hier ist das teil...
ComboFix 08-09-16.05 - Ortrun 2008-09-18 22:37:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.231 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ortrun\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Ortrun\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\bootvidgj.nls
C:\WINDOWS\system32\comuidsg.nls
C:\WINDOWS\system32\dpvvoxmh.nls
C:\WINDOWS\system32\drivers\msiffei.sys
C:\WINDOWS\system32\kildh3l.cfg
C:\WINDOWS\system32\mstimewd.nls
C:\WINDOWS\system32\scrruncqsj.nls
C:\WINDOWS\system32\slbiopfs2.nls
C:\WINDOWS\system32\tscfgwmijxsj.nls
C:\WINDOWS\system32\Update.dat
C:\WINDOWS\system32\xolehlpjh.nls
C:\WINDOWS\system32\comctl32.dll . . . ist infiziert!!
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ACE1F7
-------\Service_ace1f7
-------\Service_msIffei
((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 ))))))))))))))))))))))))))))))
.
2008-09-16 17:44 . 2008-09-16 17:45 <DIR> d-------- C:\rsit
2008-09-16 17:44 . 2008-09-18 22:07 <DIR> d-------- C:\Programme\trend micro
2008-09-14 14:35 . 2008-09-14 14:36 1,495 --a------ C:\WINDOWS\NAVWNT.MIF
2008-09-14 13:04 . 2008-09-14 13:04 <DIR> d-------- C:\Programme\Avira
2008-09-14 13:04 . 2008-09-14 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-14 11:38 . 2008-09-14 11:38 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-14 11:29 . 2008-09-14 11:34 8,494 --a------ C:\WINDOWS\system32\jdmsj.dat
2008-09-14 10:17 . 2008-09-14 10:17 24,576 --a------ C:\WINDOWS\system32\HBSOUL.dll
2008-09-13 23:06 . 2008-09-13 23:06 14,640 --a------ C:\WINDOWS\system32\drivers\HBKernel32.sys
2008-09-13 08:11 . 2008-09-13 08:11 288 --a------ C:\WINDOWS\system32\gdlhutqq.nls
2008-09-12 19:05 . 2008-09-12 19:05 288 --a------ C:\WINDOWS\system32\aucbccol.nls
2008-09-12 19:05 . 2008-09-12 19:05 216 --ahs---- C:\WINDOWS\system32\20A0D061.cfg
2008-09-12 19:02 . 2008-09-12 19:02 200 --ahs---- C:\WINDOWS\system32\495271CA.cfg
2008-09-12 16:26 . 2008-09-12 16:26 284 --ahs---- C:\WINDOWS\system32\D7C79813.cfg
2008-09-12 16:23 . 2008-09-12 16:23 192 --ahs---- C:\WINDOWS\system32\D91BC61E.cfg
2008-09-12 06:08 . 2008-09-12 06:08 224 --ahs---- C:\WINDOWS\system32\78B5E02E.cfg
2008-09-12 06:08 . 2008-09-12 06:08 184 --ahs---- C:\WINDOWS\system32\7ADC2AB1.cfg
2008-09-11 06:29 . 2008-09-11 06:29 26,015 --a------ C:\WINDOWS\system32\smzsj.dat
2008-09-11 06:27 . 2008-09-11 06:27 288 --a------ C:\WINDOWS\system32\ckdmrpnr.nls
2008-09-10 20:52 . 2008-09-10 20:52 216 --ahs---- C:\WINDOWS\system32\DBEAF7DC.cfg
2008-09-10 20:50 . 2008-09-10 20:51 4,139 --a------ C:\WINDOWS\system32\bpzsj.dat
2008-09-10 20:47 . 2008-09-12 19:03 452 --ahs---- C:\WINDOWS\system32\9CA963CA.cfg
2008-09-10 20:47 . 2008-09-10 20:47 428 --a------ C:\WINDOWS\system32\nwapi32dj.nls
2008-09-10 20:47 . 2008-09-10 20:47 192 --ahs---- C:\WINDOWS\system32\8566F82E.cfg
2008-09-10 20:44 . 2008-09-10 20:44 228 --ahs---- C:\WINDOWS\system32\4BF9CBA3.cfg
2008-09-10 20:43 . 2008-09-13 08:11 452 --ahs---- C:\WINDOWS\system32\CF8850CD.cfg
2008-09-10 20:42 . 2008-09-10 20:42 224 --ahs---- C:\WINDOWS\system32\5CC10129.cfg
2008-09-10 20:41 . 2008-09-10 20:41 192 --ahs---- C:\WINDOWS\system32\AF05A291.cfg
2008-09-10 20:40 . 2008-09-10 20:40 288 --a------ C:\WINDOWS\system32\rzmiasec.nls
2008-09-10 20:34 . 2008-09-10 20:34 50,176 --a------ C:\WINDOWS\lpk.dll
2008-09-10 20:34 . 2008-09-10 20:58 202 --a------ C:\WINDOWS\system32\down.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-18 19:16 --------- d-----w C:\Programme\StarMoney 6.0
