diverse Hijacker und andere Probleme

#0
09.08.2008, 00:43
Member

Beiträge: 22
#1 Hallo,
ich hoffe ihr könnt mir helfen. Ich habe versucht von einem bekannten den PC zu säubern, die Hijacker habe ich auch größtenteils alle wegbekommen( hoffe ich zumindest).
Aber leider lässt sich Firefox 3.01 nicht mehr starten(auch mehrfache neuinstallation). Ich habe schon überprüft ob gewisse grundkomponenten Fehlen. dotNet ist z. B. installiert. Ich habe keinen blassen Schimmer wie ich das zum laufen kriegen soll.
Naja ich poste erstmal die ganzen logs.


Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

20:14:00 07.08.2008
mbam-log-8-7-2008 (20-14-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 215896
Laufzeit: 1 hour(s), 26 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\Macromedia\Authorware Web Player\NP32ASW\webplr08\xtras\emfview.x32 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Macromedia\Authorware Web Player\NP32ASW\webplr08\xtras\emfview.x32 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\TEMP(2)\Anwendungsdaten(2)\Macromedia(2)\Authorware Web Player(2)\NP32ASW(2)\webplr08(2)\xtras(2)\emfview.x32 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
Combofix:

Zitat

ComboFix 08-08-07.01 - OLIVER 2008-08-07 21:11:58.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.520 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\OLIVER\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Datenschutzrichtlinien.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Deinstallieren.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Geschäftsbedingungen.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\InternetGameBox.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\InternetGameBox\Website.url
C:\Dokumente und Einstellungen\OLIVER\Lokale Einstellungen\Anwendungsdaten\gkgaa.dat
C:\Dokumente und Einstellungen\OLIVER\Lokale Einstellungen\Anwendungsdaten\gkgaa.exe
C:\Dokumente und Einstellungen\OLIVER\Lokale Einstellungen\Anwendungsdaten\gkgaa_nav.dat
C:\Dokumente und Einstellungen\OLIVER\Lokale Einstellungen\Anwendungsdaten\gkgaa_navps.dat
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
.

2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 17:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 17:21 . 2008-08-07 17:21 <DIR> d-------- C:\Programme\CCleaner
2008-08-02 11:30 . 2008-08-02 11:30 <DIR> d-------- C:\Programme\Xplosiv
2008-08-02 10:51 . 2008-08-02 10:52 <DIR> d-------- C:\Programme\Jam XM
2008-08-02 10:45 . 2008-08-02 10:45 <DIR> d-------- C:\Programme\OniGames
2008-07-28 17:29 . 2007-03-16 10:19 5,174 -ra------ C:\WINDOWS\system32\nppt9x.vxd
2008-07-28 17:29 . 2007-03-16 10:19 4,682 -ra------ C:\WINDOWS\system32\npptNT2.sys
2008-07-28 17:17 . 2008-07-28 17:43 <DIR> d-------- C:\Programme\Lineage II
2008-07-28 17:16 . 2008-07-28 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\InstallShield
2008-07-27 02:39 . 2008-07-27 02:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-27 02:39 . 2008-07-27 02:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Programme\Avira
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-27 02:00 . 2008-07-27 02:00 <DIR> d-------- C:\Programme\Trend Micro
2008-07-27 01:50 . 2008-07-27 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\vlc
2008-07-27 01:47 . 2008-07-27 01:47 <DIR> d-------- C:\Programme\VideoLAN
2008-07-27 01:46 . 2008-07-27 01:46 <DIR> d-------- C:\Programme\Combined Community Codec Pack
2008-07-26 21:46 . 2008-07-26 21:46 <DIR> d-------- C:\Downloads
2008-07-26 21:21 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Vorlagen(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\UserData(2)
2008-07-26 20:51 . 2006-05-17 14:06 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP(2)\Netzwerkumgebung
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Lokale Einstellungen(2)
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Favoriten
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Eigene Dateien
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Desktop(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Anwendungsdaten(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d---s---- C:\Dokumente und Einstellungen\TEMP(2)
2008-07-23 22:12 . 2008-07-23 22:12 0 --a------ C:\WINDOWS\system32\hEulFbtq.exe.a_a
2008-07-22 22:00 . 2008-07-22 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Avant Profiles
2008-07-22 11:00 . 2008-07-22 11:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-21 15:32 . 2008-07-21 15:32 0 --a------ C:\WINDOWS\system32\Qq8U1P0J.exe.a_a
2008-07-21 14:30 . 2008-07-22 10:39 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\skypePM
2008-07-21 14:30 . 2008-07-21 14:30 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-07-20 14:13 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\DevastationZone Troopers

