Hallo ihr Guten ...
VozzieMaker ist irgendein Zusatz von irgendeinem Messanger meiner Tochter. Hab ich schon entfernt, taucht aber immer auf.
Spystopper kenn ich gar nicht. Muß sich irgendwie eingeschleust haben ... hmmm *grübel*
Und Messenger Skinner hab ich schon deinstalliert, nachdem Hijackthis es mir empfahl.
hier also das Logfile von Combofix:
ComboFix 08-03-26.3 - Anja 2008-03-28 13:45:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.636 [GMT 1:00]
ausgeführt von:: D:\Anwendungen\Systemschutz\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\icmkekr.dat
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\icmkekr.exe
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\icmkekr_nav.dat
C:\Dokumente und Einstellungen\Anja\Lokale Einstellungen\Anwendungsdaten\icmkekr_navps.dat
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\winsys.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.
2008-03-28 10:06 . 2008-03-28 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Make A Voozie
2008-03-28 10:05 . 2008-03-28 10:05 <DIR> d-------- C:\Programme\Skype
2008-03-28 10:05 . 2008-03-28 10:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-03-28 10:05 . 2008-03-28 13:48 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Skype
2008-03-28 09:57 . 2008-03-28 09:57 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\VoozieMaker
2008-03-28 09:45 . 2008-03-28 09:45 <DIR> d-------- C:\Programme\CleanUp!
2008-03-14 05:36 . 2006-02-19 16:47 97,056 -ra------ C:\WINDOWS\system32\drivers\W700mdm.sys
2008-03-14 05:36 . 2006-02-19 16:48 88,560 -ra------ C:\WINDOWS\system32\drivers\W700mgmt.sys
2008-03-14 05:36 . 2006-02-19 16:48 86,368 -ra------ C:\WINDOWS\system32\drivers\W700obex.sys
2008-03-14 05:36 . 2006-02-19 16:47 9,264 -ra------ C:\WINDOWS\system32\drivers\W700mdfl.sys
2008-03-14 05:36 . 2006-02-19 16:47 6,208 -ra------ C:\WINDOWS\system32\drivers\W700cmnt.sys
2008-03-14 05:36 . 2006-02-19 16:47 6,208 -ra------ C:\WINDOWS\system32\drivers\W700cm.sys
2008-03-14 05:35 . 2006-02-19 16:47 61,536 -ra------ C:\WINDOWS\system32\drivers\W700bus.sys
2008-03-14 05:35 . 2006-02-19 16:48 5,840 -ra------ C:\WINDOWS\system32\drivers\W700whnt.sys
2008-03-14 05:35 . 2006-02-19 16:48 5,840 -ra------ C:\WINDOWS\system32\drivers\W700wh.sys
2008-03-12 21:55 . 2008-03-12 21:55 10 --a------ C:\WINDOWS\popcinfo.dat
2008-03-12 12:44 . 2008-03-12 12:44 <DIR> d---s---- C:\Dokumente und Einstellungen\Anja\UserData
2008-03-12 11:55 . 2008-01-27 10:55 21,664 --------- C:\WINDOWS\hpoins01.dat.temp
2008-03-12 11:55 . 2003-04-05 15:33 16,622 --------- C:\WINDOWS\hpomdl01.dat.temp
2008-03-12 11:07 . 2008-03-28 09:55 45 --a------ C:\contactlist.xml
2008-03-11 12:06 . 2008-03-14 04:59 522 --a------ C:\hpfr3420.xml
2008-03-11 08:47 . 2008-03-11 08:47 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-03-11 08:46 . 2008-03-28 09:57 1,172 --a------ C:\WINDOWS\system32\ezdigsgn.dat
2008-03-11 08:42 . 2008-03-11 12:27 <DIR> d-------- C:\Programme\Skylook
2008-03-11 08:41 . 2008-03-11 08:41 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Reallusion
2008-03-11 08:41 . 2008-03-11 08:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-03-10 18:10 . 2008-03-10 18:10 <DIR> d-------- C:\Programme\Purgatio Pro
2008-03-10 18:08 . 2008-03-10 18:08 <DIR> d-------- C:\QB2000
2008-03-10 18:08 . 2008-03-10 18:08 <DIR> d-------- C:\~QBTemp
2008-03-10 18:08 . 1997-05-29 16:31 315,904 --a------ C:\WINDOWS\IsUn0407.exe
2008-03-10 18:08 . 2008-03-10 18:08 3,402 --a------ C:\WINDOWS\DeIsL1.isu
2008-03-10 18:07 . 2008-03-10 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\WINDOWS
2008-03-10 18:03 . 2008-03-10 23:22 <DIR> d-------- C:\Programme\SpyBlocker Software
2008-03-10 18:03 . 2008-03-10 18:03 796,672 --a------ C:\WINDOWS\GPInstall.exe
2008-03-10 18:03 . 2001-04-26 22:12 57,399 --------- C:\WINDOWS\system32\Registry.ocx
2008-03-10 18:03 . 2001-06-06 20:42 20,480 --a------ C:\WINDOWS\sbuninst.exe
2008-03-10 17:58 . 2008-03-10 17:58 <DIR> d-------- C:\Programme\Eraser1.5
2008-03-10 17:57 . 2008-03-10 17:57 253,952 --------- C:\WINDOWS\Setup1.exe
2008-03-10 17:57 . 2008-03-10 17:57 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2008-03-10 17:55 . 2008-03-10 17:55 <DIR> d-------- C:\Programme\FireFly Studios
2008-03-10 07:14 . 2008-03-10 18:00 <DIR> d-------- C:\Programme\MP3Gain
2008-03-09 15:14 . 2008-03-09 15:14 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-03-09 15:13 . 2008-03-10 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Wildfire
2008-03-08 14:22 . 2008-03-08 14:22 17,144 --a------ C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-08 09:36 . 2008-03-08 09:36 <DIR> d-------- C:\WINDOWS\Sun
2008-03-07 18:15 . 2008-03-07 18:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-03-07 18:10 . 2008-03-28 09:25 <DIR> d-------- C:\Programme\Buyertools Reminder
2008-03-07 14:01 . 2008-03-07 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
2008-03-07 13:07 . 2008-03-07 13:07 <DIR> d-------- C:\Programme\Messenger Plus! Live
2008-03-07 13:07 . 2008-03-07 13:09 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Contacts
2008-03-07 13:06 . 2008-03-07 13:06 <DIR> d-------- C:\Programme\Windows Live
2008-03-07 13:04 . 2008-03-07 13:04 <DIR> d-------- C:\Programme\MessengerPlus! 3
2008-03-07 11:30 . 2008-03-07 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\ICQ
2008-03-07 11:29 . 2008-03-07 12:50 <DIR> d-------- C:\Programme\ICQ6
2008-03-07 11:29 . 2008-03-07 11:29 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\InstallShield
2008-03-07 11:03 . 2008-03-07 11:03 400 --a------ C:\WINDOWS\ODBC.INI
