Malware Sinowal.knfal bei XP

sfaxia

Guten Abend,
ich habe zu Weihnachten eine Malware names Sinowal.knfal bekommen. Ich habe mir auch schon combofix runtergeladen und kann auch schon einen log - Editor präsentieren. Wer möchte mir (kleinem dummchen) weiterhelfen?
ComboFix 11-12-29.04 - hPeh 29.12.2011 22:08:43.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.632 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\hPeh\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2011-11-28 bis 2011-12-29 ))))))))))))))))))))))))))))))
.
.
2011-12-29 20:28 . 2011-12-29 20:28 -------- d-----w- c:\programme\CCleaner
2011-12-25 11:53 . 2011-12-25 11:53 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2011-12-05 19:14 . 2011-12-05 19:14 -------- d-----w- c:\dokumente und einstellungen\hPeh\Anwendungsdaten\Thunderbird
2011-12-05 19:13 . 2011-12-05 19:14 -------- d-----w- c:\programme\Mozilla Thunderbird
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-25 11:52 . 2010-09-26 13:41 499712 ----a-w- c:\windows\system32\msvcp71.dll
2011-12-25 11:52 . 2010-09-26 13:41 348160 ----a-w- c:\windows\system32\msvcr71.dll
2011-11-23 14:40 . 2008-04-14 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys
2011-11-20 20:35 . 2011-06-13 19:13 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2008-04-14 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-11-01 16:07 . 2008-04-14 12:00 1288704 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2008-04-14 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2008-04-14 12:00 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2008-04-14 07:30 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 11:13 . 2008-04-14 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-10-10 14:22 . 2010-09-08 11:05 692736 ----a-w- c:\windows\system32\inetcomm.dll
2010-09-18 19:23 . 2010-09-18 19:23 159486 -c--a-w- c:\programme\SkypeSetup.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-09-27 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-09-27 602182]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"AGRSMMSG"="AGRSMMSG.exe" [2004-08-24 88363]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-17 281768]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2011-07-05 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-07-19 421736]
"TkBellExe"="c:\programme\real\realplayer\update\realsched.exe" [2011-12-25 273528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-2-27 581693]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\Programme\\Cue.Play.SetList\\Cue.Play.SetList.exe"=
"c:\\Dokumente und Einstellungen\\hPeh\\Desktop\\tinyumbrella-4.33.00.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.09.2010 13:57 136360]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [08.09.2010 13:04 87936]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [08.05.2011 19:52 28672]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176]
S3 2aqc_.sys;2aqc_.sys;\??\c:\windows\system32\drivers\2aqc_.sys --> c:\windows\system32\drivers\2aqc_.sys [?]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [17.09.2010 18:53 136176]
S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 15:57]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53]
.
2011-12-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-09-17 17:53]
.
2011-12-29 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2011-12-29 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1935655697-2052111302-1417001333-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.2.1
DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} - hxxp://www.king.com/ctl/kingcomie.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-29 22:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(892)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-12-29 22:17:06
ComboFix-quarantined-files.txt 2011-12-29 21:16
.
Vor Suchlauf: 6 Verzeichnis(se), 83.267.006.464 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 83.316.158.464 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 38C30FE14C00BB8A485DBD6DF7830D53