Ich benutze Windows XP unter Virtualbox auf einem Mac Rechner. Im Safe mode hatte ich keine Internet Verbindung, wodurch die Wiederherstellungskonsole nicht heruntergeladen werden konnte.
hier das log file.
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 13-03-19.01 - sent 18.03.2013 17:50:30.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1033.18.1535.1057 [GMT 1:00]
ausgef¸hrt von:: D:\ComboFix.exe
AV: Trend Micro OfficeScan Antivirus *Disabled/Outdated* {CB991027-8974-4DBF-82FC-1D6127EA595E}
AV: Trend Micro OfficeScan Antivirus *Enabled/Updated* {9CC59960-A8F5-4AD4-87B0-EEB836B78134}
FW: Trend Micro Personal Firewall *Enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
(((((((((((((((((((((((((((((((((((( Weitere Lˆschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\windows\system32\SET1028.tmp
c:\windows\system32\SET1029.tmp
c:\windows\system32\SET117B.tmp
c:\windows\system32\SET92E.tmp
c:\windows\system32\SET94F.tmp
c:\windows\system32\SETBEE.tmp
c:\windows\system32\SETBEF.tmp
c:\windows\system32\SETBF0.tmp
c:\windows\system32\SETBF1.tmp
c:\windows\system32\SETBF4.tmp
c:\windows\system32\SETBF5.tmp
c:\windows\system32\SETBF6.tmp
c:\windows\system32\SETBF8.tmp
c:\windows\system32\SETBFA.tmp
c:\windows\system32\SETBFC.tmp
c:\windows\system32\SETCD9.tmp
c:\windows\system32\SETE2F.tmp
c:\windows\system32\SETEB6.tmp
c:\windows\system32\SETFE6.tmp
c:\windows\system32\SETFE7.tmp
c:\windows\system32\SETFE9.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-02-18 bis 2013-03-18 ))))))))))))))))))))))))))))))
.
.
2013-03-15 22:28 . 2013-03-15 22:28 -------- d-----w- c:\windows\Sun
2013-03-12 16:53 . 2013-03-12 16:53 -------- d-----w- c:\program files\WS_FTP
2013-03-08 14:39 . 2001-08-17 12:48 17664 -c--a-w- c:\windows\system32\dllcache\sermouse.sys
2013-03-08 14:39 . 2001-08-17 12:48 17664 ----a-w- c:\windows\system32\drivers\sermouse.sys
2013-03-07 21:15 . 2013-03-07 21:15 -------- d-----w- c:\documents and settings\All Users\HyperTerminal
2013-03-07 21:15 . 2008-09-30 12:22 164864 ----a-w- c:\windows\system32\UNWISE32.EXE
2013-03-07 21:15 . 2013-03-07 21:15 -------- d-----w- c:\program files\HyperTerminal
2013-02-28 16:54 . 2013-02-28 16:54 -------- d-----w- c:\documents and settings\sent\Local Settings\Application Data\Lexware
2013-02-28 16:54 . 2013-02-28 16:54 -------- d-----w- d:\sent\Application Data\Lexware
2013-02-28 16:53 . 2013-02-28 16:53 -------- d-----w- c:\program files\Common Files\DataDesign
2013-02-28 16:53 . 2013-02-28 18:17 -------- d-----w- C:\Hausverwalter 2013
2013-02-28 16:53 . 2013-02-28 16:53 -------- d-----w- c:\program files\Common Files\Lexware
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaSuite.exe"="c:\program files\Nokia\Nokia Suite\NokiaSuite.exe" [2012-08-03 1086376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
"OfficeScanNT Monitor"="c:\program files\Trend Micro\OfficeScan Client\pccntmon.exe" [2010-02-05 849192]
"Microsoft Pinyin IME Migration"="c:\progra~1\COMMON~1\MICROS~1\IME12\IMESC\IMSCMIG.EXE" [2008-11-04 33128]
"ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2010-10-12 304568]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"VBoxTray"="c:\windows\system32\VBoxTray.exe" [2012-03-13 946480]
"Zune Launcher"="c:\program files\Zune\ZuneLauncher.exe" [2011-08-05 159456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"MaxGPOScriptWait"= 180 (0xb4)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLogonScripts"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoPublishingWizard"= 1 (0x1)
"NoWebServices"= 1 (0x1)
"NoOnlinePrintsWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisallowCpl"= 1 (0x1)
"DisablePersonalDirChange"= 1 (0x1)
"NoStartMenuMyGames"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"GreyMSIAds"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\keyboard layouts\e0200804]
IME File REG_SZ IMSC12.IME
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1593251271-2640304127-1825641215-1050104\Scripts\Logon\0\0]
"Script"=\\nsn-intra.net\sysvol\nsn-intra.net\scripts\programs\GPOLogon\GPOLogonV3.6.vbs
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1593251271-2640304127-1825641215-113105\Scripts\Logon\0\0]
"Script"=\\nsn-intra.net\sysvol\nsn-intra.net\scripts\programs\GPOLogon\GPOLogonV3.6.vbs
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%systemroot%\\PCHEALTH\\HELPCTR\\Binaries\\helpsvc.exe"=
"c:\\Program Files\\WebEx\\Connect\\wbxcOIEx.exe"=
"c:\\Program Files\\WebEx\\Connect\\widget.exe"=
"c:\\Program Files\\WebEx\\Connect\\connect.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24881:TCP"= 24881:TCP:Trend Micro OfficeScan Listener
.
