System clean? Bitte GMER/ HJT/ MBAM Logs ansehen

#0
08.05.2010, 21:23
Moderator

Beiträge: 5694
#16 Genau ;) Setz nun den Laptop frisch auf.
Seitenanfang Seitenende
09.05.2010, 03:03
Member

Themenstarter

Beiträge: 14
#17 hier auch noch mal combofix zur sicherheit- scheint auch gut zu sein.

Code

ComboFix 10-05-08.01 - vaio tz 09.05.2010   1:56.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2038.1036 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\vaio tz\Desktop\bvmix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2010-04-09 bis 2010-05-09  ))))))))))))))))))))))))))))))
.

2010-05-08 18:25 . 2010-05-08 18:25    --------    d-sh--w-    c:\dokumente und einstellungen\LocalService\IETldCache
2010-05-08 16:08 . 2010-05-08 16:08    --------    d-sh--w-    c:\dokumente und einstellungen\vaio tz\PrivacIE
2010-05-08 14:39 . 2010-05-08 15:13    --------    d-----w-    c:\programme\KeyScrambler
2010-05-08 14:39 . 2009-10-04 21:33    115312    ----a-w-    c:\windows\system32\drivers\keyscrambler.sys
2010-05-08 13:17 . 2010-05-08 13:17    61440    ----a-w-    c:\windows\system32\PxSecure.dll
2010-05-08 13:17 . 2010-05-08 13:17    54792    ----a-w-    c:\windows\system32\drivers\pxrts.sys
2010-05-08 13:17 . 2010-05-08 13:17    30320    ----a-w-    c:\windows\system32\drivers\pxscan.sys
2010-05-08 13:17 . 2010-05-08 13:17    24400    ----a-w-    c:\windows\system32\drivers\pxkbf.sys
2010-05-08 13:17 . 2010-05-08 13:17    --------    d-----w-    c:\programme\Prevx
2010-05-08 13:17 . 2010-05-08 18:25    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-05-08 13:15 . 2010-05-08 13:15    932272    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\SandboxShared\PREVXCSIFREE.EXE
2010-05-08 13:13 . 2010-05-08 13:13    54792    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\Sandbox\KLSB2\Device\HarddiskVolume1\WINDOWS\system32\drivers\pxrts.sys
2010-05-08 13:12 . 2010-05-08 13:12    6367576    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\Sandbox\KLSB2\Device\HarddiskVolume1\Dokumente und Einstellungen\vaio tz\Lokale Einstellungen\Temp\pvxinst171.exe
2010-05-08 13:11 . 2010-05-08 13:11    932272    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\Sandbox\KLSB2\Device\HarddiskVolume2\Eigene Dateien\Downloads\PREVXCSIFREE.EXE
2010-05-08 12:25 . 2010-05-08 12:36    15944    ----a-w-    c:\windows\system32\drivers\hitmanpro35.sys
2010-05-08 12:25 . 2010-05-08 12:25    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Hitman Pro
2010-05-08 12:25 . 2010-05-08 12:25    --------    d-----w-    c:\programme\Hitman Pro 3.5
2010-05-08 10:01 . 2010-05-08 10:01    --------    d-----w-    c:\programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2010-05-08 08:20 . 2008-04-14 01:22    21504    -c--a-w-    c:\windows\system32\dllcache\hidserv.dll
2010-05-08 08:20 . 2008-04-14 01:22    21504    ----a-w-    c:\windows\system32\hidserv.dll
2010-05-07 20:32 . 2010-05-07 20:32    --------    d-sh--w-    c:\dokumente und einstellungen\Default User\IETldCache
2010-05-07 19:54 . 2010-05-07 19:54    932368    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\profiles-1-6.dll
2010-05-07 19:54 . 2010-05-07 19:54    678416    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\content_interpreter-1-1.dll
2010-05-07 19:54 . 2010-05-07 19:54    604688    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\gsg-3-9.dll
2010-05-07 19:54 . 2010-05-07 19:54    522768    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\database-1-5.dll
2010-05-07 19:54 . 2010-05-07 19:54    1096208    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\filtration-4-6.dll
2010-05-07 19:46 . 2010-05-07 19:46    80400    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-05-07 19:46 . 2010-05-07 19:46    80400    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-05-07 17:13 . 2010-05-07 17:13    --------    d-----w-    C:\promqryui
2010-05-07 11:31 . 2010-05-07 11:31    --------    d-----w-    c:\dokumente und einstellungen\vaio tz\DoctorWeb
2010-05-07 11:08 . 2010-05-07 11:08    52224    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-05-07 11:08 . 2010-05-07 11:08    117760    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-05-07 11:08 . 2010-05-07 11:08    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-07 11:07 . 2010-05-07 19:00    --------    d-----w-    c:\programme\SUPERAntiSpyware
2010-05-07 11:07 . 2010-05-07 11:07    --------    d-----w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\SUPERAntiSpyware.com
2010-05-07 05:14 . 2010-05-07 05:14    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-05-07 05:14 . 2010-05-07 05:14    --------    d-----w-    c:\programme\Sophos
2010-05-07 04:54 . 2010-05-07 04:54    --------    d-----w-    c:\programme\Trend Micro
2010-05-07 04:53 . 2010-05-07 04:53    --------    d-----w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Malwarebytes
2010-05-07 04:53 . 2010-04-29 13:39    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-07 04:53 . 2010-05-07 04:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-07 04:53 . 2010-04-29 13:39    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-05-07 04:53 . 2010-05-07 04:53    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-05-06 22:41 . 2010-05-08 10:17    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-06 22:41 . 2010-05-06 22:44    --------    d-----w-    c:\programme\Spybot - Search & Destroy

