wieder Dateien verschlüsselt Windows XP

baumschubser · 30.04.2012, 13:08

sorry am WE hab ich pause gemacht

ich hab gerade die infizierte sicherung wiederhergestellt und mit Anti-Malware bereinigt, in der version von letzter woche hatte ich schon zu viel rumgespielt... combofix wird nun angeworfen, ich poste das log sobald er durch ist

suchlauf ist durch, hier das logfile:

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-04-31.02 - Admin 30.04.2012  14:25:10.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3575.3022 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
AV: Computer Security *Enabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Computer Security *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Admin\Eigene Dateien\~WRL3617.tmp
c:\dokumente und einstellungen\Admin\Favoriten\locked-MSN.url.reyf
c:\dokumente und einstellungen\Admin\Favoriten\locked-Radiostationsübersicht.url.rmbp
c:\windows\IsUn0407.exe
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-28 bis 2012-04-30  ))))))))))))))))))))))))))))))
.
.
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-25 12:20 . 2012-02-15 08:11	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-01 11:00 . 2008-04-14 05:52	916992	----a-w-	c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2008-04-14 05:53	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-03-01 11:00 . 2008-04-14 05:52	43520	------w-	c:\windows\system32\licmgr10.dll
2012-02-29 14:09 . 2008-04-14 05:52	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-02-29 14:09 . 2008-04-14 05:52	148480	----a-w-	c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:25	385024	------w-	c:\windows\system32\html.iec
2012-02-29 09:36 . 2012-02-29 09:36	4771184	----a-w-	c:\windows\system32\LxXtreme100.dll
2012-02-29 09:36 . 2012-02-29 09:36	104304	----a-w-	c:\windows\system32\LxUISettingsN100.dll
2012-02-29 09:36 . 2012-02-29 09:36	25968	----a-w-	c:\windows\system32\LxTPSW100.dll
2012-02-29 09:36 . 2012-02-29 09:36	1334640	----a-w-	c:\windows\system32\LxTool100.dll
2012-02-29 09:36 . 2012-02-29 09:36	63344	----a-w-	c:\windows\system32\LxPXTree100.dll
2012-02-29 09:36 . 2012-02-29 09:36	111472	----a-w-	c:\windows\system32\LxODBC100.dll
2012-02-29 09:36 . 2012-02-29 09:36	127344	----a-w-	c:\windows\system32\LxMail100.dll
2012-02-29 09:36 . 2012-02-29 09:36	200048	----a-w-	c:\windows\system32\LxDBAL100.dll
2012-02-29 09:36 . 2012-02-29 09:36	76656	----a-w-	c:\windows\system32\LxDAO100.dll
2012-02-29 09:36 . 2012-02-29 09:36	49520	----a-w-	c:\windows\system32\LXCurr100.dll
2012-02-29 09:36 . 2012-02-29 09:36	67952	----a-w-	c:\windows\system32\LxCI12.dll
2012-02-29 09:35 . 2012-02-29 09:35	193904	----a-w-	c:\windows\system32\LxBasics100.dll
2012-02-27 09:41 . 2012-02-27 09:41	202240	----a-w-	c:\windows\system32\LXPrnUtil10.dll
2012-02-27 09:41 . 2012-02-27 09:41	133632	----a-w-	c:\windows\system32\LXReportManage.ocx
2012-02-27 09:40 . 2012-02-27 09:40	304128	----a-w-	c:\windows\system32\LxDNT100.dll
2012-02-27 09:38 . 2012-02-27 09:38	133120	----a-w-	c:\windows\system32\LxDNTvmc100.dll
2012-02-27 09:38 . 2012-02-27 09:38	69120	----a-w-	c:\windows\system32\LxDNTvm100.dll
2012-02-15 10:01 . 2012-02-06 19:32	4547944	----a-w-	c:\windows\system32\usbaaplrc.dll
2012-02-15 10:01 . 2012-02-06 19:32	43520	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2012-02-14 10:09 . 2012-02-14 10:09	1070352	----a-w-	c:\windows\system32\MSCOMCTL.OCX
2012-02-09 07:33 . 2007-04-27 15:01	10752	----a-w-	c:\windows\system32\KOBJAJ_L.DLL
2012-02-06 18:34 . 2012-02-06 18:34	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-02-06 18:34 . 2012-02-06 18:34	423656	----a-w-	c:\windows\system32\deployJava1.dll
2012-02-06 17:05 . 2012-02-06 17:05	42672	----a-w-	c:\windows\system32\drivers\fsbts.sys
2012-02-06 16:50 . 2012-02-06 16:50	315392	----a-w-	c:\windows\HideWin.exe
2012-02-03 09:57 . 2008-04-14 05:23	1860224	----a-w-	c:\windows\system32\win32k.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-12 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-12 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-12 143360]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2011-07-31 189808]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2012-2-6 1504568]
ISDNWatch.lnk - c:\programme\FRITZ!\IWatch.exe [2012-2-6 341304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Hoster]
