ComboFix 09-04-04.01 - admin 2009-04-08 17:22:54.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.895.464 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
----- BITS: Eventuell infizierte Webseiten -----
hxxp://winpcdown09.com
[color=blue]Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir wurde wiederhergestellt[/COLOR]
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-08 bis 2009-04-08 ))))))))))))))))))))))))))))))
.
2009-04-06 19:42 . 2009-04-06 19:42 <DIR> d-------- C:\rsit
2009-04-06 19:42 . 2009-04-06 21:24 <DIR> d-------- c:\programme\trend micro
2009-04-05 16:36 . 2009-04-05 16:36 38,912 --a------ c:\windows\promo.exe
2009-04-05 15:16 . 2009-04-05 15:16 <DIR> d-------- c:\programme\Apple Software Update
2009-04-05 15:16 . 2009-04-05 15:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-03-29 11:52 . 2009-03-29 11:52 <DIR> d-------- c:\dokumente und einstellungen\admin\Anwendungsdaten\vlc
2009-03-29 11:47 . 2009-03-29 11:50 <DIR> dr------- c:\programme\Video
2009-03-28 14:39 . 2009-04-05 16:15 <DIR> d-------- c:\dokumente und einstellungen\admin\dwhelper
2009-03-28 11:05 . 2006-02-28 14:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-03-28 11:04 . 2009-03-28 11:04 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-28 11:04 . 2009-03-28 11:04 <DIR> d-------- c:\windows\system32\drivers\UMDF
2009-03-28 11:04 . 2009-03-28 11:59 <DIR> d-------- c:\programme\Windows Media Connect 2
2009-03-27 10:35 . 2009-03-27 10:35 <DIR> d-------- c:\windows\Applian FLV Player
2009-03-27 10:35 . 2009-03-28 11:58 <DIR> d-------- c:\programme\FLV Player
2009-03-27 10:15 . 2009-04-05 15:16 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-27 10:15 . 2009-03-27 10:15 1,409 --a------ c:\windows\QTFont.for
2009-03-26 22:17 . 2009-03-26 22:14 102,664 --a------ c:\windows\system32\drivers\tmcomm.sys
2009-03-26 20:53 . 2009-03-26 20:53 <DIR> d-------- c:\windows\Sun
2009-03-26 13:06 . 2009-03-26 13:06 231,390 --a------ c:\programme\RootkitRevealer.zip
2009-03-26 10:23 . 2009-03-26 10:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\ACD Systems
2009-03-26 10:22 . 2009-03-26 10:23 <DIR> d-------- c:\programme\ACD Systems
2009-03-26 03:02 . 2009-03-27 16:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2009-03-26 02:56 . 2009-03-28 11:59 <DIR> d-------- c:\programme\Java
2009-03-26 02:56 . 2009-03-26 02:56 410,984 --a------ c:\windows\system32\deploytk.dll
2009-03-26 02:56 . 2009-03-26 02:56 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-03-25 13:08 . 2009-04-05 21:17 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-25 13:08 . 2009-03-25 13:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-25 13:08 . 2009-03-25 13:08 <DIR> d-------- c:\dokumente und einstellungen\admin\Anwendungsdaten\Malwarebytes
2009-03-25 13:08 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-25 13:08 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-21 11:49 . 2009-03-21 11:49 <DIR> d-------- c:\dokumente und einstellungen\admin\Anwendungsdaten\FastStone
2009-03-19 20:37 . 2009-03-26 10:31 <DIR> d-------- c:\dokumente und einstellungen\admin\Anwendungsdaten\ACD Systems
2009-03-19 20:32 . 2009-03-19 20:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems
2009-03-09 19:53 . 2009-03-28 11:58 <DIR> d-------- c:\programme\Eraser
2009-03-09 19:53 . 2009-03-09 19:53 <DIR> d--h----- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 18:51 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-04-07 13:12 --------- d-----w c:\dokumente und einstellungen\admin\Anwendungsdaten\U3
2009-04-05 19:17 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-05 19:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-05 13:17 --------- d-----w c:\programme\QuickTime
2009-04-05 13:16 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-03-28 09:26 --------- d-----w c:\programme\Online-Dienste
2009-03-25 14:11 1,878,888 ----a-w c:\programme\install_flash_player.exe