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-09 00:08 . 2008-04-19 16:04    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-05-09 00:05 . 2009-02-05 20:27    --------    d-----w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Hamachi
2010-05-07 19:46 . 2008-04-19 16:05    97549    ----a-w-    c:\windows\system32\drivers\klick.dat
2010-05-07 19:46 . 2008-04-19 16:05    113933    ----a-w-    c:\windows\system32\drivers\klin.dat
2010-05-07 19:11 . 2008-04-19 16:04    8829216    --sha-w-    c:\windows\system32\drivers\fidbox.dat
2010-05-07 19:11 . 2008-04-19 16:04    442400    --sha-w-    c:\windows\system32\drivers\fidbox2.dat
2010-05-07 19:11 . 2008-04-19 16:04    40772    --sha-w-    c:\windows\system32\drivers\fidbox2.idx
2010-05-07 19:11 . 2008-04-19 16:04    122456    --sha-w-    c:\windows\system32\drivers\fidbox.idx
2010-05-07 19:06 . 2008-04-19 16:04    --------    d-----w-    c:\programme\Kaspersky Lab
2010-05-07 19:02 . 2008-06-23 16:29    --------    d-----w-    c:\programme\Brother
2010-05-07 18:57 . 2008-11-30 18:01    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-05-07 18:52 . 2008-04-08 10:08    --------    d-----w-    c:\programme\Gemeinsame Dateien\InstallShield
2010-03-31 07:47 . 2004-11-11 05:00    81324    ----a-w-    c:\windows\system32\perfc007.dat
2010-03-31 07:47 . 2004-11-11 05:00    452544    ----a-w-    c:\windows\system32\perfh007.dat
2010-03-16 17:25 . 2009-05-15 09:21    --------    d-----w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks
2010-03-16 17:25 . 2010-03-16 17:25    144053    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks\uninstall.exe
2010-03-16 17:25 . 2010-02-11 19:31    5640640    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
2010-03-16 17:25 . 2010-03-16 17:25    1811472    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks\MoveMediaPlayerWin_071802000001.exe
2010-03-10 06:15 . 2004-11-11 05:00    420352    ----a-w-    c:\windows\system32\vbscript.dll
2010-02-25 06:15 . 2006-10-23 07:17    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-05-05 01:41    455680    ----a-w-    c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:04 . 2005-03-02 10:06    2027008    ----a-w-    c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:04 . 2005-03-02 10:06    2148864    ----a-w-    c:\windows\system32\ntoskrnl.exe
2010-02-12 10:03 . 2010-03-06 12:33    293376    ------w-    c:\windows\system32\browserchoice.exe
2010-02-12 04:33 . 2006-08-16 03:58    100864    ----a-w-    c:\windows\system32\6to4svc.dll
2010-02-11 19:31 . 2010-02-11 19:31    97216    ----a-w-    c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks\ie_bin\MovePlayerUpgrade.exe
2010-02-11 12:02 . 2006-08-16 01:37    226880    ----a-w-    c:\windows\system32\drivers\tcpip6.sys
2009-02-24 19:34 . 2009-02-24 19:34    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2007-09-04 53248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-04 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-04 162328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-04 137752]
"Apoint"="c:\programme\Apoint\Apoint.exe" [2007-09-04 118784]
"SonyPowerCfg"="c:\programme\Sony\VAIO Power Management\SPMgr.exe" [2007-08-21 217088]
"Switcher.exe"="c:\programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2007-08-31 503808]
"ISBMgr.exe"="c:\programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2008-03-04 999424]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2008-03-04 1101824]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-10-20 340456]
"LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-11 342312]
"HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [2010-05-08 5937984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-2-2 2756608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35    87352    ----a-w-    c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2007-05-16 18:50    73728    ----a-w-    c:\windows\system32\VESWinlogon.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^vaio tz^Startmenü^Programme^Autostart^hamachi.lnk]
path=c:\dokumente und einstellungen\vaio tz\Startmenü\Programme\Autostart\hamachi.lnk
backup=c:\windows\pss\hamachi.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16    39792    ----a-w-    c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2009-03-05 23:50    177472    ----a-w-    c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-03-11 12:52    342312    ----a-w-    c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OPT Drive Power Saving]
2007-08-21 14:49    1486848    ----a-w-    c:\programme\SONY\VAIO Power Management\OPT Drive Power Saving.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18    413696    ----a-w-    c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2008-04-03 14:48    21898024    ----a-r-    c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 19:29 36880]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [08.05.2010 15:17 30320]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [08.05.2010 15:17 6367576]
R2 HamachiService;Hamachi Service;c:\programme\Hamachi\hamachi.exe [05.02.2009 22:26 625952]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\rainfo.sys [24.07.2008 19:46 12856]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [07.05.2010 06:53 304464]
R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [08.05.2010 15:17 54792]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 20:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [25.03.2008 21:07 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 18:39 19472]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [07.05.2010 06:53 20952]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [08.05.2010 15:17 24400]
R3 SPI;Programmierbares E/A-Steuergerät von Sony;c:\windows\system32\drivers\SonyPI.sys [08.04.2008 12:24 37040]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 5U870UVC;Sony Visual Communication Camera VGP-VCC7;c:\windows\system32\drivers\5U870UVCx86.sys [19.04.2008 16:43 70144]
S3 KeyScrambler;KeyScrambler;c:\windows\system32\drivers\keyscrambler.sys [08.05.2010 16:39 115312]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\2F.tmp --> c:\windows\system32\2F.tmp [?]
S3 SonyImgF;Sony Image Conversion Filter Driver;c:\windows\system32\drivers\SonyImgF.sys [04.09.2007 09:50 31104]
.
Inhalt des "geplante Tasks" Ordners