2011-12-14 11:25	160424	----a-w-	c:\programme\F-Secure\fshoster32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Manager]
2011-12-19 03:28	310936	----a-w-	c:\programme\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]
2012-04-04 13:56	462408	----a-w-	c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MBAMService"=2 (0x2)
"FSMA"=3 (0x3)
"FSORSPClient"=2 (0x2)
"fshoster"=2 (0x2)
"FSDFWD"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [06.02.2012 19:05 42672]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [06.02.2012 19:04 82872]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [26.03.2012 13:44 72920]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [06.02.2012 20:51 61440]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [25.03.4811 02:50 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [25.03.4811 02:50 444416]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [06.02.2012 20:20 334640]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S2 Lexware_Professional_Datenbank;Lexware Professional Datenbank;c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank --> c:\programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe -hvLexware_Professional_Datenbank [?]
S2 StumbleUponUpdater;StumbleUpon Updater;c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe [22.11.2011 10:59 18432]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [25.04.2012 14:09 253088]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [06.02.2012 19:04 148632]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2012 14:10 136176]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [06.02.2012 20:51 17280]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [30.04.2012 10:26 22344]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [06.02.2012 20:51 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [06.02.2012 20:51 19200]
S3 osppsvc;Office Software Protection Platform;c:\programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 22:37 4640000]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
S4 fshoster;F-Secure Dll Hoster;c:\programme\F-Secure\fshoster32.exe -hosterid:0 --> c:\programme\F-Secure\fshoster32.exe -hosterid:0 [?]
S4 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure\apps\CCF_Reputation\fsorsp.exe [12.12.2011 12:27 61120]
S4 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [30.04.2012 10:26 654408]
.
Inhalt des "geplante Tasks" Ordners
.
2012-04-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-25 12:20]
.
2012-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
2012-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-04-25 12:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
LSP: c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
TCP: Interfaces\{38A6E7D6-CAB3-4D0E-B982-9B6DC8B843AF}: NameServer = 192.168.2.1
TCP: Interfaces\{3C685D06-370B-4BC6-A6D9-76102BFFB9A4}: NameServer = 192.168.120.252,192.168.120.253
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - c:\dokumente und einstellungen\Admin\Anwendungsdaten\StumbleUpon\IE\StumbleUpon.dll
AddRemove-ElsterFormular 13.0.0.8086u - c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular\setup\uninstall.exe
AddRemove-Firefox Browser - c:\dokumente und einstellungen\Admin\Eigene Dateien\Firefox Browser\uninstall.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-30 14:27
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fshoster]
"ImagePath"="c:\programme\F-Secure\fshoster32.exe -hosterid:0"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\F-Secure\My Services Agent\Protected]
@Denied: ) (Everyone)
"AgentIdentifier"="87689e64-7883-4d33-b37c-b8b82b71e59f"
"AuthorizationCode"="Li-sOhApkWZ8aZHRjmsJOoRqbzBZfB3XWlH8vSIX0pr6Wp3jlaxV0w"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(924)
c:\programme\F-Secure\apps\OnlineSafety\FSCC\fscclsp2.dll
.
Zeit der Fertigstellung: 2012-04-30  14:29:01
ComboFix-quarantined-files.txt  2012-04-30 12:29
.
Vor Suchlauf: 9 Verzeichnis(se), 135.283.429.376 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 136.389.693.440 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noexecute=alwaysoff
.
- - End Of File - - 78861874DDCDDF79A156D4BA97D66502

--- --- ---

wieder Dateien verschlüsselt Windows XP

Log-Analyse und Auswertung: wieder Dateien verschlüsselt Windows XP

wieder Dateien verschlüsselt Windows XP

Ähnliche Themen: wieder Dateien verschlüsselt Windows XP