| |
| |||||||
Log-Analyse und Auswertung: Security.Hijack in userinit.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.07.2011, 15:34
| #9 |
 |  Security.Hijack in userinit.exe Hallo! Hier die Ergebnisse vom ComboFix-Lauf! Danke und Gruß Combofix Logfile: Code:
ATTFilter ComboFix 11-07-26.02 - *** 26.07.2011 16:17:36.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1995.1151 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Eigene Dateien\Downloads\ComboFix.exe
AV: Norton 360 *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton 360 *Disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
c:\windows\system32\Ijl11.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-26 bis 2011-07-26 ))))))))))))))))))))))))))))))
.
.
2011-07-20 15:45 . 2009-05-18 22:17 26600 ----a-r- c:\windows\system32\drivers\GEARAspiWDM.sys
2011-07-20 15:45 . 2008-04-17 21:12 107368 ----a-r- c:\windows\system32\GEARAspi.dll
2011-07-20 15:45 . 2011-07-20 15:45 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2011-07-20 15:45 . 2011-07-20 15:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2011-07-20 15:45 . 2011-07-20 15:45 -------- d-----w- c:\programme\Symantec
2011-07-20 15:45 . 2011-07-20 15:45 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2011-07-20 15:44 . 2011-07-22 06:14 -------- d-----w- c:\windows\system32\drivers\N360
2011-07-20 15:44 . 2011-07-20 15:44 -------- d-----w- c:\programme\Norton 360
2011-07-20 15:44 . 2011-07-20 15:44 -------- d-----w- c:\programme\Windows Sidebar
2011-07-20 15:42 . 2011-07-20 15:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2011-07-20 15:39 . 2011-07-21 07:09 -------- d-----w- c:\programme\NortonInstaller
2011-07-06 17:53 . 2011-07-07 08:08 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Ordyy
2011-07-06 17:53 . 2011-07-07 07:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Ykhy
2011-06-28 12:23 . 2011-06-28 12:23 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2011-06-18 21:54 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-06-18 21:54 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-06-18 20:42 . 2011-06-18 20:39 218688 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2011-06-06 11:35 . 2008-04-14 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-05-02 15:31 . 2010-05-28 17:00 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 2008-04-14 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2008-04-14 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
1999-04-29 20:00 . 1999-04-29 20:00 99840 ----a-w- c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1999-04-29 20:00 . 1999-04-29 20:00 70144 ----a-w- c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1999-04-29 20:00 . 1999-04-29 20:00 48640 ----a-w- c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1999-04-29 20:00 . 1999-04-29 20:00 31744 ----a-w- c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1999-04-29 20:00 . 1999-04-29 20:00 186368 ----a-w- c:\programme\Gemeinsame Dateien\IRAREG.DLL
1999-04-29 20:00 . 1999-04-29 20:00 17920 ----a-w- c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
2011-06-24 19:01 . 2011-05-16 07:57 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NortonUpdateAgent"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\NUA.exe" [2011-04-11 2692536]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-04-27 17881088]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-05-08 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-05-08 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-05-08 142872]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start hxxp://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA&inst=NwA3AC0ANAAzADAAOAAwADYAMwA2ADYALQBCAEEAUgA5AEcAKwAxAC0ARgBMACsAOQAtAEYAOQBNADYAKwAxAC0AWABPADMANgArADEALQBGADkATQA3AEMAKwA1AC0AWABPADkAKwAxAC0ARgA5AE0AMwArADEALQBEAEQAVAArADAA&prod=90&ver=9.0.894" [?]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]
Symantec Fax Starter Edition-Anschluss.lnk - c:\programme\Microsoft Office\Office\1031\OLFSNT40.EXE [1999-4-29 46080]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]
"Debugger"=execppack.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-06-08 04:02 37296 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20 1305408 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-03-21 21:10 1230704 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2011-02-01 13:49 220552 ----a-w- c:\programme\PDF24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\phonostarTimer]
2011-06-20 15:05 40960 ----a-w- c:\programme\phonostar-Player\phonostarTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\N360\0403000.005\symds.sys [21.07.2011 13:13 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360\0403000.005\symefa.sys [21.07.2011 13:13 173104]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\BASHDefs\20110723.001\BHDrvx86.sys [23.07.2011 02:27 815736]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\N360\0403000.005\cchpx86.sys [21.07.2011 13:13 501888]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [18.06.2011 22:39 218688]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\N360\0403000.005\ironx86.sys [21.07.2011 13:13 116784]
R2 N360;Norton 360;c:\programme\Norton 360\Engine\4.3.0.5\ccsvchst.exe [21.07.2011 13:13 126392]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [28.05.2010 19:11 238736]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [20.07.2011 21:23 105592]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\IPSDefs\20110722.031\IDSXpx86.sys [24.07.2011 14:18 355256]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [28.05.2010 19:11 110080]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.05.2010 19:12 1684736]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18.06.2011 23:54 41272]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - 55622874
*NewlyCreated* - 79287165
*NewlyCreated* - 85194282
*Deregistered* - 55622874
*Deregistered* - 79287165
*Deregistered* - 85194282
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = my.daemon-search.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
TCP: DhcpNameServer = 195.50.140.118 195.50.140.248
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\cldzix8m.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://my.daemon-search.com/
FF - prefs.js: keyword.URL - hxxp://search.avg.com/route/?d=4c000209&v=7.005.030.004&i=23&tp=ab&iy=&ychte=de&lng=de&q=
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
MSConfigStartUp-AVG9_TRAY - c:\progra~1\AVG\AVG9\avgtray.exe
AddRemove-Easy-WebPrint - c:\windows\IsUn0407.exe
AddRemove-Xvid Video Codec 1.3.0 - c:\programme\Xvid\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-26 16:19
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\N360]
"ImagePath"="\"c:\programme\Norton 360\Engine\4.3.0.5\ccSvcHst.exe\" /s \"N360\" /m \"c:\programme\Norton 360\Engine\4.3.0.5\diMaster.dll\" /prefetch:1"
.
Zeit der Fertigstellung: 2011-07-26 16:20:17
ComboFix-quarantined-files.txt 2011-07-26 14:20
.
Vor Suchlauf: 6 Verzeichnis(se), 92.973.576.192 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 93.016.956.928 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 8FE91E582B9E6A254E3B1DCB8062DA3B
|
| Themen zu Security.Hijack in userinit.exe |
| avg, desktop, eigenartig, eindringling, exe-datei, file, folge, geschwindigkeitsverlust, image, logdatei, malwarebytes, microsoft, namen, neu, neue, norton, norton 360, programme, rechner, registry, scan, seite, software, updates, wichtig, windows, winxp |
Baum-Darstellung