2010-01-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uInternet Settings,ProxyOverride = *.local
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: sat1.de\www
FF - ProfilePath - c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Mozilla\Firefox\Profiles\rmat2c5l.default\
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\vaio tz\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-ControlCenter2 - c:\programme\Brother\ControlCenter2\brctrcen.exe
AddRemove-KeyScrambler - c:\programme\KeyScrambler\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-09 02:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2F.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ؕ€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1668)
c:\windows\system32\LMIinit.dll
c:\windows\system32\VESWinlogon.dll
c:\windows\system32\netprovcredman.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'explorer.exe'(3752)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\netprovcredman.dll
c:\windows\system32\LMIRfsClientNP.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\brss01a.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\programme\SONY\VAIO Event Service\VESMgr.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\Apoint\ApMsgFwd.exe
c:\programme\LogMeIn\x86\LMIGuardian.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\Apoint\Apntex.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-09  02:14:59 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-05-09 00:14

Vor Suchlauf: 5.779.136.512 Bytes frei
Nach Suchlauf: 5.773.336.576 Bytes frei

- - End Of File - - 43FF6FC299392E23259BB872E039B73A
Seitenanfang Seitenende
09.05.2010, 20:19
Moderator

Beiträge: 5694
#18 Ja ja ja ja ;) Alles gut ;)
Seitenanfang Seitenende
09.05.2010, 20:22
Member

Themenstarter

Beiträge: 14
#19 nun hatte ich mir auch noch darkspy 1_05 installiert- gibt aber einen bsod und kaspersky meint in der darkspykernel.sys ein rootkit zu finden...

eine der Viren war auf dem komprom. System wohl schon seit 8 Monaten, zumindest sagt das erstelldatum der Datei das....unschoen ;)(
Seitenanfang Seitenende
09.05.2010, 20:50
Moderator

