| |
| |||||||
Log-Analyse und Auswertung: Bitte schaut euch mal mein Log anWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.01.2009, 15:29
| #1 |
| |  Bitte schaut euch mal mein Log an ComboFix 09-01-21.04 - xxx 2009-01-28 13:08:10.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.254.90 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006 c:\dokumente und einstellungen\xxx\Anwendungsdaten\driveclean-upinstallfull_de[1].exe c:\dokumente und einstellungen\xxx\Anwendungsdaten\installer_de[1].exe c:\dokumente und einstellungen\xxx\Anwendungsdaten\WinAntiVirus Pro 2006 c:\dokumente und einstellungen\xxx\Anwendungsdaten\winantiviruspro2006freeinstall_de[1].exe c:\programme\Gemeinsame Dateien\winantivirus pro 2006 c:\programme\Gemeinsame Dateien\winantivirus pro 2006\WapCHK.dll c:\programme\Gemeinsame Dateien\WinSoftware c:\programme\Gemeinsame Dateien\WinSoftware\CrXML.dll c:\programme\QUAD Utilities C:\WA6P c:\windows\system32\pppcgm.exe c:\windows\system32\sphlp32.exe . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_FOPN -------\Legacy_VSPF -------\Legacy_VSPF_HK -------\Service_FOPN -------\Service_vspf -------\Service_vspf_hk ((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-28 )))))))))))))))))))))))))))))) . 2009-01-28 13:01 . 2009-01-28 13:02 <DIR> d-------- C:\32788R22FWJFW 2009-01-10 20:12 . 2009-01-10 20:12 23,392 --a------ c:\windows\system32\nscompat.tlb 2009-01-10 20:12 . 2009-01-10 20:12 16,832 --a------ c:\windows\system32\amcompat.tlb . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-28 10:57 --------- d--h--w c:\programme\InstallShield Installation Information 2009-01-28 10:57 --------- d-----w c:\programme\EPSON 2009-01-27 12:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2009-01-18 01:25 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype 2009-01-12 14:32 --------- d-----w c:\dokumente und einstellungen\xxx\Anwendungsdaten\PC Suite 2009-01-10 19:11 --------- d-----w c:\programme\Google 2009-01-10 19:09 --------- d-----w c:\programme\Windows Media Connect 2 2009-01-10 19:00 --------- d-----w c:\programme\EPS PostScript PDF 2 JPG & Co 1 2008-12-21 17:10 --------- d-----w c:\programme\Java 2008-03-12 13:15 100,924 ----a-w c:\dokumente und einstellungen\xxx\last_report.dat 2006-12-12 08:58 46,592 ----a-w c:\dokumente und einstellungen\xxx\fopn.sys 2005-11-14 19:38 22,072 ----a-w c:\dokumente und einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-07-02 180269] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-21 136600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "VIDC.MJPG"= pvmjpg21.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0stera [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 nwprovau [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Phone\\Skype.exe"= R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900] R3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [2008-08-29 33752] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - Alerter *Deregistered* - AntiVirScheduler *Deregistered* - AntiVirService *Deregistered* - AudioSrv *Deregistered* - bgsvcgen *Deregistered* - Bonjour Service *Deregistered* - Browser *Deregistered* - CryptSvc *Deregistered* - DcomLaunch *Deregistered* - Dhcp *Deregistered* - dmserver *Deregistered* - Dnscache *Deregistered* - ERSvc *Deregistered* - EventSystem *Deregistered* - FastUserSwitchingCompatibility *Deregistered* - helpsvc *Deregistered* - HidServ *Deregistered* - IpNat *Deregistered* - iPod Service *Deregistered* - IPSec *Deregistered* - JavaQuickStarterService *Deregistered* - KSecDD *Deregistered* - lanmanserver *Deregistered* - lanmanworkstation *Deregistered* - LmHosts *Deregistered* - mnmdd *Deregistered* - Modem *Deregistered* - Mouclass *Deregistered* - MountMgr *Deregistered* - MRxDAV *Deregistered* - MRxSmb *Deregistered* - Msfs *Deregistered* - mssmbios *Deregistered* - Mup *Deregistered* - NDIS *Deregistered* - NdisTapi *Deregistered* - Ndisuio *Deregistered* - NdisWan *Deregistered* - NDProxy *Deregistered* - NetBIOS *Deregistered* - NetBT *Deregistered* - Netman *Deregistered* - Npfs *Deregistered* - Ntfs *Deregistered* - Null *Deregistered* - NWCWorkstation *Deregistered* - NwlnkIpx *Deregistered* - NwlnkNb *Deregistered* - NwlnkSpx *Deregistered* - NWRDR *Deregistered* - PartMgr *Deregistered* - ParVdm *Deregistered* - PolicyAgent *Deregistered* - PptpMiniport *Deregistered* - ProtectedStorage *Deregistered* - PSched *Deregistered* - RasAcd *Deregistered* - Rasl2tp *Deregistered* - RasMan *Deregistered* - RasPppoe *Deregistered* - Raspti *Deregistered* - Rdbss *Deregistered* - RDPCDD *Deregistered* - rdpdr *Deregistered* - RemoteRegistry *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - sr *Deregistered* - srservice *Deregistered* - Srv *Deregistered* - stisvc *Deregistered* - swenum *Deregistered* - TapiSrv *Deregistered* - Tcpip *Deregistered* - TermDD *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - tunmp *Deregistered* - Update *Deregistered* - VgaSave *Deregistered* - VolSnap *Deregistered* - W32Time *Deregistered* - Wanarp *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - WmiApSrv *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WudfPf *Deregistered* - WudfSvc *Deregistered* - WZCSVC [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{acb14780-3252-11dd-be3c-0002b32d0519}] \Shell\AutoRun\command - E:\PMB_P.exe . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{87CFD49F-0DEF-149C-ED26-4E08A930A067} - control64.dll HKCU-Run-UnSpyPC - c:\programme\UnSpyPC\UnSpyPC.exe HKCU-Run-OM_Monitor - c:\programme\OLYMPUS\OLYMPUS Master\Monitor.exe HKCU-Run-ICQ - c:\programme\ICQ6\ICQ.exe HKCU-Run-jopplerg - hyandex.exe HKCU-Run-gabber - TRPT.exe HKLM-Run-ICQ Lite - c:\programme\ICQLite\ICQLite.exe HKLM-Run-dmwzq.exe - c:\windows\system32\dmwzq.exe HKLM-Run-gdccw - c:\progra~1\GEMEIN~1\FESTPL~1\GDCcw.exe MSConfigStartUp-iehelper - xsetup.exe MSConfigStartUp-TForm1 - qwe.exe MSConfigStartUp-TRPT - ssweeper.exe . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.myspace.com/ mStart Page = hxxp://www.msn.de/ mWindow Title = Microsoft Internet Explorer uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyServer = xxx uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://www.google.com/keyword/%s IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 Trusted Zone: beatport.com\.www DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-28 13:21:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\windows\system32\bgsvcgen.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\iPod\bin\iPodService.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-01-28 13:30:24 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-01-28 12:30:01 Vor Suchlauf: 17 Verzeichnis(se), 58.463.617.024 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 59,020,894,208 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 251 --- E O F --- 2008-10-25 08:42:55 ich hoffe ich habe es richtig gemacht  |
|
28.01.2009, 15:40
| #2 |
| Gesperrt | Bitte schaut euch mal mein Log an Wer hat dir denn gesagt du sollst "Combofix" laufen lassen ..?
__________________Frag doch denjenigen besser mal... |
|
28.01.2009, 16:11
| #3 |
| | Bitte schaut euch mal mein Log an ist das denn nicht richtig!!!! ein Freund von mir meinte ich sollte dies mal machen!!! Ich kenne mich wirklich garnicht damit aus! Entschuldigung
__________________ |
|
| Themen zu Bitte schaut euch mal mein Log an |
| adobe, antivir, antivirus, autorun, avg, avgnt, avgnt.exe, avira, bonjour, combofix, desktop, einstellungen, excel, explorer, installation, internet, jusched.exe, laufende prozesse, log, malware, mein log, monitor, olympus, opera, pdf, programme, scan, security, skype.exe, suchlauf, system, windows, windows recovery, windows xp |
Linear-Darstellung
