| |
| |||||||
Log-Analyse und Auswertung: resycled bootWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.03.2009, 00:02
| #1 |
| |  resycled boot Hallo leute! Ich hatte unteranderem die Probleme das ich auf andere Seiten verlinkt wurde, mein Kaspersky konnte sich nicht mehr updaten, ich konnte nicht mehr auf meine Festplatte (resycled\boot.com ist keine zulaessige win32-anwendung) zugreifen und es war alles sehr langsam. Ich habe mich hier etwas belesen und folgendes gemacht: Flash Desinfector runtergeladen und ausgeführt und danach ComboFix laufenlassen. Jetzt scheint es hofentlich wieder i.O.zu sein, habe hier aber noch die Log Datei, kann da bitte noch jemand drüber schauen?: ComboFix 09-03-02.03 - ** 2009-03-03 21:59:01.1 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe . ADS - WINDOWS: deleted 24 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\windows\system32\drivers\gaopdxksiqvnnk.sys c:\windows\system32\gaopdxpamrflns.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-02-03 bis 2009-03-03 )))))))))))))))))))))))))))))) . 2009-03-03 20:22 . 2009-03-03 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-03 20:02 . 2009-03-03 21:43 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-27 21:47 . 2009-02-27 21:47 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-02-27 20:53 . 2009-02-27 20:53 410,984 --a------ c:\windows\system32\deploytk.dll 2009-02-27 20:07 . 2008-01-19 16:11 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2009-02-27 20:07 . 2009-02-27 21:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-02-27 20:07 . 2009-02-27 21:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\DVDVideoSoft 2009-02-08 16:47 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll 2009-02-06 16:44 . 2009-02-06 16:44 <DIR> d--h----- C:\BJPrinter 2009-02-06 16:44 . 2004-06-15 07:00 116,736 --a------ c:\windows\system32\CNMLM61.DLL 2009-02-06 16:44 . 2004-06-04 17:34 86,016 --a------ c:\windows\system32\CNMCP61.exe 2009-02-06 16:44 . 2004-06-15 07:00 7,680 --a------ c:\windows\system32\CNMVS61.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) )))) . 2009-03-03 21:06 11,725,088 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-03-03 21:05 494,112 --sha-w c:\windows\system32\drivers\fidbox2.dat 2009-03-03 21:03 47,324 --sha-w c:\windows\system32\drivers\fidbox2.idx 2009-03-03 21:03 159,080 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-03-03 20:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-02-27 19:53 --------- d-----w c:\programme\Java 2009-02-07 17:37 71,152 ----a-w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-02-03 22:02 89,601 ----a-w c:\windows\system32\drivers\klick.dat 2009-02-03 22:02 101,287 ----a-w c:\windows\system32\drivers\klin.dat 2009-01-13 20:46 --------- d-----w c:\programme\Google 2009-01-13 20:07 --------- d-----w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Leadertech 2009-01-13 19:44 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-01-12 14:24 --------- d-----w c:\programme\Paint.NET 2009-01-11 17:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA 2009-01-10 18:09 --------- d-----w c:\programme\Canon 2009-01-10 17:41 --------- d--h--w c:\programme\CanonBJ 2005-05-31 07:52 636,998 ----a-w c:\programme\DVD Shrink 3.2 DE.exe 2001-03-28 10:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe 2008-04-29 10:45 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120080429 20080430\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\j usched.exe" [2009-02-27 136600] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\M SCONFIG.EXE" [2008-04-14 172544] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] 2006-12-30 09:04 176128 c:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.dx50"= divx50.dll "vidc.DIV3"= divxc32.dll "vidc.DIV4"= divxc32f.dll "vidc.X264"= x264vfw.dll "vidc.davc"= davcvfw.dll "vidc.hfyu"= huffyuv.dll "msacm.divxa32"= DivXa32.acm "msacm.l3codec"= l3codecp.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-01-15 16:14 147456 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 06:52 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-04-13 11:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language. exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 15:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-10-22 12:22 86016 c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService] -ra------ 2004-06-11 04:15 83968 c:\windows\system32\nvraidservice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2005-12-07 22:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer] --a------ 2007-04-11 14:32 56080 c:\windows\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-12-22 10:09 77824 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "RichVideo"=2 (0x2) "ose"=3 (0x3) "odserv"=3 (0x3) "NMIndexingService"=3 (0x3) "NBService"=3 (0x3) "Microsoft Office Groove Audit Service"=3 (0x3) "gusvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List] "24510:TCP"= 24510:TCP:BitComet 24510 TCP "24510:UDP"= 24510:UDP:BitComet 24510 UDP "4266:TCP"= 4266:TCP:axyvi R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-12-13 24592] S3 rzbqlswc;rzbqlswc;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - Nla *Deregistered* - NVSvc *Deregistered* - plaeixfm *Deregistered* - PolicyAgent *Deregistered* - ProtectedStorage *Deregistered* - RasMan *Deregistered* - RemoteRegistry *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - srservice *Deregistered* - SSDPSRV *Deregistered* - stisvc *Deregistered* - TapiSrv *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - WmiApSrv *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WudfSvc *Deregistered* - WZCSVC HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs plaeixfm [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b3e495d5-7543-11dd-95db-000fea33a9aa}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com o: \Shell\Open\command - d:\resycled\boot.com o: . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe MSConfigStartUp-ISTray - c:\programme\Spyware Doctor\pctsTray.exe MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe MSConfigStartUp-TopDesk - c:\programme\TopDesk\topdesk.exe . ------- Zusätzlicher Suchlauf ------- . uDefault_Search_URL = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Mozilla\Firefox\Profiles\g5e bhbee.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.studivz.net/ FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************** ************************ catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-03 22:05:43 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************** ************************ [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\r zbqlswc] "ImagePath"="\??\c:\windows\system32\01.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\p laeixfm] "ServiceDll"="c:\windows\system32\ptwxnifd.dll " . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1024) c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\windows\system32\klogon.dll c:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll - - - - - - - > 'lsass.exe'(1080) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************** ************************ . Zeit der Fertigstellung: 2009-03-03 22:12:57 - PC wurde neu gestartet [Jan und Reeni] ComboFix-quarantined-files.txt 2009-03-03 21:12:53 Vor Suchlauf: 9,751,539,712 Bytes frei Nach Suchlauf: 9,658,720,256 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer 253 |
|
| Themen zu resycled boot |
| .com, 1.tmp, avira, avp, avp.exe, c:\windows\system32\rundll32.exe, combofix, desktop, downloader, excel, festplatte, firefox, gservice, internet, internet security, kaspersky, laufende prozesse, log datei, logon.exe, malware, mozilla, object, picasa, richtlinie, rundll, scan, security, security suite, shell32.dll, software, spyware, suchlauf, svchost, system, tcp, windows, windows recovery, windows xp, wiso |
Linear-Darstellung