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 19:20 --------- d-----w C:\Programme\WLAN Quick-Starter
2008-08-07 19:20 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Skype
2008-08-07 19:19 --------- d-----w C:\Programme\WLAN Monitor
2008-08-07 16:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-01 17:43 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-31 14:46 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\OpenOffice.org2
2008-07-28 15:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 12:40 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-07-27 00:39 --------- d-----w C:\Programme\Lavasoft
2008-07-27 00:39 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Lavasoft
2008-07-26 23:32 --------- d-----w C:\Programme\Avant Browser
2008-07-26 19:59 --------- d-----w C:\Programme\Tibia
2008-07-26 19:32 --------- d-----w C:\Programme\Java
2008-07-26 19:21 --------- d-----w C:\Programme\Allok 3GP PSP MP4 iPod Video Converter
2008-07-26 19:19 --------- d-----w C:\Programme\Dofus
2008-07-05 01:39 --------- d-----w C:\Programme\ALO SOFT
2008-07-04 23:35 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Notepad++
2008-07-04 23:33 --------- d-----w C:\Programme\Notepad++
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 12:17 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Tibia
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2006-08-28 11:55 8 --sh--r C:\WINDOWS\system32\92F0C6A721.sys
2006-08-28 11:55 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 14:31 22880040]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 12:32 401491]
"Gadu-Gadu"="C:\Programme\Gadu-Gadu\gg.exe" [2006-11-14 11:12 1849032]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 21:05 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2006-07-13 23:35 147456]
"wlconfig"="C:\PROGRA~1\WLANMO~1\wlconfig.exe" [2006-03-06 13:45 1347584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Onet.pl AutoUpdate"="C:\Programme\Common Files\Onet.pl\AutoUpdate.exe" [2006-02-08 16:40 260096]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-19 12:40 282624]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2006-11-14 11:12 1849032 C:\Programme\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 15:45 278528 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-19 12:40 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-12-22 00:11 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-10-24 21:05 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
--a------ 2005-11-01 04:15 163840 C:\WINDOWS\system32\VTTrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CiSvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\Avant Browser\\avant.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56651:TCP"= 56651:TCP:pando P2P TCP Listening Port
"56651:UDP"= 56651:UDP:pando P2P UDP Listening Port

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 10:06]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-03-20 09:28]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-03-20 09:28]
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 23:28]
S3 krdpdre;krdpdre;C:\DOKUME~1\OLIVER\LOKALE~1\Temp\krdpdre.sys []
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys []
S3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-03-20 09:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}]
\Shell\Auto\command - F:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKU-Default-RunOnce-IETI - C:\Programme\Skype\Phone\IEPlugin\unins000.exe
MSConfigStartUp-BearShare - C:\Programme\BearShare\BearShare.exe
MSConfigStartUp-Miranda ME - C:\Programme\Miranda ME\miranda32.exe
MSConfigStartUp-MsnMsgr - C:\Programme\MSN Messenger\MsnMsgr.Exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Mozilla\Firefox\Profiles\p9r80plh.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npganymedenet.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 21:18:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-07 21:26:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-07 19:26:16

Pre-Run: 19 Verzeichnis(se), 162,002,321,408 Bytes frei
Post-Run: 22 Verzeichnis(se), 163,688,079,360 Bytes frei

227 --- E O F --- 2008-07-27 00:47:33
Hijackthis:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:42, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Common Files\Onet.pl\AutoUpdate.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gadu-Gadu\gg.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\twain_32\escndv\escndv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Onet.pl AutoUpdate] C:\Programme\Common Files\Onet.pl\AutoUpdate.exe /tsr
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programme\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?1ff12c608497477a91a14e90e8dd1133
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?1ff12c608497477a91a14e90e8dd1133
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147879372515
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147880351031
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9639 bytes
datfind.bat