2008-09-16 16:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-14 18:45 --------- d-----w C:\Dokumente und Einstellungen\Ortrun\Anwendungsdaten\CameraWindowDC
2008-09-14 12:40 --------- d-----w C:\Programme\Holdem Spy
2008-09-14 12:38 --------- d-----w C:\Programme\PartyGaming
2008-09-14 12:35 --------- d-----w C:\Programme\Symantec
2008-09-14 12:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-14 09:35 --------- d-----w C:\Programme\PokerRoom.com
2008-09-11 22:04 --------- d-----w C:\Dokumente und Einstellungen\Ortrun\Anwendungsdaten\ZoomBrowser EX
2008-08-05 17:14 --------- d-----w C:\Programme\Canon
2008-08-05 10:20 --------- d-----w C:\Programme\TechSmith
2008-07-19 09:52 --------- d-----w C:\Dokumente und Einstellungen\Ortrun\Anwendungsdaten\CANON INC
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
MSMSGS=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
GhostStartTrayApp=C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe [2002-08-15 94208]
LtMoh=C:\Programme\ltmoh\Ltmoh.exe [2003-01-02 172032]
HotKeysCmds=C:\WINDOWS\System32\hkcmd.exe [2003-01-24 114688]
LoadFujitsuQuickTouch=C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe [2002-08-29 353792]
LoadBtnHnd=C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe [2002-08-27 61440]
IndicatorUtility=C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe [2002-08-28 81920]
Apoint=C:\Programme\Apoint2K\Apoint.exe [2002-04-05 118784]
EM_EXEC=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE [2002-07-01 28672]
QuickTime Task=C:\Programme\QuickTime\qttask.exe [2006-09-01 282624]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
SunJavaUpdateSched=C:\Programme\Java\jre1.5.0_01\bin\jusched.exe [2004-12-06 36975]
AVMBlueClient=C:\Programme\avmclient\bluefritz.exe [2004-10-25 1662976]
AVMBLUEOBEX=C:\Programme\avmclient\AvmObex.exe [2004-10-25 364544]
avgnt=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
AGRSMMSG=AGRSMMSG.exe [2002-11-21 C:\WINDOWS\AGRSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE [2004-08-04 15360]
Picasa Media Detector=C:\Programme\Picasa2\PicasaMediaDetector.exe [2007-09-28 443968]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}= C:\PROGRA~1\Qualcomm\Eudora\EuShlExt.dll [2003-12-18 86016]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
vidc.3iv2= 3ivxVfWCodec.dll
VIDC.HFYU= huffyuv.dll
VIDC.VP31= vp31vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusOverride=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
C:\\Programme\\Nortel Networks\\Extranet.exe=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
3389:TCP= 3389:TCP:*
isabled
xpsp2res.dll,-22009
R0 HBKernel32;HBKernel32 Driver;C:\WINDOWS\system32\DRIVERS\HBKernel32.sys [2008-09-13 14640]
R1 GhPciScan;GhostPciScanner;C:\Programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 5632]
R2 AvmObexService;BT OBEX Service;C:\Programme\avmclient\AvmObexService.exe [2004-10-25 176128]
R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 59520]
R2 BT Connection Service;BT Connection Service;C:\Programme\avmclient\avmbtservice.exe [2004-10-25 299101]
R2 BT PAN Service;BT PAN Service;C:\Programme\avmclient\panapp.exe [2004-10-25 135168]
R2 ScFBPNT2;CanoScan FBP2 Port Driver;C:\WINDOWS\system32\drivers\ScFBPNT2.SYS [2000-02-08 15488]
R2 SHARSHTL;Shuttle Sharer;C:\WINDOWS\system32\Drivers\sharshtl.sys [1997-04-07 15744]
R3 AVMBTPARALLEL;Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2004-10-25 60288]
