Smart Guard - überhaupt nichts geht mehr - Forensuche bereits genuz

Soonic · 20.03.2014, 11:18

Zitat:

Zitat von schrauber

im abgesicherten Modus, nach diesem schritt nochmal normalen Modus testen:

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm vom folgenden Download-Spiegel neu herunter:

BleepingComputer.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AS2014"=-
Folder::
c:\programdata\9npDa3aa

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Ich habe alles so gemacht und Acht gegeben. Als ist das script auf das ComboFix Icon gezogen habe ging sofort ComboFix los. Ist das richtig?

Zitat:

Zitat von Soonic

Ich habe alles so gemacht und Acht gegeben. Als ist das script auf das ComboFix Icon gezogen habe ging sofort ComboFix los. Ist das richtig? Avira Echtzeitscanner steht die ganze Zeit schon auf aus. Warum er als enabled ausgegeben wird kann ich nicht sagen.

Code:

ATTFilter

ComboFix 14-03-19.01 - Kerstin 20.03.2014  11:05:18.3.2 - x86 MINIMAL
Microsoft Windows 7 Professional   6.1.7601.1.1252.49.1031.18.3293.2763 [GMT 1:00]
ausgeführt von:: c:\users\Kerstin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\users\Kerstin\Desktop\CFScript.txt
AV: Avira Desktop *Enabled/Updated* {4D041356-F94D-285F-8768-AAE50FA36859}
SP: Avira Desktop *Enabled/Updated* {F665F2B2-DF77-27D1-BDD8-9197742422E4}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\9npDa3aa
c:\programdata\9npDa3aa\9npDa3aa.exe
c:\programdata\9npDa3aa\9npDa3aa.exe.manifest
c:\programdata\9npDa3aa\9npDa3aa.ico
c:\programdata\9npDa3aa\9npDa3aaasavaxDg.in
c:\programdata\9npDa3aa\9npDa3aaasavaxDg.lg
c:\programdata\9npDa3aa\rr.bat
.
.
(((((((((((((((((((((((   Dateien erstellt von 2014-02-20 bis 2014-03-20  ))))))))))))))))))))))))))))))
.
.
2014-03-20 10:11 . 2014-03-20 10:11	--------	d-----w-	c:\users\Kerstin\AppData\Local\temp
2014-03-20 10:11 . 2014-03-20 10:11	--------	d-----w-	c:\users\Default\AppData\Local\temp
2014-03-20 10:11 . 2014-03-20 10:11	--------	d-----w-	c:\users\Administrator\AppData\Local\temp
2014-03-17 09:43 . 2014-03-17 09:42	388608	----a-w-	C:\HijackThis.exe
2014-03-17 07:20 . 2014-03-17 07:20	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2014-03-17 07:20 . 2013-04-04 13:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2014-03-17 07:09 . 2014-03-17 07:05	1037734	----a-w-	C:\JRT.exe
2014-03-17 07:09 . 2014-03-17 07:05	1950720	----a-w-	C:\adwcleaner.exe
2014-03-17 07:09 . 2014-03-17 07:05	10285040	----a-w-	C:\mbam-setup-1.75.0.1300.exe
2014-03-17 07:09 . 2014-03-16 15:20	1933048	----a-w-	C:\rkill.com
2014-03-17 07:08 . 2014-03-17 07:05	1037734	----a-w-	c:\users\JRT.exe
2014-03-17 07:08 . 2014-03-17 07:05	1950720	----a-w-	c:\users\adwcleaner.exe
2014-03-17 07:08 . 2014-03-17 07:05	10285040	----a-w-	c:\users\mbam-setup-1.75.0.1300 (1).exe
2014-03-17 07:08 . 2014-03-17 07:01	5190594	----a-w-	c:\users\ComboFix.exe
2014-03-16 20:11 . 2014-03-16 20:11	388608	----a-w-	C:\HiJackThis204.exe
2014-03-16 16:53 . 2014-03-16 16:02	1145856	----a-w-	C:\FRST.exe
2014-03-16 16:53 . 2014-03-16 16:02	2157056	----a-w-	C:\FRST64.exe
2014-03-15 05:33 . 2014-02-06 07:08	7947048	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5B26F85E-8C90-4331-A8CA-818C460EEF59}\mpengine.dll
2014-03-14 05:13 . 2014-01-28 02:07	185344	----a-w-	c:\windows\system32\wwansvc.dll
2014-03-14 05:13 . 2014-02-07 01:07	2349056	----a-w-	c:\windows\system32\win32k.sys
2014-03-14 05:13 . 2014-02-04 02:04	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2014-03-14 05:13 . 2014-01-29 02:06	381440	----a-w-	c:\windows\system32\wer.dll
2014-03-09 09:10 . 2014-03-20 08:21	--------	d-----w-	c:\users\Kerstin\AppData\Roaming\Fifth