Beiträge: 5694
#20 Ja das ist es, aber wie gesagt. Evtl wurde Dein System nur als BotNetz teil benutzt. Dazu werden denn auf Deinem System keine Daten geklaut. Sondern aunfach als Teil eines RIIESEn Servers missbraucht.
Seitenanfang Seitenende
09.05.2010, 20:58
Member

Themenstarter

Beiträge: 14
#21 diese Beschreibung von prevx passt auf sie Datei (auch groesse)

http://www.prevx.com/filenames/X207648470473105791-X1/OLDBOT.EXE.html

mbam hat auch im Februar immer wieder verbindungsversuche zu einer ip geblockt die den oldbot wohl gehostet hat.

wundert much nur dass bisher noch kein Vorfall bzgl Kreditkarten etc passiert ist....
Seitenanfang Seitenende
09.05.2010, 21:05
Moderator

Beiträge: 5694
#22 Wie gesagt. Es muss nicht immer sein dass Du auch ein Opfer wirst von direkter Cyberkriminalität.
Seitenanfang Seitenende
10.05.2010, 11:27
Member

Themenstarter

Beiträge: 14
#23 ich habe eben auch noch meinen office pc durchlaufen lassen, bitte um beruhigung meines gewissens...falls noch weitere logs benötigt werden, ich bin bereit ;)

virenschutz: symantec endpoint protection 12 mit maktivierten modulen viren/spywarwschutz, proaktiver bedrohungsschutz und netzwerkbedrohungsschutz: keine funde

superantispyware hat bis auf tracking cookies nichts gefunden.

ESET online scanner hat nichts gefunden.

HJT

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:21:58, on 10.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\LogMeIn\x86\RaMaint.exe
C:\Programme\LogMeIn\x86\LogMeIn.exe
C:\Programme\LogMeIn\x86\LMIGuardian.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Symantec\Backup Exec System Recovery\Shared\Drivers\SymSnapService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\LogMeIn\x86\LogMeInSystray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\VMware\VMware Workstation\vmware-tray.exe
C:\Programme\Citrix\ICA Client\concentr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProTray.exe
C:\Programme\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Citrix\ICA Client\wfcrun32.exe
C:\Programme\Symantec AntiVirus\SmcGui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\windows-kb890830-v3.6-delta.exe
c:\4a3c5e67e19194cd26cc1e\mrtstub.exe
C:\WINDOWS\system32\MRT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://xxxx-9:30464/xxxxsportal
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SafeOnline BHO - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Programme\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [ConnectionCenter] "C:\Programme\Citrix\ICA Client\concentr.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Backup Exec System Recovery 2010] "C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProTray.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI699F~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O15 - Trusted Zone: http://www.immobilienscout24.de
O15 - Trusted Zone: http://www.superantispyware.com
O15 - Trusted IP range: http://217.175.232.208
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241594555898
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxSYSTEM.DE
O17 - HKLM\Software\..\Telephony: DomainName = xxxxSYSTEM.DE
O17 - HKLM\System\CCS\Services\Tcpip\..\{81F7093D-BC3A-472E-BC15-1B844946C29E}: NameServer = 192.51.32.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxSYSTEM.DE
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Backup Exec System Recovery - Symantec Corporation - C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: GenericMount Helper Service - Symantec - C:\Programme\Symantec\Backup Exec System Recovery\Shared\Drivers\GenericMountHelper.exe
O23 - Service: Google Update Service (gupdate1c9a0c72696d508) (gupdate1c9a0c72696d508) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programme\Symantec AntiVirus\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programme\Symantec AntiVirus\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymSnapService - Symantec - C:\Programme\Symantec\Backup Exec System Recovery\Shared\Drivers\SymSnapService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 11158 bytes
MBAM

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4085

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.05.2010 10:41:07
mbam-log-2010-05-10 (10-41-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152707
Laufzeit: 10 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
GMER

Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-10 08:16:40
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\uxtdapog.sys