2008-03-07 11:02 . 2008-03-07 11:02 <DIR> d-------- C:\WINDOWS\ShellNew
2008-03-07 09:41 . 2008-03-07 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\TuneUp Software
2008-03-07 09:41 . 2008-03-07 09:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-03-07 09:41 . 2008-03-07 09:41 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-07 09:41 . 2008-02-27 13:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-07 09:40 . 2008-03-10 18:00 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-03-07 09:40 . 2008-03-07 09:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-07 09:36 . 2008-03-07 09:36 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-03-07 09:29 . 2008-03-10 10:43 <DIR> d-------- C:\Programme\XPcleanv5
2008-03-07 09:27 . 2008-03-07 11:24 <DIR> d-------- C:\Programme\WebWasher
2008-03-07 09:27 . 2008-03-28 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\skypePM
2008-03-07 09:27 . 2008-03-07 09:27 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-07 09:25 . 2008-03-07 09:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-03-07 09:25 . 2008-03-28 10:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-07 09:24 . 2008-03-07 09:25 <DIR> d-------- C:\Programme\Yahoo!
2008-03-07 09:18 . 2008-03-28 13:48 23,126,048 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-07 09:18 . 2008-03-28 13:47 274,100 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-07 09:16 . 2008-03-07 09:16 <DIR> d-------- C:\Programme\Zone Labs
2008-03-07 09:16 . 2008-03-07 09:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-03-07 09:14 . 2008-03-07 09:14 <DIR> d-------- C:\Programme\xp-AntiSpy
2008-03-07 09:12 . 2008-03-07 09:12 <DIR> d-------- C:\Programme\Avira
2008-03-07 09:12 . 2008-03-07 09:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 12:47 2,089,472 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-03-28 12:47 1,480,704 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-03-11 08:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-11 07:40 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-03 23:57 15360]
Skype=C:\Programme\Skype\Phone\Skype.exe [2007-12-07 15:08 21686568]
eMuleAutoStart=C:\Programme\eMule\emule.exe [2007-05-13 15:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
TrueImageMonitor.exe=C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe [2007-08-31 18:35 2622232]
AcronisTimounterMonitor=C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe [2007-08-31 18:43 907040]
Acronis Scheduler2 Service=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2007-08-31 18:38 140568]
SunJavaUpdateSched=C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [2007-09-25 01:11 132496]
NvCplDaemon=C:\WINDOWS\system32\NvCpl.dll [2007-06-28 17:43 8466432]
nwiz=nwiz.exe [2007-06-28 17:43 1626112 C:\WINDOWS\system32\nwiz.exe]
WinSys2=C:\WINDOWS\system32\winsys2.exe [2006-04-29 04:36 208896]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2007-06-28 17:43 81920]
LogitechSetup=E:\Setup\Setup.exe [ ]
avgnt=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-03-07 09:13 249896]
ZoneAlarm Client=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2007-12-13 19:27 919016]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2007-05-11 03:06 40048]
Make A Voozie=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Make A Voozie\VoozieMaker.exe [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-08-03 23:57 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-06-26 09:46 497200 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2006-06-26 10:34 614960 C:\Programme\Logitech\QuickCam10\QuickCam10.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2006-06-26 10:33 243248 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Make A Voozie]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Make A Voozie\VoozieMaker.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-12-19 04:12 16062464 C:\WINDOWS\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyBlocker]
--a------ 2002-01-12 00:24 1720320 C:\Programme\SpyBlocker Software\spyblocker.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyStopper]
C:\DOKUME~1\Anja\LOKALE~1\Temp\GpiTmp\spystopper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
DisableMonitoring=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe=
C:\\Programme\\Yahoo!\\Messenger\\YServer.exe=
C:\\Programme\\ICQ6\\ICQ.exe=
C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
C:\\Programme\\Windows Live\\Messenger\\livecall.exe=
C:\\Programme\\Skype\\Phone\\Skype.exe=
R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-01-27 00:20]
R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe [2007-08-31 19:49]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-07 09:41]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys [2006-02-19 16:47]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys [2006-02-19 16:47]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys [2006-02-19 16:47]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys [2006-02-19 16:48]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys [2006-02-19 16:48]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des geplante Tasks Ordners
2008-03-28 12:47:58 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
2008-01-27 09:55:51 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1201427735.job
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2008-03-28 13:48:20
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-28 13:49:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-28 12:49:17
7 Verzeichnis(se), 22,120,132,608 Bytes frei
9 Verzeichnis(se), 22,034,849,792 Bytes frei