2014-03-09 09:08 . 2014-03-16 07:36	--------	d-----w-	c:\users\Kerstin\AppData\Roaming\Common
2014-02-25 09:15 . 2014-02-25 09:15	--------	d-----w-	c:\windows\Migration
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-03-13 14:12 . 2012-04-18 06:12	692616	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2014-03-13 14:12 . 2012-02-13 21:15	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-12-24 23:09 . 2014-02-12 01:52	1987584	----a-w-	c:\windows\system32\d3d10warp.dll
2013-12-21 08:56 . 2014-02-12 02:01	454656	----a-w-	c:\windows\system32\vbscript.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-11-20 106496]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"AVMWlanClient"="c:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2014-02-20 689744]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
.
c:\users\Kerstin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE /tsr [2009-2-26 97680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableVirtualization"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
"HideSCAHealth"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"TaskbarNoNotification"= 1 (0x1)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 17:36	30040	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07	2260480	------w-	c:\program files\Spybot - Search & Destroy\TeaTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2013-12-17 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2014-02-20 440400]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Common Files\MAGIX Services\Database\bin\FABS.exe [2011-05-24 1840128]
R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [2013-04-04 418376]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2013-04-04 701512]
R2 PDFProFiltSrv;PDFProFiltSrv;c:\program files\Nuance\PDF Professional 8\PDFProFiltSrv.exe [x]
R2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [2013-09-12 5071712]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Common Files\MAGIX Services\Database\bin\fbserver.exe [2011-04-26 2702848]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2006-04-06 264704]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-03-01 108032]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2013-04-04 22856]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-06-10 394856]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
S0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [2012-12-07 13560]
S3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [2009-11-20 58880]
S3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [2009-11-20 137728]
.
.
Inhalt des "geplante Tasks" Ordners
.
2014-03-17 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-18 14:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\users\Kerstin\AppData\Roaming\Mozilla\Firefox\Profiles\638uagaz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f1,7e,5c,d8,37,cd,f9,46,bc,6e,03,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f1,7e,5c,d8,37,cd,f9,46,bc,6e,03,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2014-03-20  11:13:03
ComboFix-quarantined-files.txt  2014-03-20 10:13
ComboFix2.txt  2014-03-20 07:40
ComboFix3.txt  2014-03-17 09:02
.
Vor Suchlauf: 18 Verzeichnis(se), 408.652.111.872 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 408.578.686.976 Bytes frei
.
- - End Of File - - BC7C60FB29E55A4A1FEB250E2AF933A6
A36C5E4F47E84449FF07ED3517B43A31

Smart Guard - überhaupt nichts geht mehr - Forensuche bereits genuz

Plagegeister aller Art und deren Bekämpfung: Smart Guard - überhaupt nichts geht mehr - Forensuche bereits genuz

Smart Guard - überhaupt nichts geht mehr - Forensuche bereits genuz

Ähnliche Themen: Smart Guard - überhaupt nichts geht mehr - Forensuche bereits genuz