Antivirus 2008 PRO, Klappe die X.te |
||
---|---|---|
#0
| ||
29.06.2008, 19:12
...neu hier
Beiträge: 4 |
||
|
||
30.06.2008, 08:36
Member
Beiträge: 34 |
#2
Hallo Soiz.
Gleich CF auszupacken ist nicht allerbeste Idee.. Nur so für die Zukunft.. Folge bitte dieser Anleitung [url=http://siri.geekstogo.com/SmitfraudFix_De.php]Smitfraudfix[/url] und poste danach das log. Poste danach bitte ein frisches HJT log. __________ . Gruß: Undoreal =>Bestes Anti-Viren Prog||Dateien suchen+finden|| |
|
|
||
30.06.2008, 10:45
...neu hier
Themenstarter Beiträge: 4 |
#3
SmitFraudFix v2.328
Scan done at 10:38:14,85, 30.06.2008 Run from C:\Dokumente und Einstellungen\Soiznega\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri C:\WINDOWS\qegbdmwf.dll deleted. »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\privacy_danger\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{688E270E-A1F9-4C60-86C4-F59F7657A1E4}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{F9E8C7F8-D481-4BA2-8C7B-98461915E68B}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:44:59, on 30.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Sygate\SPF\smc.exe D:\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Copyhandler\ch.exe C:\Programme\Analog Devices\Core\smax4pnp.exe D:\Logitech\iTouch\iTouch.exe C:\Programme\QuickTime\qttask.exe D:\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe D:\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE D:\Mozilla Firefox\firefox.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe d:\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\SearchProtocolHost.exe D:\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Copy Handler] D:\Copyhandler\ch.exe O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Alcohol 120\StarWind\StarWindService.exe -- End of file - 4859 bytes[/b] |
|
|
||
30.06.2008, 12:31
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo Soiz
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden ------------------- «« ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2008, 12:44
...neu hier
Themenstarter Beiträge: 4 |
#5
ComboFix 08-06-20.4 - Soiznega 2008-06-30 12:33:25.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1694 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Soiznega\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE :: C:\WINDOWS\gxvpsafm.dll C:\WINDOWS\qegbdmwf.dll C:\WINDOWS\system32\xqxmskmv.dll C:\WINDOWS\tovafrnm.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\gxvpsafm.dll C:\WINDOWS\tovafrnm.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 )))))))))))))))))))))))))))))) . 2008-06-30 10:29 . 2008-06-30 10:38 2,176 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys 2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe 2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes 2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search 2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE 2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search 2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe 2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe 2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information 2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP 2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat 2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone 2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini 2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP 2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo 2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat 2008-05-20 16:40 . 2008-05-20 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX 2008-05-20 16:38 . 2008-05-20 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-05-20 16:35 . 2004-08-09 05:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe 2008-05-10 20:49 . 2008-05-10 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-30 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin 2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2 2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire 2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0 2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3 2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus 2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi 2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss 2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies 2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys . ((((((((((((((((((((((((((((( snapshot_2008-06-29_19.32.24,96 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-30 10:36:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401] "Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432] "SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352] "zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648] "Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "vidc.asv2"= asusasv2.dll "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler] --a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer] --a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune] D:\NVIDIA Corporation\nTune\nTuneCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] --a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] D:\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "SharedAccess"=2 (0x2) "Prime95 Service"=2 (0x2) "Poweroff"=2 (0x2) "PnkBstrA"=2 (0x2) "odserv"=3 (0x3) "Nero BackItUp Scheduler 3"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Xfire\\xfire.exe"= "D:\\X-Chat 2\\xchat.exe"= "F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "D:\\ICQ6\\ICQ.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"= "D:\\Skype\\Phone\\Skype.exe"= "F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"= "H:\\Games\\AC\\AssassinsCreed_Dx9.exe"= "H:\\Games\\AC\\AssassinsCreed_Dx10.exe"= "H:\\Games\\AC\\AssassinsCreed_Launcher.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"= "D:\\SynchPst\\SynchPst.exe"= "F:\\Crysis\\Bin32\\Crysis.exe"= "F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54] R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12] R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54] S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22] S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] \Shell\AutoRun\command - J:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}] \Shell\AutoRun\command - J:\smartAP.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}] \Shell\Auto\command - J:\xhhfvshmv.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}] \Shell\AutoRun\command - J:\LaunchU3.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-30 12:37:00 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\Ad-Aware\aawservice.exe D:\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe D:\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\searchindexer.exe D:\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\searchprotocolhost.exe C:\WINDOWS\system32\searchfilterhost.