Trojaner / dann Scan mit Malwarebytes & Combofix / immer noch Probleme |
||
---|---|---|
#0
| ||
14.09.2008, 17:06
...neu hier
Beiträge: 2 |
||
|
||
14.09.2008, 18:13
Moderator
Beiträge: 7805 |
#2
Nutze bitte einmal sdfix: http://www.trojaner-board.de/369584-post2.html
Was genau verstehst du unter "Ausschalten des PCs ist nicht möglich" __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.09.2008, 19:54
...neu hier
Themenstarter Beiträge: 2 |
#3
Vielen Dank für den Hinweis, Ralf.
Ich werde versuchen, den hinweisen auf sdfix: http://www.trojaner-board.de/369584-post2.html zu folgen. "Poste ein neues Hijackthis Logfile" klingt freilich schon etwas komplizierter als die Schritte, die ich bislang unternommen hatte (Scan mit Malwarebytes & Combofix).... Zu Deiner Frage: "Ausschalten des PCs ist nicht möglich" bedeutet: Nach Start / Auschalten in windows XP erfolgt zunächst rasch wie gewohnt - Abmelden - Einstellungen aber der PC bleibt dann bei - Windoes wird heuterngefahren mehr als 1 Stunde stehen. Nach "Strom aus" und "Neustart" läuft der PC dann wieder. beste Grüsse ______________________________________________________________ Nachtrag: Vielen Dank für den Hinweis, Ralf. Ich habe SDFix genutzt. Vorgehen • Laden von SDFix (http:downloads.andymanchester.com) • speichern auf deinem Desktop. • Doppelklick auf Datei SDFix.exe / installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix) • Rechner neustarten (im abgesicherten Modus) • Öffnen des neu entstandenen SDFix Ordner / Doppelklick auf die RunThis.bat, um das Skript zu starten. • „Y“ / um den Reinigungsprozess zu beginnen. • Taste zu drücken, damit dein Rechner neustarten kann. • Rechner wird neu aufgestartet. • Fixtool läuft noch • Programm Finished • Ergebnis als einen Report.txt wird gespeichert Protokoll: SDFix: Version 1.225 Run by HP_Besitzer on 14.09.2008 at 22:28 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-14 22:41:23 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000064 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 "appinit_dlls"="" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe" "C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe" "C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Sat 22 Sep 2007 213 A.SHR --- "C:\BOOT.BAK" Sat 17 Jun 2006 330,240 A..H. --- "C:\Daten\Klaus\~WRL0005.tmp" Sun 7 Jan 2007 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.SYS" Sat 4 Nov 2006 23,040 A..H. --- "C:\Daten\KG2\Kinderatelier Kunterbunt\Korrespondenz\~WRL1099.tmp" Sat 4 Nov 2006 22,528 A..H. --- "C:\Daten\KG2\Kinderatelier Kunterbunt\Korrespondenz\~WRL1735.tmp" Sun 28 Oct 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp" Sun 7 Sep 2008 3,604,480 ...H. --- "C:\Daten\Karin\Bewerbungen\Zeugnisse\Bewerbungssatz_2008\~WRL0004.tmp" Wed 28 Jan 2004 60,416 A..H. --- "C:\Daten\KG2\Klaus Honorararbeiten\2005 Wenn der Geist die Materie kát\Beitr„ge der Autoren\~WRL0002.tmp" Sun 1 Oct 2006 24,064 A..H. --- "C:\Daten\Familie\Reisen\Flge\2006\Nati Ticket Peru 2006\Reklamation\Hotel Caracas\~WRL1271.tmp" Sun 1 Oct 2006 23,040 A..H. --- "C:\Daten\Familie\Reisen\Flge\2006\Nati Ticket Peru 2006\Reklamation\Hotel Caracas\~WRL1892.tmp" Sun 1 Oct 2006 19,968 A..H. --- "C:\Daten\Familie\Reisen\Flge\2006\Nati Ticket Peru 2006\Reklamation\Hotel Caracas\~WRL2001.tmp" Sun 1 Oct 2006 24,064 A..H. --- "C:\Daten\Familie\Reisen\Flge\2006\Nati Ticket Peru 2006\Reklamation\Hotel Caracas\~WRL3549.tmp" Finished! Status PC: leider weiterhin: "Ausschalten des PCs ist nicht möglich": Nach Start / Auschalten in windows XP erfolgt zunächst rasch wie gewohnt - Abmelden - Einstellungen Der PC bleibt aber dann auf der Stufe - "Windows wird heruntergefahren" mehr als 1 Stunde stehen. Nach "Strom aus" und "Neustart" läuft der PC dann wieder an. beste Grüsse Klaus Dieser Beitrag wurde am 14.09.2008 um 23:19 Uhr von mausfloh editiert.