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: ECF5-9C89

Verzeichnis von C:\WINDOWS\system32

08.08.2008 22:03 17.920 secpol.exe
08.08.2008 19:07 1.158 wpa.dbl
07.08.2008 21:18 1.434.032 FNTCACHE.DAT
01.08.2008 19:43 43.520 CmdLineExt03.dll
26.07.2008 21:32 6.944 jupdate-1.6.0_07-b06.log
23.07.2008 22:12 0 hEulFbtq.exe.a_a
21.07.2008 15:32 0 Qq8U1P0J.exe.a_a
21.07.2008 14:30 56 ezsidmv.dat
05.07.2008 03:49 213 temp_0000_65-21.aok
05.07.2008 03:48 214 test.aok
25.06.2008 18:15 17.972.344 MRT.exe
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
16.05.2008 11:58 12.632 lsdelete.exe
07.05.2008 07:14 1.293.312 quartz.dll
21.04.2008 08:56 672.256 wininet.dll
21.04.2008 08:56 620.544 urlmon.dll
21.04.2008 08:56 474.624 shlwapi.dll
21.04.2008 08:56 1.499.136 shdocvw.dll
21.04.2008 08:56 449.024 mshtmled.dll
21.04.2008 08:56 532.480 mstime.dll
21.04.2008 08:56 39.424 pngfilt.dll
21.04.2008 08:56 146.432 msrating.dll
21.04.2008 08:56 3.087.872 mshtml.dll
21.04.2008 08:56 96.768 inseng.dll
21.04.2008 08:56 16.384 jsproxy.dll
21.04.2008 08:56 357.888 dxtmsft.dll
21.04.2008 08:56 251.904 iepeers.dll
21.04.2008 08:56 1.056.256 danim.dll
21.04.2008 08:56 205.312 dxtrans.dll
21.04.2008 08:56 55.808 extmgr.dll
21.04.2008 08:56 152.064 cdfview.dll
21.04.2008 08:56 1.024.000 browseui.dll
17.04.2008 13:03 374.272 xpsp3res.dll
11.04.2008 14:44 402.862 perfh009.dat
11.04.2008 14:44 418.188 perfh007.dat
11.04.2008 14:44 62.776 perfc009.dat
11.04.2008 14:44 76.364 perfc007.dat
11.04.2008 14:44 925.910 PerfStringBackup.INI
2154 Datei(en) 455.444.646 Bytes
0 Verzeichnis(se), 163.387.449.344 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: ECF5-9C89

Verzeichnis von C:\DOKUME~1\OLIVER\LOKALE~1\Temp

09.08.2008 00:31 105.787 datfind.txt
09.08.2008 00:29 14.848 1272ba9.mst
08.08.2008 22:48 28.504 drmtemp00CA555D.htm
08.08.2008 22:48 28.504 drmtemp00CA53A7.htm
08.08.2008 22:48 28.509 drmtemp00CA5230.htm
08.08.2008 22:48 28.509 drmtemp00CA5117.htm
08.08.2008 22:48 28.460 drmtemp00CA4EC5.htm
08.08.2008 22:48 28.460 drmtemp00CA4D10.htm
08.08.2008 22:48 28.460 drmtemp00CA4B5A.htm
08.08.2008 22:48 28.460 drmtemp00CA4A22.htm
08.08.2008 22:22 28.504 drmtemp00B3267C.htm
08.08.2008 22:22 28.504 drmtemp00B324D7.htm
08.08.2008 22:22 28.509 drmtemp00B32321.htm
08.08.2008 22:22 28.509 drmtemp00B3215C.htm
08.08.2008 22:22 28.460 drmtemp00B31EFB.htm
08.08.2008 22:22 28.460 drmtemp00B31CF7.htm
08.08.2008 22:22 28.460 drmtemp00B31B90.htm
08.08.2008 22:22 28.460 drmtemp00B31A38.htm
08.08.2008 22:04 16.384 Perflib_Perfdata_434.dat
08.08.2008 21:35 28.504 drmtemp0087CDCE.htm
08.08.2008 21:35 28.504 drmtemp0087CC86.htm
08.08.2008 21:35 28.509 drmtemp0087CA73.htm
08.08.2008 21:35 28.509 drmtemp0087C95A.htm
08.08.2008 21:35 28.460 drmtemp0087BFD4.htm
08.08.2008 21:35 28.460 drmtemp0087BE4E.htm
08.08.2008 21:35 28.460 drmtemp0087BC2B.htm
08.08.2008 21:35 28.460 drmtemp0087B9F8.htm
08.08.2008 20:00 376 redA.tmp
08.08.2008 19:11 684 jusched.log
08.08.2008 19:06 409.600 ~DFA95F.tmp
08.08.2008 19:06 224 WCESCOMM.LOG
08.08.2008 19:06 0 red9.tmp
08.08.2008 12:08 375 red8.tmp
08.08.2008 12:07 409.600 ~DF9462.tmp
08.08.2008 12:07 0 red7.tmp
07.08.2008 22:07 0 red6.tmp
07.08.2008 22:06 409.600 ~DFA01D.tmp
07.08.2008 22:06 0 red5.tmp
07.08.2008 22:04 409.600 ~DFAD05.tmp
07.08.2008 22:04 0 red4.tmp
07.08.2008 22:04 0 red3.tmp
07.08.2008 21:50 0 red2.tmp
07.08.2008 21:49 409.600 ~DF9B8E.tmp
07.08.2008 21:49 0 red1.tmp
07.08.2008 21:46 2.512 amt.log
07.08.2008 21:46 1.398 alm.log
07.08.2008 21:40 1.574 TWAIN.LOG
07.08.2008 21:40 3 Twain001.Mtx
07.08.2008 21:40 156 Twunk001.MTX
07.08.2008 21:31 0 Twunk002.MTX
07.08.2008 21:20 409.600 ~DFC866.tmp
51 Datei(en) 3.285.519 Bytes
0 Verzeichnis(se), 163.387.469.824 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: ECF5-9C89