---- System - GMER 1.0.15 ----

SSDT            89E31B00                                                                                       ZwAlertResumeThread
SSDT            89E32308                                                                                       ZwAlertThread
SSDT            8A3F32E8                                                                                       ZwAllocateVirtualMemory
SSDT            8A3C9330                                                                                       ZwConnectPort
SSDT            89E352D0                                                                                       ZwCreateMutant
SSDT            8A512548                                                                                       ZwCreateThread
SSDT            8A46E3A8                                                                                       ZwFreeVirtualMemory
SSDT            89E30B00                                                                                       ZwImpersonateAnonymousToken
SSDT            89E31348                                                                                       ZwImpersonateThread
SSDT            8A42BF30                                                                                       ZwMapViewOfSection
SSDT            89E30348                                                                                       ZwOpenEvent
SSDT            8A3BF3E0                                                                                       ZwOpenProcessToken
SSDT            8A42BB98                                                                                       ZwOpenThreadToken
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)  ZwProtectVirtualMemory [0xBA9ED6B0]
SSDT            8A3C73E0                                                                                       ZwResumeThread
SSDT            8A3EA750                                                                                       ZwSetContextThread
SSDT            8A405990                                                                                       ZwSetInformationProcess
SSDT            8A3C5558                                                                                       ZwSetInformationThread
SSDT            89E2F348                                                                                       ZwSuspendProcess
SSDT            8A4DF9F8                                                                                       ZwSuspendThread
SSDT            8A4DAB78                                                                                       ZwTerminateProcess
SSDT            8A5102B8                                                                                       ZwTerminateThread
SSDT            89E2FB40                                                                                       ZwUnmapViewOfSection
SSDT            8A3F3258                                                                                       ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2C14                                                           805044B0 4 Bytes  CALL 14DA83E7

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\SearchIndexer.exe[2436] kernel32.dll!WriteFile                             7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!DialogBoxParamW                   7E3747AB 5 Bytes  JMP 4119541D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!CreateWindowExW                   7E37D0A3 5 Bytes  JMP 4126D6EC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!DialogBoxIndirectParamW           7E382072 5 Bytes  JMP 4136441F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!MessageBoxIndirectA               7E38A082 5 Bytes  JMP 41364351 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!DialogBoxParamA                   7E38B144 5 Bytes  JMP 413643BC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!MessageBoxExW                     7E3A0838 5 Bytes  JMP 41364222 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!MessageBoxExA                     7E3A085C 5 Bytes  JMP 41364284 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!DialogBoxIndirectParamA           7E3A6D7D 5 Bytes  JMP 41364482 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[4648] USER32.dll!MessageBoxIndirectW               7E3B64D5 5 Bytes  JMP 413642E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!DialogBoxParamW                   7E3747AB 5 Bytes  JMP 4119541D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!SetWindowsHookExW                 7E37820F 5 Bytes  JMP 41269865 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!CallNextHookEx                    7E37B3C6 5 Bytes  JMP 4125CEE9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!CreateWindowExW                   7E37D0A3 5 Bytes  JMP 4126D6EC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!UnhookWindowsHookEx               7E37D5F3 5 Bytes  JMP 411D4602 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!DialogBoxIndirectParamW           7E382072 5 Bytes  JMP 4136441F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!MessageBoxIndirectA               7E38A082 5 Bytes  JMP 41364351 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!DialogBoxParamA                   7E38B144 5 Bytes  JMP 413643BC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!MessageBoxExW                     7E3A0838 5 Bytes  JMP 41364222 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!MessageBoxExA                     7E3A085C 5 Bytes  JMP 41364284 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!DialogBoxIndirectParamA           7E3A6D7D 5 Bytes  JMP 41364482 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] USER32.dll!MessageBoxIndirectW               7E3B64D5 5 Bytes  JMP 413642E6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] ole32.dll!CoCreateInstance                   774D057E 5 Bytes  JMP 4126D748 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text           C:\Programme\Internet Explorer\iexplore.exe[5544] ole32.dll!OleLoadFromStream                  774F9C85 5 Bytes  JMP 413647A0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device                                                                                                         Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                         Fastfat.SYS (Fast FAT File System Driver/Microsoft Corporation)
Device          \Driver\Tcpip \Device\Ip                                                                       wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                       SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\Tcpip \Device\Tcp                                                                      wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device                                                                                                         rdpdr.sys (Microsoft RDP Device redirector/Microsoft Corporation)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                         symsnap.sys (StorageCraft Volume Snap-Shot/StorageCraft)

Device          \Driver\usbhub \Device\00000078                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\00000079                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Tcpip \Device\Udp                                                                      wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\Tcpip \Device\RawIp                                                                    wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\usbuhci \Device\USBFDO-0                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-1                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007a                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-2                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\Tcpip \Device\IPMULTICAST                                                              wpsdrvnt.sys (Symantec CMC Firewall WPS/Symantec Corporation)
Device          \Driver\usbhub \Device\0000007b                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-3                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device                                                                                                         mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device          \Driver\usbhub \Device\0000007c                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-4                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007d                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbuhci \Device\USBFDO-5                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbhub \Device\0000007e                                                                hcmon.sys (VMware USB monitor/VMware, Inc.)
Device          \Driver\usbehci \Device\USBFDO-6                                                               hcmon.sys (VMware USB monitor/VMware, Inc.)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout             15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                              yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                            
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout             90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota               10000