|
|
|
||
15.09.2008, 14:52
Moderator
Beiträge: 7805 |
#4
Was da nun speziell hakt, kann ich dir leider nicht sagen. Du kannst es testweise damit versuchen:
http://www.windows-tweaks.info/html/shutdown_uphc.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
- Scan mit Malwarebytes & Combofix durchgeführt
- dennoch: immer noch Probleme: Abschalten des PCs nicht möglich, "windows wird heruntergefahren läuft endlos
1. Schadens-Ereignis
- Surfen im Internet 12.09.08
- Schadensmeldung von Windows:
Warning. Spyware deteted on your computer”
Warning! Win32/Adware:Virumonde / Detected on your computer
Warning! Win32/Privacy/Remover.M64 / Detected on your Computer
2. Bisheriges Vorgehen
2.1. Vorarbeiten
2.1.1. Temporäre Dateien beseitigen
2.1.1.1. CCleaner anwenden
- Download des Programmes unter http://www.virus-protect.org/CCleaner.html
- Ausführen des Programmes (Spywarefighter Version 2.0.60)
2.1.1.2 Datenträgerbereinigung mittels Windows
Start/Programme/Zubehör/Systemprogramme/Datenträgerbereinigung
- ausführen
- hier bei alles anhaken außer alte Dateien komprimieren
-----------------------------------------------------------------
2. Scan mit Malwarebytes
gestern. download des Programmes mbsetup.exe mit Hilfe von http://virus-protect.org/artikel/tools/malwarebytes.html
- die vorhandene (nicht aktualisierte Form des Programms) wurde zunächst verwendet (da Versuch der Aktualiserung endlos dauert)
2.1. Schnellscan
- der „Vollständige Scan schlägt zunächst fehl. Fehlermeldung: „a problem has been detected with your computer. Shut down to prevent damage to your computer.“
- daher zunächst Schnellscan durchgeführt:
- 25 infizzierte Objekte gefunden
- “Ergebnisse anzeigen / entfernen Auswahl” durchgeführt
- Neustart des Computers
- Das auf meinem Rechner installierte Virensuchprogramm Kasperski schlägt Alarm: „Computer infiziert“.
- 2 infizierte Bereiche
- Beide infizierte Bereiche lassen sich entfernen
- Erneute Fehlermeldung von Kaspeski: „Datei enthält schädliches Program. Die Desinfektion ist unmöglich.“
- Über Kasperksi habe ich löschen der Datei veranlasst
„13.09.2008 19:52:28
Datei C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP21\A0008041.sys wurde gelöscht.“
2.2. Vollständiger Scan
Der „vollständige Scan“ läuft nun problemlos / numehr keine infizierten Objekte gefunden
2.3. Scan-Berichte Malwarebytes' Anti-Malware 1.28
13.09.2008 18:17:39
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1145
Windows 5.1.2600 Service Pack 2
13.09.2008 18:17:39
mbam-log-2008-09-13 (18-17-39).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48363
Laufzeit: 16 minute(s), 45 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15
Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphcl1fj0e799.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcl1fj0e799 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\blphcl1fj0e799.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcl1fj0e799.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcl1fj0e799.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1145
Windows 5.1.2600 Service Pack 2
2.4. Von Malwarebytes “unter Quarantäne gestellt”:
-----------------------------------------------------------------------------------------------
3. Scan mit Combofix (http://www.virus-protect.org/artikel/tools/combofix.html)
-Download des Programmes Combofix unter
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- Speichern der Exe-Datei auf den Desktop
- schliessen alle Fenster, deaktiviere alle Hintergrundwaechter (Kasperki)
- Start combofix.exe
3.1. Log-Datei nach dem ersten Scan:
ComboFix 08-09-13.05 - HP_Besitzer 2008-09-14 10:12:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.529 [GMT 2:00]
ausgeführt von:: C:\Daten\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\dao350.dll
D:\Autorun.inf
((((((((((((((((((((((( Dateien erstellt von 2008-08-14 bis 2008-09-14 ))))))))))))))))))))))))))))))
.