2009-03-22 15:40 --------- d-----w c:\dokumente und einstellungen\admin\Anwendungsdaten\AdobeUM
2009-03-22 10:49 --------- d---a-w c:\programme\VectorWorks ArchLand 12.5.0 R1
2009-02-14 10:32 13,765,176 ----a-w c:\programme\virusfighter_en.exe
2009-02-13 18:00 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-13 18:00 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-12 21:12 8,098 ----a-w C:\Ulq.bat
2009-02-12 21:12 198 ----a-w C:\RUI1.bat
2009-02-12 20:32 8,098 ----a-w C:\Ys4W.bat
2009-02-12 20:32 202 ----a-w C:\GmMefrEJ.bat
2008-12-16 20:22 168 ----a-w c:\programme\_DEISREG.ISR
2008-12-16 20:22 1,819 ----a-w c:\programme\DeIsL3.isu
2008-12-16 20:15 1,900 ----a-w c:\programme\DeIsL2.isu
2008-12-16 20:12 1,856 ----a-w c:\programme\DeIsL1.isu
2001-06-21 13:06 1,269,760 ----a-w c:\programme\Start_KBN.exe
2000-11-07 10:33 1,234,432 ----a-w c:\programme\Start_FPD.exe
2000-10-19 16:39 2,098,912 ----a-w c:\programme\KBN_help.hlp
2000-10-19 15:39 2,098,912 ----a-w c:\programme\Tdhilfe.hlp
1999-06-24 11:24 49,152 ----a-w c:\programme\_ISREG32.DLL
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=c:\windows\system32\ctfmon.exe [2006-02-28 15360]
MSMSGS=c:\programme\Messenger\msmsgs.exe [2004-08-04 1667584]
SpybotSD TeaTimer=c:\programme\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
Eraser=c:\programme\Eraser\Eraser.exe [2007-12-23 916240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon=c:\windows\system32\NvCpl.dll [2006-10-31 7634944]
NvMediaCenter=c:\windows\system32\NvMcTray.dll [2006-10-31 86016]
avgnt=c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
HP Software Update=c:\programme\HP\HP Software Update\HPWuSchd2.exe [2005-05-12 49152]
NeroFilterCheck=c:\windows\system32\NeroCheck.exe [2001-07-09 155648]
SunJavaUpdateSched=c:\programme\Java\jre6\bin\jusched.exe [2009-03-26 148888]
Adobe Reader Speed Launcher=c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
QuickTime Task=c:\programme\QuickTime\QTTask.exe [2009-01-05 413696]
nwiz=nwiz.exe [2006-10-31 c:\windows\system32\nwiz.exe]
RTHDCPL=RTHDCPL.EXE [2008-02-19 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=c:\windows\system32\CTFMON.EXE [2006-02-28 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624]
LUMIX Simple Viewer.lnk - c:\programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-12-18 57344]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe=
c:\\Programme\\VectorWorks ArchLand 12.5.0 R1\\VectorWorks.exe=
%windir%\\Network Diagnostic\\xpnetdiag.exe=
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{57094150-0033-11de-9480-002215c77572}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Inhalt des geplante Tasks Ordners
2009-04-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{9CB65206-89C4-402c-BA80-02D8C59F9B1D} - c:\programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-restor - c:\windows\system32\userload.exe
HKLM-Run-NWEReboot - (no file)
HKCU-Explorer_Run-Msn - c:\u4IQ4.exe
HKCU-Explorer_Run-MsnHost - c:\u4IQ4.exe
HKCU-Explorer_Run-MsnLoad - c:\u4IQ4.exe
HKCU-Explorer_Run-MsnConvert - c:\u4IQ4.exe
HKCU-Explorer_Run-MsnMessendger - c:\u4IQ4.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\5dfaksd3.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Video\VLC\npvlc.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url]http://www.gmer.net[/url]
Rootkit scan 2009-04-08 17:25:47
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\windows\system32\nvsvc32.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
c:\programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-08 17:27:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-08 15:27:22
Vor Suchlauf: 11 Verzeichnis(se), 285.479.907.328 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 285,582,352,384 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Home Edition /noexecute=optin /fastdetect /usepmtimer
186 --- E O F --- 2009-03-29 09:24:08