Verzeichnis von C:\WINDOWS

09.08.2008 00:24 1.274.369 WindowsUpdate.log
08.08.2008 22:48 116 NeroDigital.ini
08.08.2008 19:07 5.828 ModemLog_Standardmodem.txt
08.08.2008 19:07 0 0.log
08.08.2008 19:07 159 wiadebug.log
08.08.2008 19:06 50 wiaservc.log
08.08.2008 19:06 2.048 bootstat.dat
08.08.2008 14:18 32.584 SchedLgU.Txt
07.08.2008 22:13 1.209 setupapi.log
07.08.2008 21:55 60 setupact.log
07.08.2008 21:55 0 setuperr.log
07.08.2008 21:18 227 system.ini
05.08.2008 12:26 4.097.334 ACD Hintergrund.bmp
20.07.2008 21:44 985 win.ini
09.06.2008 15:02 24 SOL.INI
124 Datei(en) 15.815.809 Bytes
0 Verzeichnis(se), 163.387.457.536 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: ECF5-9C89

Verzeichnis von C:\WINDOWS\temp

08.08.2008 19:07 409 WGANotify.settings
08.08.2008 19:06 66 WGAErrLog.txt
07.08.2008 21:50 0 T30DebugLogFile.txt
3 Datei(en) 475 Bytes
0 Verzeichnis(se), 163.387.461.632 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: ECF5-9C89

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.08.2007 10:39 2.635.280 ImageUploader4.ocx
28.08.2007 10:39 378 ImageUploader4.inf
11.04.2007 14:55 1.292 erma.inf
22.06.2006 11:41 5.032 swflash.inf
17.05.2006 13:12 65 desktop.ini
10.04.2006 12:36 367 LegitCheckControl.inf
11.08.2005 16:30 417.792 isusweb.dll
26.05.2005 04:19 293 muweb.inf
26.05.2005 04:19 291 wuweb.inf
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
11 Datei(en) 3.281.974 Bytes
0 Verzeichnis(se), 163.387.461.632 Bytes frei
.
.
.
Vielen Dank im voraus
Seitenanfang Seitenende
09.08.2008, 02:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Dieser Rechner wurde infiziert durch ein infizierter USB-stick, MP3player oder Camera ;)

Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

F:\UFO.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\WINDOWS\system32\hEulFbtq.exe.a_a und klicke OK
Mach dasselbe mit [b] C:\WINDOWS\system32\Qq8U1P0J.exe.a_a [/b
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 19:33
Member

Themenstarter

Beiträge: 22
#3 Danke für die schnelle Antwort und sorry, dass ich mich erst wieder so Spät melde.

Also virustotal.com meldet, dass die Datei ufo.exe mit 30/36 Programme als Infekt gemeldet wird.
Das mit den beiden Programmen unten hat ganz gut geklappt.

Btw: Von wo hast du und auch die anderen in diesem Board soviel Ahnung?
Ich interessiere mich auch dafür, wüsste nur nicht wie ich alles lernen sollte.
Seitenanfang Seitenende
10.08.2008, 20:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}]
Doppelklick auf fix.reg und fuege es den registry zu

Rechner neu starten

Download Combofix nochmal und poste das Log
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 22:21
Member

Themenstarter

Beiträge: 22
#5

Zitat

ComboFix 08-08-10.01 - OLIVER 2008-08-10 22:10:35.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.628 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\OLIVER\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-10 bis 2008-08-10 ))))))))))))))))))))))))))))))
.