---- EOF - GMER 1.0.15 ----
Dieser Beitrag wurde am 10.05.2010 um 11:41 Uhr von scared editiert.
Seitenanfang Seitenende
10.05.2010, 18:00
Member

Themenstarter

Beiträge: 14
#24 hier noch der OTL LOG

Code

OTL logfile created on: 10.05.2010 14:49:50 - Run 1
OTL by OldTimer - Version 3.2.4.1     Folder = C:\Dokumente und Einstellungen\xxxDesktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 35,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 76,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 42,32 Gb Free Space | 56,79% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
Drive H: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive I: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive M: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive P: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive S: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive T: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS
Drive U: | 465,66 Gb Total Space | 205,88 Gb Free Space | 44,21% Space Free | Partition Type: NTFS

Computer Name: xxx
Current User Name: xxx
NOT logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Prevx\prevx.exe (Prevx)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
PRC - C:\Programme\Symantec AntiVirus\SmcGui.exe (Symantec Corporation)
PRC - C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProTray.exe (Symantec Corporation)
PRC - C:\Programme\LogMeIn\x86\LMIGuardian.exe (LogMeIn, Inc.)
PRC - C:\Programme\Citrix\ICA Client\concentr.exe (Citrix Systems, Inc.)
PRC - C:\Programme\Citrix\ICA Client\wfcrun32.exe (Citrix Systems, Inc.)
PRC - C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE (Microsoft Corporation)
PRC - C:\Programme\VMware\VMware Workstation\vmware-tray.exe (VMware, Inc.)
PRC - C:\Programme\Spybot - Search & Destroy\SpybotSD.exe (Safer Networking Limited)
PRC - C:\Programme\Spybot - Search & Destroy\SDUpdate.exe (Safer Networking Limited)
PRC - C:\Programme\LogMeIn\x86\LogMeInSystray.exe (LogMeIn, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


========== Win32 Services (SafeList) ==========


========== Driver Services (SafeList) ==========


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:1.9.9.74
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.10 12:07:42 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.10 12:07:40 | 000,000,000 | ---D | M]