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-13 16:06 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-13 16:06 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 23:49 . 2008-09-12 23:52 <DIR> d-------- C:\Programme\Fighters
2008-09-12 23:49 . 2008-09-12 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters
2008-09-08 16:31 . 2008-09-08 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-09-08 16:22 . 2008-09-08 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\ElsterFormular
2008-08-29 09:36 . 2008-08-29 09:36 15,496 --a------ C:\WINDOWS\system32\drivers\vffilter.sys
2008-08-18 21:22 . 2008-08-19 20:27 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 08:27 33,879,584 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-14 08:27 1,006,112 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-14 08:20 96,344 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-14 08:20 456,836 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-14 07:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-11 19:51 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Canon
2008-09-08 14:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-08 14:19 --------- d-----w C:\Programme\ElsterFormular
2008-09-07 11:29 --------- d-----w C:\Programme\Furnish Pro
2008-09-01 10:38 --------- d-----w C:\Programme\FreePDF_XP
2008-08-18 13:47 43,153 ----a-w C:\Programme\Furnish Pro uninstal.log
2008-08-06 16:45 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-01 19:14 30,586,814 ----a-w C:\Programme\CancDeCorro.rar
2008-07-24 15:04 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 18:25 352,670 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\mdb.bin
2008-06-26 06:04 59,384 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:14 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:41 553,456 ----a-w C:\Programme\incredimail_install.exe
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2003-02-28 10:32 11,776 ----a-w C:\WINDOWS\inf\dt154stickoem_wxp.exe
2002-11-14 20:32 55,808 ----a-w C:\WINDOWS\inf\devcon154stick.exe
2008-02-07 20:10 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 68856]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-14 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-27 36975]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-10-02 57344]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-03 61440]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2004-10-26 90112]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPwuSchd2.exe" [2005-05-12 49152]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-01-02 180269]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-12 77824]
"spywarefighterguard"="C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe" [2008-08-29 180872]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-12-18 227856]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 C:\WINDOWS\ALCXMNTR.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 PTK License-FIGHTERS-18668899;PTK License-FIGHTERS-18668899;C:\Programme\Fighters\licenseservice.exe [2008-08-29 283272]
R2 PTK Live Update-FIGHTERS-18668899;PTK Live Update-FIGHTERS-18668899;C:\Programme\Fighters\updateservice.exe [2008-08-29 307848]
R2 PTK Scanner-FIGHTERS-18668899;PTK Scanner-FIGHTERS-18668899;C:\Programme\Fighters\ScannerService.exe [2008-08-29 311944]
R2 PTK SharedAccess-FIGHTERS-18668899;PTK SharedAccess-FIGHTERS-18668899;C:\Programme\Fighters\configservice.exe [2008-08-29 139912]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 Vfscan;Vfscan;C:\WINDOWS\system32\DRIVERS\vffilter.sys [2008-08-29 15496]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 17664]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKCU-Run-Device Detection - C:\Programme\Aldi Sued Fotoservice\dd.exe
HKLM-Run-PCDrProfiler - (no file)
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.handelsblatt.com/news/Default.aspx
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 10:24:52
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Fighters\Spywarefighter\SpywarefighterTray.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\InfoCockpit.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 10:40:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-14 08:39:17
Pre-Run: 10 Verzeichnis(se), 183,606,927,360 Bytes frei
Post-Run: 18 Verzeichnis(se), 184,117,862,400 Bytes frei
193 --- E O F --- 2008-09-09 20:26:26
3.2. Log-Datei nach dem zweiten Scan:
ComboFix 08-09-13.05 - HP_Besitzer 2008-09-14 13:36:04.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.482 [GMT 2:00]
ausgeführt von:: C:\Daten\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-14 bis 2008-09-14 ))))))))))))))))))))))))))))))
.