2008-08-09 00:29 . 2008-08-09 00:30 <DIR> d-------- C:\Programme\Opera
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 17:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 17:21 . 2008-08-07 17:21 <DIR> d-------- C:\Programme\CCleaner
2008-08-02 11:30 . 2008-08-02 11:30 <DIR> d-------- C:\Programme\Xplosiv
2008-08-02 10:51 . 2008-08-02 10:52 <DIR> d-------- C:\Programme\Jam XM
2008-08-02 10:45 . 2008-08-02 10:45 <DIR> d-------- C:\Programme\OniGames
2008-07-28 17:29 . 2007-03-16 10:19 5,174 -ra------ C:\WINDOWS\system32\nppt9x.vxd
2008-07-28 17:29 . 2007-03-16 10:19 4,682 -ra------ C:\WINDOWS\system32\npptNT2.sys
2008-07-28 17:17 . 2008-07-28 17:43 <DIR> d-------- C:\Programme\Lineage II
2008-07-28 17:16 . 2008-07-28 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\InstallShield
2008-07-27 02:39 . 2008-07-27 02:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-27 02:39 . 2008-07-27 02:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Programme\Avira
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-27 02:00 . 2008-07-27 02:00 <DIR> d-------- C:\Programme\Trend Micro
2008-07-27 01:50 . 2008-07-27 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\vlc
2008-07-27 01:47 . 2008-07-27 01:47 <DIR> d-------- C:\Programme\VideoLAN
2008-07-27 01:46 . 2008-07-27 01:46 <DIR> d-------- C:\Programme\Combined Community Codec Pack
2008-07-26 21:46 . 2008-07-26 21:46 <DIR> d-------- C:\Downloads
2008-07-26 21:21 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Vorlagen(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\UserData(2)
2008-07-26 20:51 . 2006-05-17 14:06 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP(2)\Netzwerkumgebung
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Lokale Einstellungen(2)
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Favoriten
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Eigene Dateien
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Desktop(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Anwendungsdaten(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d---s---- C:\Dokumente und Einstellungen\TEMP(2)
2008-07-22 22:00 . 2008-07-22 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Avant Profiles
2008-07-22 11:00 . 2008-07-22 11:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-21 14:30 . 2008-07-22 10:39 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\skypePM
2008-07-21 14:30 . 2008-07-21 14:30 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-07-20 14:13 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\DevastationZone Troopers

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-10 20:09 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Skype
2008-08-10 20:05 --------- d-----w C:\Programme\WLAN Monitor
2008-08-10 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-07 20:15 --------- d-----w C:\Programme\WLAN Quick-Starter
2008-08-07 19:55 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\OpenOffice.org2
2008-08-01 17:43 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-28 15:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 12:40 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-07-27 00:39 --------- d-----w C:\Programme\Lavasoft
2008-07-27 00:39 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Lavasoft
2008-07-26 23:32 --------- d-----w C:\Programme\Avant Browser
2008-07-26 19:59 --------- d-----w C:\Programme\Tibia
2008-07-26 19:32 --------- d-----w C:\Programme\Java
2008-07-26 19:21 --------- d-----w C:\Programme\Allok 3GP PSP MP4 iPod Video Converter
2008-07-26 19:19 --------- d-----w C:\Programme\Dofus
2008-07-05 01:39 --------- d-----w C:\Programme\ALO SOFT
2008-07-04 23:35 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Notepad++
2008-07-04 23:33 --------- d-----w C:\Programme\Notepad++
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 12:17 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Tibia
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2006-08-28 11:55 8 --sh--r C:\WINDOWS\system32\92F0C6A721.sys
2006-08-28 11:55 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 14:31 22880040]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 12:32 401491]
"Gadu-Gadu"="C:\Programme\Gadu-Gadu\gg.exe" [2006-11-14 11:12 1849032]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 21:05 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2006-07-13 23:35 147456]
"wlconfig"="C:\PROGRA~1\WLANMO~1\wlconfig.exe" [2006-03-06 13:45 1347584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Onet.pl AutoUpdate"="C:\Programme\Common Files\Onet.pl\AutoUpdate.exe" [2006-02-08 16:40 260096]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-19 12:40 282624]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-08-05 15:15:58 10915840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2006-11-14 11:12 1849032 C:\Programme\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 15:45 278528 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-19 12:40 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-12-22 00:11 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-10-24 21:05 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
--a------ 2005-11-01 04:15 163840 C:\WINDOWS\system32\VTTrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CiSvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\Avant Browser\\avant.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\WLAN Quick-Starter\\WLAN Quick-Starter.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56651:TCP"= 56651:TCP:pando P2P TCP Listening Port
"56651:UDP"= 56651:UDP:pando P2P UDP Listening Port