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-30 12:38:57 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-30 10:38:54 ComboFix2.txt 2008-06-29 17:32:35 ComboFix3.txt 2008-06-28 19:20:47 7 Verzeichnis(se), 2,465,447,936 Bytes frei 13 Verzeichnis(se), 2,453,868,544 Bytes frei 231 --- E O F --- 2008-06-21 16:44:08 2. Durchlauf von Combofix: ComboFix 08-06-20.4 - Soiznega 2008-06-30 12:40:18.4 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 )))))))))))))))))))))))))))))) . 2008-06-30 10:29 . 2008-06-30 10:38 2,176 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys 2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe 2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes 2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search 2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE 2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search 2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for 2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe 2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe 2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information 2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP 2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat 2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone 2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini 2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP 2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo 2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat 2008-05-20 16:40 . 2008-05-20 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX 2008-05-20 16:38 . 2008-05-20 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-05-20 16:35 . 2004-08-09 05:04 73,728 --a------ C:\WINDOWS\system32\ISUSPM.cpl 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe 2008-05-10 20:49 . 2008-05-10 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-30 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin 2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2 2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-06-29 10:35 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-06-29 10:35 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire 2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0 2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3 2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus 2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi 2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss 2008-06-13 15:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies 2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys . ((((((((((((((((((((((((((((( snapshot_2008-06-29_19.32.24,96 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-30 10:36:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401] "Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432] "SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352] "zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648] "Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Logitech SetPoint.lnk - D:\Logitech\SetPoint\SetPoint.exe [2007-12-25 21:28:52 784912] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "vidc.asv2"= asusasv2.dll "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk] path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler] --a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer] --a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune] D:\NVIDIA Corporation\nTune\nTuneCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] --a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] D:\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "SharedAccess"=2 (0x2) "Prime95 Service"=2 (0x2) "Poweroff"=2 (0x2) "PnkBstrA"=2 (0x2) "odserv"=3 (0x3) "Nero BackItUp Scheduler 3"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "D:\\Xfire\\xfire.exe"= "D:\\X-Chat 2\\xchat.exe"= "F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "D:\\ICQ6\\ICQ.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"= "F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"= "D:\\Skype\\Phone\\Skype.exe"= "F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"= "H:\\Games\\AC\\AssassinsCreed_Dx9.exe"= "H:\\Games\\AC\\AssassinsCreed_Dx10.exe"= "H:\\Games\\AC\\AssassinsCreed_Launcher.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"= "D:\\SynchPst\\SynchPst.exe"= "F:\\Crysis\\Bin32\\Crysis.exe"= "F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54] R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12] R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54] S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22] S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J] \Shell\AutoRun\command - J:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}] \Shell\AutoRun\command - J:\smartAP.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}] \Shell\Auto\command - J:\xhhfvshmv.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}] \Shell\AutoRun\command - J:\LaunchU3.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-30 12:40:59 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-30 12:41:28 ComboFix-quarantined-files.txt 2008-06-30 10:41:16 ComboFix2.txt 2008-06-30 10:38:57 ComboFix3.txt 2008-06-29 17:32:35 ComboFix4.txt 2008-06-28 19:20:47 7 Verzeichnis(se), 2,475,859,968 Bytes frei 12 Verzeichnis(se), 2,465,468,416 Bytes frei 212 --- E O F --- 2008-06-21 16:44:08 |
|
|
||
30.06.2008, 13:23
Ehrenmitglied
Beiträge: 29434 |
#6
««
ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" dann sollte wieder alles i.o. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2008, 14:22
...neu hier
Themenstarter Beiträge: 4 |
||
|
||
ich habe wie so viele andere User auch ein Problem mit dem "Antivirus 2008 PRO"...
Bekomme in regelmäßigen Abständen ein Pop-up, das mich auffordert, besagtes Programm downzuloaden.
Außerdem hab ich unfreiwillig ein neues Desktophintergrundbild bekommen..
"Your privacy is in danger! Download privacy protection software now"..
welches als direktlink fungiert.
Hab mich schon in anderen Threads schlau gemacht und alle Programme besorgt, nur weiß ich ab hier nicht mehr weiter!
Würd mich über Hilfe freuen,
MfG Soiz
Edit:
(Hijack This Logfile)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:21, on 29.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Sygate\SPF\smc.exe
D:\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Copyhandler\ch.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
d:\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\SearchIndexer.exe
D:\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copy Handler] D:\Copyhandler\ch.exe
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] d:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: qegbdmwf - {508B164E-B874-4F2F-9EE7-2AEEE78F98D2} - C:\WINDOWS\qegbdmwf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
--
End of file - 5203 bytes
-----------------------------------------
2. Combofix
ComboFix 08-06-20.4 - Soiznega 2008-06-29 19:31:16.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1632 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Soiznega\Desktop\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.
2008-06-29 12:36 . 2008-06-29 12:36 22,328 --a------ C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\PnkBstrK.sys
2008-06-29 12:35 . 2008-06-29 12:35 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-28 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-28 20:04 . 2008-06-19 17:55 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-28 20:04 . 2008-06-19 17:55 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-28 19:55 . 2008-06-28 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-27 17:58 . 2008-06-27 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-27 15:56 . 2008-06-27 10:06 258,048 --a------ C:\WINDOWS\qegbdmwf.dll
2008-06-27 15:56 . 2008-06-27 10:06 188,416 --a------ C:\WINDOWS\gxvpsafm.dll
2008-06-27 15:56 . 2008-06-27 10:06 81,920 --a------ C:\WINDOWS\tovafrnm.exe
2008-06-27 15:23 . 2008-06-27 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Windows Desktop Search
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-06-27 15:22 . 2008-06-27 15:22 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-06-23 20:42 . 2008-06-23 20:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-23 20:42 . 2008-06-23 20:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-21 17:33 . 2008-06-21 17:30 729,088 --a------ C:\WINDOWS\iun6002.exe
2008-06-21 16:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-21 16:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-16 18:30 . 2008-06-16 18:31 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-06-13 19:23 . 2008-06-13 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\InstallShield Installation Information
2008-06-13 19:14 . 2008-06-13 19:14 <DIR> d-------- C:\WINDOWS\45235788142C44BE8A4DDDE9A84492E5.TMP
2008-06-13 18:31 . 2008-06-23 22:32 1,243 --a------ C:\WINDOWS\eReg.dat
2008-06-13 17:10 . 2008-06-13 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Touchstone
2008-06-13 16:54 . 2008-06-13 17:08 761 --a------ C:\WINDOWS\disney.ini
2008-06-13 16:14 . 2008-06-13 16:14 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\FlashFXP
2008-06-13 15:16 . 2008-06-13 15:16 <DIR> d-------- C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\GetRightToGo
2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-30 19:48 . 2008-05-30 19:48 80 --ah----- C:\WINDOWS\system32\HsInfo.dat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 14:15 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\X-Chat 2
2008-06-29 10:36 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-29 10:35 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-06-29 10:35 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-29 10:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin
2008-06-29 09:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 22:54 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Xfire
2008-06-28 22:04 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\gtk-2.0
2008-06-28 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 15:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-27 15:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-27 15:35 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\U3
2008-06-27 15:25 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-24 20:20 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Azureus
2008-06-16 17:00 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\Hamachi
2008-06-14 21:48 --------- d-----w C:\Dokumente und Einstellungen\Soiznega\Anwendungsdaten\dvdcss
2008-06-13 15:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-13 14:55 --------- d-----w C:\Programme\AGEIA Technologies
2008-05-20 14:40 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2008-05-20 14:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-20 14:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-10 18:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOMBZ Save Data
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-29 09:20 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((( snapshot@2008-06-28_21.20.34.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-28 19:17:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-29 16:41:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2007-10-24 19:13:02 1,778,912 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cry3dengine.dll
+ 2007-10-24 19:13:04 2,942,176 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryaction.dll
+ 2007-10-24 19:13:06 1,942,752 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryaisystem.dll
+ 2007-10-24 19:13:06 1,574,112 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryanimation.dll
+ 2007-10-24 19:13:08 840,928 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryentitysystem.dll
+ 2007-10-24 19:13:10 394,464 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryfont.dll
+ 2007-10-24 19:13:12 2,823,392 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crygame.dll
+ 2007-10-24 19:13:16 197,856 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryinput.dll
+ 2007-10-24 19:13:18 386,272 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crymovie.dll
+ 2007-10-24 19:13:18 943,328 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crynetwork.dll
+ 2007-10-24 19:13:20 1,991,904 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryphysics.dll
+ 2007-10-24 19:13:22 3,036,384 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrenderd3d10.dll
+ 2007-10-24 19:13:24 3,024,096 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrenderd3d9.dll
+ 2007-10-24 19:13:26 885,984 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryrendernull.dll
+ 2007-10-24 19:13:26 660,704 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\cryscriptsystem.dll
+ 2007-10-24 22:11:24 4,674,784 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysis.exe
+ 2007-10-24 22:11:28 17,120 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysisdedicatedserver.exe
+ 2007-10-24 19:13:28 644,320 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysoundsystem.dll
+ 2007-10-24 19:13:30 2,098,400 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\crysystem.dll
+ 2007-09-19 14:29:40 294,912 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\pbsv.dll
+ 2007-10-24 19:13:44 13,024 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\7B97E000527E10F478A01C92247B8F4E\1.0.0\shallocator.dll
- 2007-12-02 20:49:03 9,662 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\ARPPRODUCTICON.exe
+ 2008-06-29 10:44:20 9,662 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\ARPPRODUCTICON.exe
- 2007-12-02 20:49:03 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\checkForUpdatesSC_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 10:44:20 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\checkForUpdatesSC_000E79B7E7254F01870AC12942B7F8E4.exe
- 2007-12-02 20:49:03 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\visitWebsite_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 10:44:20 10,134 ----a-r C:\WINDOWS\Installer\{000E79B7-E725-4F01-870A-C12942B7F8E4}\visitWebsite_000E79B7E7254F01870AC12942B7F8E4.exe
+ 2008-06-29 16:44:58 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7a0.dat
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe" [2007-10-11 22:36 1126400]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 13:20 262401]
"Copy Handler"="D:\Copyhandler\ch.exe" [2005-01-31 11:18 146432]
"SmcService"="D:\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 22:34 868352]
"zBrowser Launcher"="d:\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-18 20:55 8523776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-07 23:40 155648]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - D:\Logitech\SetPoint\SetPoint.exe [2007-12-25 21:28:52 784912]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {508B164E-B874-4F2F-9EE7-2AEEE78F98D2} - C:\WINDOWS\qegbdmwf.dll [2008-06-27 10:06 258048]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"vidc.asv2"= asusasv2.dll
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows-Desktopsuche.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows-Desktopsuche.lnk
backup=C:\WINDOWS\pss\Windows-Desktopsuche.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Soiznega^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Soiznega\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\20e7c81b]
C:\WINDOWS\system32\xqxmskmv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 d:\Adobe\Reader 8.0\Reader\Reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-08-03 13:51 202024 C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Copy Handler]
--a------ 2005-01-31 11:18 146432 D:\Copyhandler\ch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-08-08 10:25 1828136 D:\Nero 8\Nero BackItUp\NBKeyScan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-12-18 20:55 8523776 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
D:\NVIDIA Corporation\nTune\nTuneCmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-12-18 20:55 81920 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-12-18 20:55 1626112 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-07 23:40 155648 C:\Programme\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2006-07-13 08:12 729088 C:\Programme\Analog Devices\SoundMAX\Smax4.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--a------ 2006-12-18 22:34 868352 C:\Programme\Analog Devices\Core\smax4pnp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
D:\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"Prime95 Service"=2 (0x2)
"Poweroff"=2 (0x2)
"PnkBstrA"=2 (0x2)
"odserv"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Xfire\\xfire.exe"=
"D:\\X-Chat 2\\xchat.exe"=
"F:\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\ICQ6\\ICQ.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\counter-strike source\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\source sdk base\\hl2.exe"=
"F:\\Steam\\SteamApps\\ddc_inox\\half-life 2 deathmatch\\hl2.exe"=
"D:\\Skype\\Phone\\Skype.exe"=
"F:\\Turning Point - Fall of Liberty\\Binaries\\LTCG-TPGame.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx9.exe"=
"H:\\Games\\AC\\AssassinsCreed_Dx10.exe"=
"H:\\Games\\AC\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"H:\\Games\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"D:\\SynchPst\\SynchPst.exe"=
"F:\\Crysis\\Bin32\\Crysis.exe"=
"F:\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 16:54]
R3 ASUSVRC;ASUSTeK Virtual Capture Device;C:\WINDOWS\system32\DRIVERS\AsusVRC.sys [2007-01-29 18:12]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 16:54]
S3 STUSB2Ir;SigmaTel USB 2.0 IrDA Bridge;C:\WINDOWS\system32\DRIVERS\stusb2ir.sys [2004-05-28 07:22]
S4 Poweroff;Poweroff;"C:\WINDOWS\system32\poweroff.exe" -service []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d78c38e-c048-11dc-81a8-001d6050936a}]
\Shell\AutoRun\command - J:\smartAP.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3261799c-0009-11dd-823e-001d6050936a}]
\Shell\Auto\command - J:\xhhfvshmv.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xhhfvshmv.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a84bb4a-445b-11dd-82ef-001d6050936a}]
\Shell\AutoRun\command - J:\LaunchU3.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 19:32:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 19:32:34
ComboFix-quarantined-files.txt 2008-06-29 17:32:31
ComboFix2.txt 2008-06-28 19:20:47
7 Verzeichnis(se), 2,501,476,352 Bytes frei
13 Verzeichnis(se), 2,490,929,152 Bytes frei
252 --- E O F --- 2008-06-21 16:44:08