-01-08 23:42 37376 ----a-w- c:\windows\system32\drivers\HssDrv.sys 2010-01-08 23:42 . 2010-01-08 23:42 32768 ----a-w- c:\windows\system32\drivers\taphss.sys 2010-01-07 17:19 . 2010-01-07 17:19 138 ----a-w- c:\dokumente und einstellungen\Marko\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] 2010-03-24 10:50 220208 ----a-w- c:\programme\Hotspot Shield\hssie\HssIE.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2010-03-01 524632] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2010-01-28 149280] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Marko^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk] path=c:\dokumente und einstellungen\Marko\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-02-27 15:10 35696 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] 2008-08-14 05:58 611712 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion] 2009-02-28 17:40 75048 ----a-w- c:\programme\CyberLink\Shared Files\brs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2009-11-20 19:32 12669544 ----a-w- c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2009-11-20 19:32 110184 ----a-w- c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD9LanguageShortcut] 2008-10-13 18:41 50472 ------w- c:\programme\CyberLink\PowerDVD9\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] 2008-03-14 23:50 233472 ----a-w- c:\programme\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2009-10-06 14:34 18750976 ----a-w- c:\windows\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Files Updater] 2006-02-25 11:58 118485 ----a-w- c:\windows\FlyakiteOSX\Tools\System Files Updater.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2] 2007-08-02 19:08 95504 ----a-w- c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2009-07-01 16:37 37888 ----a-w- c:\programme\Winamp\winampa.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"= "c:\\Programme\\CyberLink\\PowerDVD9\\PowerDVD9.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\Avatar.exe"= "c:\\Programme\\Ubisoft\\James Cameron's AVATAR - DAS SPIEL\\bin\\AvatarLauncher.exe"= "c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"= "c:\\Programme\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"= "c:\\Programme\\FlashFXP\\FlashFXP.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01.07.2009 21:22 64160] R1 iZ3DInjectionDriver;Driver inject our D3D and OGL wrappers;c:\programme\iZ3D Driver\Win32\S3DInjectionDriver.sys [17.03.2010 16:20 34968] R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/07/24 22:08];c:\programme\CyberLink\PowerDVD9\000.fcl [28.02.2009 19:40 87536] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.07.2009 10:22 108289] R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe [09.01.2010 01:42 285744] R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456] R2 S3D Service (Win32);S3D Service (Win32);c:\programme\iZ3D Driver\Win32\S3DCService.exe [17.03.2010 16:20 360960] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [02.07.2009 18:06 721904] S3 AIDA32Driver;AIDA32Driver;\??\c:\programme\AIDA32 - Enterprise System Information\aida32.sys --> c:\programme\AIDA32 - Enterprise System Information\aida32.sys [?] S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21.10.2009 16:30 1684736] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - vpjrp . Inhalt des "geplante Tasks" Ordners 2010-03-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:22] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe FF - ProfilePath - c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\dokumente und einstellungen\Marko\Anwendungsdaten\Mozilla\Firefox\Profiles\eg3jxmit.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-EA Core - c:\programme\Electronic Arts\EADM\Core.exe MSConfigStartUp-nwiz - nwiz.exe MSConfigStartUp-RoboForm - c:\programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe AddRemove-DAEMON Tools Toolbar - c:\programme\DAEMON Tools Toolbar\uninst.exe AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD9\000.fcl" [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\vpjrp] . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1292428093-1532298954-1801674531-1003\Software\SecuROM\License information*] "datasecu"=hex:3e,d7,c1,1d,0b,40,f3,56,3e,8a,80,ca,c9,50,6f,22,39,f3,a4,e3,b2, 5f,91,3d,fa,69,4d,66,c7,e0,f9,e6,c0,61,93,ba,0f,5d,6c,65,3a,55,87,9b,fc,4f,\ "rkeysecu"=hex:fc,a2,2d,0b,24,2f,b9,0c,6d,b2,57,fb,87,ea,5b,26 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1072) c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll . Zeit der Fertigstellung: 2010-04-02 15:33:31 ComboFix-quarantined-files.txt 2010-04-02 13:33 Vor Suchlauf: 9 Verzeichnis(se), 50.215.505.920 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 50.604.109.824 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 105091120A425163077C12F79E851EAB