[2009.03.30 14:54:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.05.10 12:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\9d1yxpk1.default\extensions
[2010.05.10 12:09:23 | 000,000,000 | ---D | M] (NoScript) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\9d1yxpk1.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.05.10 12:11:39 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\9d1yxpk1.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.05.10 12:25:04 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2007.04.03 15:14:56 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.09.13 00:05:42 | 000,124,240 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\CCMSDK.dll
[2009.09.13 00:06:22 | 000,070,488 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\CgpCore.dll
[2009.09.13 00:06:32 | 000,091,480 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\confmgr.dll
[2009.09.13 00:06:28 | 000,022,360 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\ctxlogging.dll
[2009.09.13 00:08:36 | 000,406,864 | ---- | M] () -- C:\Programme\Mozilla Firefox\plugins\npicaN.dll
[2005.06.25 17:08:08 | 006,153,728 | ---- | M] (VideoLAN Team) -- C:\Programme\Mozilla Firefox\plugins\npvlc.dll
[2009.09.13 00:06:24 | 000,023,896 | ---- | M] (Citrix Systems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\TcpPServ.dll
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.04.21 08:49:27 | 000,305,259 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1    www.007guard.com
O1 - Hosts: 127.0.0.1    007guard.com
O1 - Hosts: 127.0.0.1    008i.com
O1 - Hosts: 127.0.0.1    www.008k.com
O1 - Hosts: 127.0.0.1    008k.com
O1 - Hosts: 127.0.0.1    www.00hq.com
O1 - Hosts: 127.0.0.1    00hq.com
O1 - Hosts: 127.0.0.1    010402.com
O1 - Hosts: 127.0.0.1    www.032439.com
O1 - Hosts: 127.0.0.1    032439.com
O1 - Hosts: 127.0.0.1    www.0scan.com
O1 - Hosts: 127.0.0.1    0scan.com
O1 - Hosts: 127.0.0.1    www.1000gratisproben.com
O1 - Hosts: 127.0.0.1    1000gratisproben.com
O1 - Hosts: 127.0.0.1    www.1001namen.com
O1 - Hosts: 127.0.0.1    1001namen.com
O1 - Hosts: 127.0.0.1    100888290cs.com
O1 - Hosts: 127.0.0.1    www.100888290cs.com
O1 - Hosts: 127.0.0.1    100sexlinks.com
O1 - Hosts: 127.0.0.1    www.100sexlinks.com
O1 - Hosts: 127.0.0.1    10sek.com
O1 - Hosts: 127.0.0.1    www.10sek.com
O1 - Hosts: 127.0.0.1    www.1-2005-search.com
O1 - Hosts: 127.0.0.1    1-2005-search.com
O1 - Hosts: 10509 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (SafeOnline BHO) - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll (Prevx)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [ConnectionCenter] C:\Programme\Citrix\ICA Client\concentr.exe (Citrix Systems, Inc.)
O4 - HKLM..\Run: [LogMeIn GUI] C:\Programme\LogMeIn\x86\LogMeInSystray.exe (LogMeIn, Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [Symantec Backup Exec System Recovery 2010] C:\Programme\Symantec\Backup Exec System Recovery\Agent\VProTray.exe (Symantec Corporation)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [vmware-tray] C:\Programme\VMware\VMware Workstation\vmware-tray.exe (VMware, Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office 2003\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Programme\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Programme\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O15 - HKCU\..Trusted Domains: google.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: google.com ([mail] https in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: immobilienscout24.de ([www] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: superantispyware.com ([www] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Ranges: Range1 ([http] in Vertrauenswürdige Sites)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241594555898 (MUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab (DLC Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/products/plugin/autodl/jinstall-160-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0014-0002-0018-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_18)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} https://secure.logmein.com/activex/ractrl.cab?lmi=100 (Performance Viewer Activex Control)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxSYSTEM.DE
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.dll - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\LMIinit: DllName - LMIinit.dll - C:\WINDOWS\System32\LMIinit.dll (LogMeIn, Inc.)
O20 - Winlogon\Notify\NavLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.03.24 14:43:07 | 000,000,031 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.05.10 14:49:08 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.05.10 12:15:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.05.10 11:20:46 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.05.10 11:19:43 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.05.10 11:07:53 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.05.10 10:51:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2010.05.10 10:50:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SUPERAntiSpyware.com
[2010.05.10 10:50:49 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2010.05.10 10:50:30 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[2010.05.10 09:27:31 | 000,061,440 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll
[2010.05.10 09:27:30 | 000,054,792 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys
[2010.05.10 09:27:30 | 000,030,320 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys
[2010.05.10 09:27:30 | 000,024,400 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys
[2010.05.10 09:27:29 | 000,000,000 | ---D | C] -- C:\Programme\Prevx
[2010.05.10 09:27:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
[2010.05.10 09:13:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
[2010.05.10 09:13:10 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.05.10 09:13:09 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.05.10 09:13:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.05.10 09:13:08 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.05.10 09:10:32 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[b][2010.05.06 12:39:16 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010.05.06 12:39:16 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010.05.06 12:39:16 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe[/b]
[2010.05.06 12:39:16 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010.05.06 12:39:08 | 000,000,000 | --SD | C] -- C:\ComboFix
[2010.05.06 12:39:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[34 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.05.10 14:49:11 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.05.10 14:03:02 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.05.10 12:14:37 | 000,023,773 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.05.10 12:14:33 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.05.10 12:14:22 | 000,000,280 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.05.10 12:14:08 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.05.10 12:07:50 | 000,001,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.05.10 11:36:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.10 11:35:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.10 11:32:20 | 005,367,202 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.05.10 11:22:17 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.05.10 11:21:41 | 000,002,433 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.lnk
[2010.05.10 11:14:07 | 000,000,624 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.05.10 11:14:07 | 000,000,335 | -HS- | M] () -- C:\boot.ini
[2010.05.10 11:14:07 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.05.10 11:00:35 | 000,001,518 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\[url="http://www.ccleaner.de"]CCleaner[/url].lnk
[2010.05.10 10:50:52 | 000,000,758 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.05.10 09:27:31 | 000,061,440 | ---- | M] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll
[2010.05.10 09:27:30 | 000,054,792 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys
[2010.05.10 09:27:30 | 000,030,320 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys
[2010.05.10 09:27:30 | 000,024,400 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys
[2010.05.10 09:27:19 | 000,000,049 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.05.10 09:13:13 | 000,000,682 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2010.04.20 15:05:45 | 010,719,027 | ---- | M] () -- C:\cop.zip
[2010.04.14 05:07:10 | 000,001,893 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[34 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.05.10 12:07:50 | 000,001,572 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.05.10 11:20:47 | 000,002,433 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.lnk
[2010.05.10 11:17:53 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2010.05.10 11:00:35 | 000,001,518 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\[url="http://www.ccleaner.de"]CCleaner[/url].lnk
[2010.05.10 10:50:52 | 000,000,758 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2010.05.10 09:27:19 | 000,000,049 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.05.10 09:13:13 | 000,000,682 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[b][2010.05.06 12:39:16 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.05.06 12:39:16 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.05.06 12:39:16 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.05.06 12:39:16 | 000,077,312 | R--- | C] () -- C:\WINDOWS\MBR.exe[/b]
[2010.05.06 12:39:16 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.04.14 05:07:10 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2009.11.04 16:33:21 | 000,055,856 | R--- | C] () -- C:\WINDOWS\System32\vnetinst.dll
[2009.03.18 17:17:32 | 000,215,144 | R--- | C] () -- C:\WINDOWS\patchw32.dll
[2009.03.18 17:16:34 | 000,215,144 | R--- | C] () -- C:\WINDOWS\pw32a.dll
[2008.05.26 23:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 23:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 23:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.23 23:18:45 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[2007.08.06 13:07:30 | 000,008,784 | ---- | C] () -- C:\WINDOWS\System32\ractrlkeyhook.dll
[2007.07.06 14:04:07 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2007.07.06 14:04:07 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2007.05.23 15:12:35 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2007.05.22 16:40:36 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2007.04.12 16:42:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\vpc32.INI
[2007.04.03 15:00:23 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2007.04.03 14:52:49 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.03.05 13:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.02.23 11:27:53 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2007.02.23 11:25:48 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2007.02.23 11:08:28 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2005.03.30 10:46:22 | 000,029,035 | ---- | C] () -- C:\WINDOWS\cstasp.ini
[2001.10.28 17:42:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll
< End of report >
Seitenanfang Seitenende
10.05.2010, 19:04
Moderator