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 10:06]
R4 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-03-20 09:28]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-03-20 09:28]
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 23:28]
S3 krdpdre;krdpdre;C:\DOKUME~1\OLIVER\LOKALE~1\Temp\krdpdre.sys []
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys []
S3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-03-20 09:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}]
\Shell\Auto\command - F:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-08-10 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Mozilla\Firefox\Profiles\p9r80plh.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1111.1511\npCIDetect11.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npganymedenet.dll
FF -: plugin - C:\Programme\Real\RhapsodyPlayerEngine\nprhapengine.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 22:14:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-08-10 22:16:56
ComboFix-quarantined-files.txt 2008-08-10 20:15:54
ComboFix2.txt 2008-08-07 19:26:20

Pre-Run: 19 Verzeichnis(se), 163,350,323,200 Bytes frei
Post-Run: 22 Verzeichnis(se), 163,382,128,640 Bytes frei

187 --- E O F --- 2008-07-27 00:47:33
Firefox funktioniert auch wieder, daran war wahrscheinlich nur ein fehlerhaftes Plugin schuld.
Seitenanfang Seitenende
10.08.2008, 22:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 F:\UFO.exe ist noch da

irgendwo gibt es jetzt ein infizierter USB-stick/MP3-Player oder camera,die wenn er wieder angeschlossen wird
diesen Rechner oder andere PC's infiziert
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 22:49
Member

Themenstarter

Beiträge: 22
#7 Ja, komisch, obwohl das Registry Fix zunächst funktioniert hatte.

Aber das mit F:\UFO.exe bedeutet doch, dass wenn ein usb stick(ohne infektion) etc als Laufwerk F anschließe, dieser dann zunächst mit der UFO.exe infiziert wird?
Das war ein USB Stick, der unseren PC infiziert hat.

Wie bekomme ich das denn aus der Registry raus?
Seitenanfang Seitenende
10.08.2008, 23:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
F:\UFO.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{461ab5c2-6182-11dd-9521-001478123eb4}]
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log

INFO:http://virus-protect.org/artikel/spyware/activexdebugger32.html
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 23:18
Member

Themenstarter

Beiträge: 22
#9

Zitat

ComboFix 08-08-10.01 - OLIVER 2008-08-10 23:10:00.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.637 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\OLIVER\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\OLIVER\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
F:\UFO.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-10 bis 2008-08-10 ))))))))))))))))))))))))))))))
.

2008-08-09 00:29 . 2008-08-09 00:30 <DIR> d-------- C:\Programme\Opera
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-08-07 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-07 17:26 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-07 17:26 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 17:21 . 2008-08-07 17:21 <DIR> d-------- C:\Programme\CCleaner
2008-08-02 11:30 . 2008-08-02 11:30 <DIR> d-------- C:\Programme\Xplosiv
2008-08-02 10:51 . 2008-08-02 10:52 <DIR> d-------- C:\Programme\Jam XM
2008-08-02 10:45 . 2008-08-02 10:45 <DIR> d-------- C:\Programme\OniGames
2008-07-28 17:29 . 2007-03-16 10:19 5,174 -ra------ C:\WINDOWS\system32\nppt9x.vxd
2008-07-28 17:29 . 2007-03-16 10:19 4,682 -ra------ C:\WINDOWS\system32\npptNT2.sys
2008-07-28 17:17 . 2008-07-28 17:43 <DIR> d-------- C:\Programme\Lineage II
2008-07-28 17:16 . 2008-07-28 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\InstallShield
2008-07-27 02:39 . 2008-07-27 02:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-27 02:39 . 2008-07-27 02:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Programme\Avira
2008-07-27 02:07 . 2008-07-27 02:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-27 02:00 . 2008-07-27 02:00 <DIR> d-------- C:\Programme\Trend Micro
2008-07-27 01:50 . 2008-07-27 01:50 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\vlc
2008-07-27 01:47 . 2008-07-27 01:47 <DIR> d-------- C:\Programme\VideoLAN
2008-07-27 01:46 . 2008-07-27 01:46 <DIR> d-------- C:\Programme\Combined Community Codec Pack
2008-07-26 21:46 . 2008-07-26 21:46 <DIR> d-------- C:\Downloads
2008-07-26 21:21 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Vorlagen(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\UserData(2)
2008-07-26 20:51 . 2006-05-17 14:06 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP(2)\Netzwerkumgebung
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Lokale Einstellungen(2)
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Favoriten
2008-07-26 20:51 . 2008-07-26 20:51 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP(2)\Eigene Dateien
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Desktop(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP(2)\Anwendungsdaten(2)
2008-07-26 20:51 . 2008-07-26 21:19 <DIR> d---s---- C:\Dokumente und Einstellungen\TEMP(2)
2008-07-22 22:00 . 2008-07-22 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Avant Profiles
2008-07-22 11:00 . 2008-07-22 11:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-21 14:30 . 2008-07-22 10:39 <DIR> d-------- C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\skypePM
2008-07-21 14:30 . 2008-07-21 14:30 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-07-20 14:13 . 2008-07-26 21:21 <DIR> d-------- C:\Programme\DevastationZone Troopers

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-10 20:25 --------- d-----w C:\Programme\WLAN Monitor
2008-08-10 20:25 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Skype
2008-08-10 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-07 20:15 --------- d-----w C:\Programme\WLAN Quick-Starter
2008-08-07 19:55 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\OpenOffice.org2
2008-08-01 17:43 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-07-28 15:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 12:40 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-07-27 00:39 --------- d-----w C:\Programme\Lavasoft
2008-07-27 00:39 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Lavasoft
2008-07-26 23:32 --------- d-----w C:\Programme\Avant Browser
2008-07-26 19:59 --------- d-----w C:\Programme\Tibia
2008-07-26 19:32 --------- d-----w C:\Programme\Java
2008-07-26 19:21 --------- d-----w C:\Programme\Allok 3GP PSP MP4 iPod Video Converter
2008-07-26 19:19 --------- d-----w C:\Programme\Dofus
2008-07-05 01:39 --------- d-----w C:\Programme\ALO SOFT
2008-07-04 23:35 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Notepad++
2008-07-04 23:33 --------- d-----w C:\Programme\Notepad++
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 12:17 --------- d-----w C:\Dokumente und Einstellungen\OLIVER\Anwendungsdaten\Tibia
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2006-08-28 11:55 8 --sh--r C:\WINDOWS\system32\92F0C6A721.sys
2006-08-28 11:55 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 14:31 22880040]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 12:32 401491]
"Gadu-Gadu"="C:\Programme\Gadu-Gadu\gg.exe" [2006-11-14 11:12 1849032]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 21:05 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2006-07-13 23:35 147456]
"wlconfig"="C:\PROGRA~1\WLANMO~1\wlconfig.exe" [2006-03-06 13:45 1347584]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Onet.pl AutoUpdate"="C:\Programme\Common Files\Onet.pl\AutoUpdate.exe" [2006-02-08 16:40 260096]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-06-19 12:40 282624]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 16:22 577536 C:\WINDOWS\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-08-05 15:15:58 10915840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
"MSACM.CEGSM"= mobilev.acm
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
--a------ 2006-11-14 11:12 1849032 C:\Programme\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-23 15:45 278528 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-06-19 12:40 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-12-22 00:11 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
--------- 2006-10-24 21:05 204288 C:\Programme\Windows Media Player\wmpnscfg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
--a------ 2005-11-01 04:15 163840 C:\WINDOWS\system32\VTTrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CiSvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\Avant Browser\\avant.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\WLAN Quick-Starter\\WLAN Quick-Starter.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56651:TCP"= 56651:TCP:pando P2P TCP Listening Port
"56651:UDP"= 56651:UDP:pando P2P UDP Listening Port

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 10:06]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-03-20 09:28]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe []
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-03-20 09:28]
S3 CBTNDIS5;CBTNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\CBTNDIS5.SYS [2003-07-16 23:28]
S3 krdpdre;krdpdre;C:\DOKUME~1\OLIVER\LOKALE~1\Temp\krdpdre.sys []
S3 XDva090;XDva090;C:\WINDOWS\system32\XDva090.sys []
S3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-03-20 09:28]
.
Inhalt des "geplante Tasks" Ordners

2008-08-10 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-10 23:13:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-08-10 23:15:52
ComboFix-quarantined-files.txt 2008-08-10 21:14:50
ComboFix2.txt 2008-08-10 20:16:57
ComboFix3.txt 2008-08-07 19:26:20

Pre-Run: 19 Verzeichnis(se), 163,366,625,280 Bytes frei
Post-Run: 21 Verzeichnis(se), 163,353,853,952 Bytes frei

178 --- E O F --- 2008-07-27 00:47:33
Seitenanfang Seitenende
10.08.2008, 23:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Es gibt ein Tool um "Autorun.inf "zu de-aktivieren wenn du es benutzen willst sag es mir
Ich muss es dann erst mal übersetzen
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 23:32
Member

Themenstarter

Beiträge: 22
#11 ja das wär ganz gut. Inwiefern übersetzen?

und nochmal danke ;)
Seitenanfang Seitenende
10.08.2008, 23:39
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Nicht alle Tools kommen aus Deutschland lol

Download AutoRun.reg zum Desktop

Doppelklick AutoRun.reg und fuege es den registry zu
Note: Vista Benutzer rechtsklick Run as Administrator
Entferne von dein Desktop AutoRun.reg

Wenn jetzt ein Infiziertes Gerät angeschlossen wird Infiziert es dein Rechner nicht gleich ;)
__________
MfG Argus
Seitenanfang Seitenende
14.08.2008, 22:06
Member

Themenstarter

Beiträge: 22
#13 Danke vielmals!