R3 AVMBTSERIAL;Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2004-10-25 61056]
R3 AVMBTSND;Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2004-10-25 49664]
R3 AVMCOWAN;ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2004-10-25 53248]
R3 CAPI_CIP;Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2004-10-25 374144]
R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2002-10-11 9049]
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2002-10-11 115008]
S0 epatapnt;epatapnt;C:\WINDOWS\system32\Drivers\epatapnt.mpd [1997-08-12 82944]
S2 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2002-10-11 115008]
S3 bfhubase;Eumex C 200 data (WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfhubase.sys [2004-10-25 796352]
S3 dbeaf7d;dbeaf7d;C:\WINDOWS\system32\dbeaf7d.sys [ ]
S3 e5e3454;e5e3454;C:\WINDOWS\system32\e5e3454.sys [ ]
S3 FXUSBASE;Eumex C 200 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-10-25 578432]
S3 NETBFPAN;Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2004-10-25 31818]
S3 NETPPPOI;PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS [2003-11-03 319488]
S3 ProcessNotify;ProcessNotify Driver;C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\winxpser.sys [ ]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [ ]
.
Inhalt des geplante Tasks Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
HKLM-Run-AuditMode - C:\sysprep\factory.exe
HKLM-Run-routcnf - C:\Programme\Telekom\T-Sinus 620data\routcnf.exe
HKLM-Run-pdfSaver3 - (no file)
HKLM-Run-HBService32 - System.exe
ShellExecuteHooks-{AF05A291-7249-4C15-B212-3E8D8C02438D} - AF05A291.dll
ShellExecuteHooks-{5CC10129-8B52-4248-A14D-E4099A943269} - 5CC10129.dll
ShellExecuteHooks-{CF8850CD-885D-4380-9E1B-8C987F011437} - CF8850CD.dll
ShellExecuteHooks-{4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F} - 4BF9CBA3.dll
ShellExecuteHooks-{9CA963CA-107C-4089-B0AB-31380F90D7E3} - 9CA963CA.dll
ShellExecuteHooks-{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} - C:\WINDOWS\system32\nwapi32dj.dll
ShellExecuteHooks-{8566F82E-03A4-416E-AEAC-66600D8881F1} - 8566F82E.dll
ShellExecuteHooks-{DBEAF7DC-D4AA-4A2E-958A-58E9A6BC11C7} - DBEAF7DC.dll
ShellExecuteHooks-{7ADC2AB1-5C6A-4178-82DA-94863354AF7C} - 7ADC2AB1.dll
ShellExecuteHooks-{78B5E02E-5F90-4D5F-869B-55351D5FBAAE} - 78B5E02E.dll
ShellExecuteHooks-{D91BC61E-7D78-4A2A-A336-7B97E8E52F0B} - D91BC61E.dll
ShellExecuteHooks-{D7C79813-9233-4AE0-832C-99B2E8019673} - D7C79813.dll
ShellExecuteHooks-{495271CA-D0C6-4052-ABE6-5B01C73CDFB0} - 495271CA.dll
ShellExecuteHooks-{20A0D061-7950-4B34-8E47-38D835DD9E6B} - 20A0D061.dll
SSODL-nwapi32dj.dll-{A2C3BA54-DF75-4881-8EB3-E54B26BBBBC9} - C:\WINDOWS\system32\nwapi32dj.dll
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Ortrun\Anwendungsdaten\Mozilla\Firefox\Profiles\jhrncmo7.default\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2008-09-18 22:43:43
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\epatapnt]
ImagePath=System32\Drivers\epatapnt.mpd
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Citrix\ICA Client\ssonsvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\ComCenter\IWatch.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-18 22:51:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-18 20:50:52
Vor Suchlauf: 2,028,433,408 Bytes frei
Nach Suchlauf: 2,011,729,920 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /fastdetect /NoExecute=OptIn
209 --- E O F --- 2008-09-10 09:34:04