Beiträge: 5694
#25 Ich sehe keine Auffälligkeiten.
Seitenanfang Seitenende
16.05.2010, 09:44
Member

Themenstarter

Beiträge: 14
#26 ich habe jetzt bei diesem notebook (nicht das ursprunglich befallene) mal interessehalber die drweb live cd rüberlaufen lassen- da wurde im system restore ordner, der wohl am 09.05 erstellt wurde (durch combofix ?, denn ich hatte den sysrestore deaktiviert) eine sysdatei gefunden die einen schaden haben soll. auswertung hier: http://www.virustotal.com/de/analisis/48ec338c6140724474f260fd487329dd1d163ecef5f3749dbe5299aee7f4e450-1273994225

wie kommt es, dass nur eine datei im system restore vermeintlich befallen ist? das system sah doch sauber aus, noch dazu keinerlei komisches verhalten. somit muss ja wohl combofix die infizierte datei beim wiederherstellungspunkterstellen mit rüber kopiert haben oder interepretiere ich da was falsch? wie kann die sysdatei nur im sysrestore sein und nicht in anderen verzeichnissen? evtl. eine altlast da allem anschein nach ja nichts aktiv war??

EDIT: bei virustotal gibt es auch einen link zu prevx!! http://info.prevx.com/aboutprogramtext.asp?PX5=89F0FA7F0068DE98FAAA0108DCBAEA005C885017

ich habe am 09.05 von pctipp.ch darkspy anti rootkit installiert, das auch von KIS moniert wurde- laut hersteller ist das bei KIS ein FP! kann es sein, dass der darkspykernel-treiber auch von den anderen als vermeintliches rootkit erkannt wird??
Seitenanfang Seitenende
16.05.2010, 12:45
Moderator

Beiträge: 5694
#27 Wie Du bereits gesehen hast ist dies in der Systemwiederherstellung. Seit wann das dort ist kann man nicht sagen. Wie Du ebenfalls richtig siehst ist, dass es viele Programme gibt, z.B Emulatoren, welche Rootkiteigenschaften aufweisen und demzufolge auch als solche erkannt werden können.

Cmbofix erstellt immer einen neuen Systemwiederherstellungspunkt. Und da kann natürlich auch Altlast vorhanden sein. Denn Combofix hat ja nichts infiziertes angezeigt.

Mach dazu folgendes:

Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: