hallo nochmal
habe mich durchgerungen und nochmal combofix durchlaufen lassen...
ComboFix 08-07-20.7 - Mattes 2008-07-21 13:18:44.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.860 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mattes\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-21 bis 2008-07-21 ))))))))))))))))))))))))))))))
.
2008-07-18 14:37 . 2008-07-18 14:37 <DIR> d-------- C:\Programme\MSN Webcam Recorder
2008-07-18 14:29 . 2008-07-18 14:29 <DIR> d-------- C:\Programme\WinPcap
2008-07-15 16:30 . 2008-07-21 01:16 <DIR> d-------- C:\Downloads
2008-07-15 10:38 . 2008-07-15 10:38 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 10:38 . 2008-07-15 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\Malwarebytes
2008-07-15 10:38 . 2008-07-15 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 10:38 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 10:38 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 00:25 . 2008-07-21 13:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-15 00:25 . 2008-07-15 00:25 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-14 21:23 . 2008-07-14 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-14 21:06 . 2008-07-14 21:07 <DIR> d-------- C:\Programme\CCleaner
2008-07-14 20:40 . 2008-07-14 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Xfire
2008-07-14 20:40 . 2008-07-14 20:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-07-14 20:40 . 2008-07-14 20:40 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-14 20:34 . 2007-04-12 17:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-14 20:34 . 2007-04-12 18:11 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-14 20:34 . 2008-07-14 20:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-14 17:34 . 2008-07-14 17:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-14 17:29 . 2001-08-18 12:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-09 11:38 . 2000-08-19 20:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-07-05 15:14 . 2008-07-05 15:15 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-07-05 15:14 . 2008-07-05 15:15 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-06-30 23:08 . 2008-07-05 14:53 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-06-30 22:53 . 2008-06-30 23:42 8,192 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-06-28 22:40 . 2008-06-28 22:42 <DIR> d-------- C:\Programme\OpenOfficePortable
2008-06-26 22:10 . 2008-06-26 22:10 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-06-23 19:33 . 2008-06-23 20:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-23 18:44 . 2008-06-23 18:44 <DIR> d-------- C:\Programme\Bonjour
2008-06-23 18:35 . 2008-06-23 18:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 23:25 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\Xfire
2008-07-20 23:13 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\Skype
2008-07-20 16:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-18 23:03 --------- d-----w C:\Programme\eMule
2008-07-17 16:33 --------- d-----w C:\Programme\PPStream
2008-07-17 13:39 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\dvdcss
2008-07-14 19:06 --------- d-----w C:\Programme\Yahoo!
2008-07-14 18:57 --------- d-----w C:\Programme\TVUPlayer
2008-07-14 15:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-14 15:35 --------- d-----w C:\Programme\Lavasoft
2008-07-12 16:53 --------- d-s---w C:\Programme\Xfire
2008-07-02 10:51 --------- d-----w C:\Programme\Opera
2008-07-02 10:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-01 10:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-06-30 23:34 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\teamspeak2
2008-06-28 19:37 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\Winamp
2008-06-27 19:45 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\ppstream
2008-06-23 16:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 15:03 --------- d-----w C:\Programme\Gemeinsame Dateien\CyberLink
2008-06-19 15:03 --------- d-----w C:\Programme\CyberLink
2008-06-19 15:01 505,128 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-06-19 15:01 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-06-19 15:01 29,480 ----a-w C:\WINDOWS\system32\msxml3a.dll
2008-06-19 14:51 --------- d-----w C:\Programme\DivX
2008-06-16 03:00 --------- d-----w C:\Programme\Google
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 15:43 --------- d-----w C:\Programme\ICQToolbar
2008-06-13 15:37 --------- d-----w C:\Programme\Winamp
2008-06-13 15:36 --------- d-----w C:\Programme\Camfrog
2008-06-08 08:35 --------- d-----w C:\Programme\PPLive
2008-06-05 16:54 --------- d-----w C:\Programme\Picasa2
2008-06-04 21:20 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\Scribus
2008-06-04 19:52 --------- d-----w C:\Programme\Scribus 1.3.4
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-28 12:54 --------- d-----w C:\Programme\Dyyno
2008-05-28 12:54 --------- d-----w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\dyyno-vlc
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-04 16:43 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-24 23:06 22,328 ----a-w C:\Dokumente und Einstellungen\Mattes\Anwendungsdaten\PnkBstrK.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ABIT uGuruIII"="C:\Programme\ABIT\ABITEQ\ABITEQ.exe" [2006-02-22 17:55 417792]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]
"MSN Webcam Recorder"="C:\Programme\MSN Webcam Recorder\ml20gui.exe" [2007-11-27 05:03 110592]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12 90112]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-12 20:25 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 18:52 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-28 09:14 270648]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"RemoteControl8"="C:\Programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-03-20 20:23 83240]
"PDVD8LanguageShortcut"="C:\Programme\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 11:36 50472]
"BDRegion"="C:\Programme\Cyberlink\Shared Files\brs.exe" [2008-05-19 15:24 91432]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 08:00 16050176 C:\WINDOWS\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"H:\\Programme\\Anno 1701\\Anno1701AddOn.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Programme\\PPStream\\PPStream.exe"=
"H:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 ABIT-IO;ABIT-IO;C:\WINDOWS\system32\Drivers\ABIT-IO.sys [2005-12-08 14:53]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};C:\Programme\CyberLink\PowerDVD8\
000.fcl [2008-05-15 12:07]
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{159384ac-e932-11db-91fe-806d6172696f}]
\Shell\AutoRun\command - D:\autoplay.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-07-17 17:22:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-07-20 13:05:00 C:\WINDOWS\Tasks\ESL_TV.job"
- C:\Programme\VideoLAN\VLC\vlc.exe—-vvv mms://esl-tv.live.streamed.by.ngz-server.de.esl-tv.net/ESLTV.Live.700?action=connect&token=2f6e8659281a90bfec0f0296abe6dafb&channel=55?MSWMExt=.asf&ClientId=10--sout=#duplicate{dst=display,dst=std{access=file,mux=asf,dst=
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKCU-Run-Free Uploader Oe Integration - C:\Programme\Free Download Manager\FUM\fumoei.exe
HKLM-Run-DU Meter - C:\Programme\DU Meter\DUMeter.exe
.
---- Supplementary Scan ----
.
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - H:\Programme\partypoker\PartyPoker\RunApp.exe
O16 -: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} - hxxp://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
C:\WINDOWS\Downloaded Program Files\QQLiveInstaller.inf
C:\WINDOWS\system32\QQLiveInstaller.dll
**********************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.net
Rootkit scan 2008-07-21 13:24:39
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD8\
000.fcl"
Other Running Processes
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-21 13:32:37 - machine was rebooted [Mattes]
ComboFix-quarantined-files.txt 2008-07-21 11:32:15
Pre-Run: 13 Verzeichnis(se), 31,321,235,456 Bytes frei
Post-Run: 17 Verzeichnis(se), 31,397,302,272 Bytes frei
224 --- E O F --- 2008-07-11 23:57:52
)))