Nun hab ich noch ne andere Frage, auf wieder nem anderen PC befinden sich 3 exe Dateien (WLoader.exe , FLoader.exe und LongX911.exe), die ständig versuchen auf iwas zuzugreifen. AntiVir erkennt dies, jedoch lässt sich damit keine Löschung vollziehen. Auch mit Malwarebyts AM lassen sich die Dateien nicht löschen.
Wie kann ich diese Dateien runter bekommen?
Seitenanfang Seitenende
15.08.2008, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 poste hier ein Log von Combofix vom betreffenden Rechner
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2008, 18:04
Member

Themenstarter

Beiträge: 22
#15

Zitat

ComboFix 08-08-14.05 - Silvia 2008-08-15 23:28:21.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.64 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Silvia\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fsmgmt.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-15 bis 2008-08-15 ))))))))))))))))))))))))))))))
.

2008-08-14 20:53 . 2008-08-14 20:53 17,920 --a------ C:\WINDOWS\system32\secpol.exe
2008-08-14 19:52 . 2008-08-14 19:52 <DIR> d-------- C:\Programme\Trend Micro
2008-08-14 18:29 . 2008-08-14 18:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-14 18:29 . 2008-08-14 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\Malwarebytes
2008-08-14 18:29 . 2008-08-14 18:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-14 18:29 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-14 18:29 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 18:23 . 2008-08-14 18:24 <DIR> d-------- C:\Programme\CCleaner
2008-08-13 23:23 . 2008-08-13 23:23 <DIR> d-------- C:\Programme\Avira
2008-08-13 23:23 . 2008-08-13 23:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 21:40 --------- d-----w C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\Skype
2008-08-14 16:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-14 15:31 --------- d-----w C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\OpenOffice.org2
2008-08-13 21:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-07-31 13:51 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-07-31 12:50 --------- d-----w C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\dvdcss
2008-07-21 20:17 --------- d-----w C:\Programme\Google
2008-06-27 18:50 --------- d-----w C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\Tibia
2007-09-23 14:03 92,064 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmmdm.sys
2007-09-23 14:03 9,232 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmmdfl.sys
2007-09-23 14:03 79,328 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmserd.sys
2007-09-23 14:03 66,656 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmbus.sys
2007-09-23 14:03 6,208 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmcmnt.sys
2007-09-23 14:03 5,936 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmwhnt.sys
2007-09-23 14:03 4,048 -c--a-w C:\Dokumente und Einstellungen\Silvia\mqdmcr.sys
2007-09-23 14:03 25,600 -c--a-w C:\Dokumente und Einstellungen\Silvia\usbsermptxp.sys
2007-09-23 14:03 22,768 -c--a-w C:\Dokumente und Einstellungen\Silvia\usbsermpt.sys
.

------- Sigcheck -------

2004-11-05 22:51 507392 33aa1f31de9099bb306f4195fec61421 C:\WINDOWS\system32\winlogon.exe
2004-11-05 22:51 507392 33aa1f31de9099bb306f4195fec61421 C:\WINDOWS\system32\dllcache\winlogon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-31 17:40 22879528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04 59392]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Silvia^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\Silvia\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Silvia^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Silvia\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-11-15 14:11 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:11 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-11-15 00:43 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Dokumente und Einstellungen\\Silvia\\Eigene Dateien\\Silvia\\nightly_09.08.2007\\miranda32.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=
"C:\\Dokumente und Einstellungen\\Silvia\\Eigene Dateien\\Silvia\\nightly_10.10.2007\\Nightly\\miranda32.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-09-29 19:52]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-09-29 19:52]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-09-29 19:52]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-09-29 19:52]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-09-29 19:52]
S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2008-06-10 23:31]
.
Inhalt des "geplante Tasks" Ordners

2008-07-30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Silvia\Anwendungsdaten\Mozilla\Firefox\Profiles\stoe095w.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 23:35:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ehome\ehRecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\ehome\ehmsas.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-15 23:45:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-15 21:45:11
ComboFix2.txt 2008-08-14 18:42:07

Pre-Run: 139,472,896 Bytes frei
Post-Run: 138,706,944 Bytes frei

134
Seitenanfang Seitenende