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Malwarebytes
2008-09-13 16:06 . 2008-09-13 16:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-13 16:06 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-13 16:06 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 23:49 . 2008-09-12 23:52 <DIR> d-------- C:\Programme\Fighters
2008-09-12 23:49 . 2008-09-12 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters
2008-09-08 16:31 . 2008-09-08 16:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-09-08 16:22 . 2008-09-08 16:22 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Besitzer\ElsterFormular
2008-08-29 09:36 . 2008-08-29 09:36 15,496 --a------ C:\WINDOWS\system32\drivers\vffilter.sys
2008-08-18 21:22 . 2008-08-19 20:27 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 11:43 33,969,184 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-14 11:42 1,009,952 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-14 08:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-14 08:20 96,344 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-14 08:20 456,836 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-11 19:51 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Canon
2008-09-08 14:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-08 14:19 --------- d-----w C:\Programme\ElsterFormular
2008-09-07 11:29 --------- d-----w C:\Programme\Furnish Pro
2008-09-01 10:38 --------- d-----w C:\Programme\FreePDF_XP
2008-08-18 13:47 43,153 ----a-w C:\Programme\Furnish Pro uninstal.log
2008-08-06 16:45 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-01 19:14 30,586,814 ----a-w C:\Programme\CancDeCorro.rar
2008-07-24 15:04 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 18:25 352,670 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\mdb.bin
2008-06-26 06:04 59,384 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:14 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:41 553,456 ----a-w C:\Programme\incredimail_install.exe
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2003-02-28 10:32 11,776 ----a-w C:\WINDOWS\inf\dt154stickoem_wxp.exe
2002-11-14 20:32 55,808 ----a-w C:\WINDOWS\inf\devcon154stick.exe
2008-02-07 20:10 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-08 68856]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-14 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-27 36975]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-10-02 57344]
"HPHUPD08"="c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-02 49152]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-03 61440]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2004-10-26 90112]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPwuSchd2.exe" [2005-05-12 49152]
"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-01-02 180269]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2005-06-27 278528]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 1167360]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-12 77824]
"spywarefighterguard"="C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe" [2008-08-29 180872]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 C:\WINDOWS\ALCXMNTR.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2006-08-02 176128]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST-Infobereich.lnk - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-10-02 57344]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Sinus 154 stick WLAN Manager.lnk - C:\Programme\DT\Sinus 154 stick\Wifiusb.exe [2005-10-24 1024000]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 PTK License-FIGHTERS-18668899;PTK License-FIGHTERS-18668899;C:\Programme\Fighters\licenseservice.exe [2008-08-29 283272]
R2 PTK Live Update-FIGHTERS-18668899;PTK Live Update-FIGHTERS-18668899;C:\Programme\Fighters\updateservice.exe [2008-08-29 307848]
R2 PTK Scanner-FIGHTERS-18668899;PTK Scanner-FIGHTERS-18668899;C:\Programme\Fighters\ScannerService.exe [2008-08-29 311944]
R2 PTK SharedAccess-FIGHTERS-18668899;PTK SharedAccess-FIGHTERS-18668899;C:\Programme\Fighters\configservice.exe [2008-08-29 139912]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 Vfscan;Vfscan;C:\WINDOWS\system32\DRIVERS\vffilter.sys [2008-08-29 15496]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\ALDI Sued Foto Service\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2005-09-28 17664]
*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.handelsblatt.com/news/Default.aspx
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 -: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 -: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 -: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 13:42:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Zeit der Fertigstellung: 2008-09-14 13:44:06
ComboFix-quarantined-files.txt 2008-09-14 11:43:56
ComboFix2.txt 2008-09-14 08:40:17
Pre-Run: 10 Verzeichnis(se), 184,008,601,600 Bytes frei
Post-Run: 18 Verzeichnis(se), 183,990,063,104 Bytes frei
173 --- E O F --- 2008-09-09 20:26:26
4. Jetztiger Status PC
Ausschalten des PCs ist nicht möglich