R0 VBoxGuest;VirtualBox Guest Driver;c:\windows\system32\drivers\VBoxGuest.sys [06.03.2011 20:33 107824]
R0 vmscsi;vmscsi;c:\windows\system32\drivers\vmscsi.sys [24.09.2011 02:05 17968]
R1 VBoxSF;VirtualBox Shared Folders;c:\windows\system32\drivers\VBoxSF.sys [13.03.2012 13:54 224560]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [24.04.2010 21:37 341520]
R3 VBoxMouse;VirtualBox Guest Mouse Service;c:\windows\system32\drivers\VBoxMouse.sys [13.03.2012 13:54 85808]
S0 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys --> c:\windows\system32\DRIVERS\vmci.sys [?]
S1 vmdebug;VMware Replay Debugging Helper;\??\c:\windows\system32\Drivers\vmdebug.sys --> c:\windows\system32\Drivers\vmdebug.sys [?]
S2 Cisco WebEx Connect Upgrade Service;Cisco WebEx Connect Upgrade Service;c:\program files\WebEx\Connect\apUpdate.exe [28.02.2011 18:24 824632]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
S2 MCsvc;Managed Client Service;c:\windows\system32\MCSvc.exe [23.09.2011 17:34 69632]
S2 Service Launcher;Service Launcher;c:\windows\system32\SvcLncher.exe [23.05.2012 08:39 208896]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [27.09.2011 14:36 59152]
S2 TmFilter;Trend Micro Filter;c:\program files\Trend Micro\OfficeScan Client\TmXpflt.sys [04.12.2009 16:39 264504]
S2 TmPreFilter;Trend Micro PreFilter;c:\program files\Trend Micro\OfficeScan Client\TmPreflt.sys [04.12.2009 16:38 36664]
S2 UCMS;UCMS;c:\program files\Siemens\UCMS\Core\UCMS.exe [23.05.2012 08:37 94208]
S2 VBoxService;VirtualBox Guest Additions Service;system32\VBoxService.exe --> system32\VBoxService.exe [?]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
S3 TmPfw;OfficeScan NT Firewall;c:\program files\Trend Micro\OfficeScan Client\TmPfw.exe [07.01.2010 10:44 497008]
S3 TmProxy;OfficeScan NT Proxy Service;c:\program files\Trend Micro\OfficeScan Client\TmProxy.exe [07.01.2010 10:42 689416]
S3 VBoxVideo;VBoxVideo;c:\windows\system32\drivers\VBoxVideo.sys [06.03.2011 20:34 104240]
S3 vmmouse;VMware Pointing Device;c:\windows\system32\drivers\vmmouse.sys [23.05.2012 08:38 11440]
S3 vmx_svga;vmx_svga;c:\windows\system32\drivers\vmx_svga.sys [24.09.2011 02:01 102256]
S3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [13.11.2011 19:50 30000]
S4 a320raid;a320raid;c:\windows\system32\drivers\a320raid.sys [24.09.2011 02:05 251194]
S4 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [24.09.2011 02:05 188984]
S4 mv64xx;mv64xx;c:\windows\system32\drivers\mv64xx.sys [24.09.2011 02:05 277032]
S4 SiSRaid4;SiSRaid4;c:\windows\system32\drivers\sisraid4.sys [24.09.2011 02:05 68864]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ManagedPC]
2009-03-08 02:32 128512 ----a-w- c:\windows\system32\advpack.dll
.
.
------- Zus‰tzlicher Suchlauf -------
.
uStart Page = https://inside.nokiasiemensnetworks.com/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: I&M Chat - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_imscript.htm
IE: V&oice Call - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_voicescript.htm
IE: Vi&deo Call - c:\program files\Nokia Siemens Networks\Communication Suite\scripts\call_videoscript.htm
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseintr‰ge - - - -
.
HKLM-Run-MCDesk - %MgmtFolder%\MCDesk.exe %MgmtFolder%\MCDesk.ini
Notify-TPSvc - TPSvc.dll
SafeBoot-WudfPf
SafeBoot-WudfRd
HKLM_ActiveSetup-{6266C217-EE5C-40AE-822D-A258469BC472} - msiexec
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-18 17:52
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteintr‰ge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\VBoxMRXNP.dll
.
Zeit der Fertigstellung: 2013-03-18 17:53:32
ComboFix-quarantined-files.txt 2013-03-18 16:53
.
Vor Suchlauf: 11,121,713,152 bytes free
Nach Suchlauf: 11,659,583,488 bytes free
.
- - End Of File - - 7167C38DE5D41620DFC9891A41DD579A
--- --- ---
19.03.2013, 15:40
Baum-Darstellung