| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Combofix-Nutzung - Logfile danachWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
24.03.2009, 17:57
| #1 |
 |  Combofix-Nutzung - Logfile danach Hallo Leute, Durch das Thema "Recycler konnte nicht gefunden werden" konnte ich den Fehler auf meinem Rechner (kein Zugriff auf c: mit entsprechender Fehlermeldung) mittels dem Tool Combofix lösen. Da aber hier im Forum, wie auch im Tutorial von Combofix, geraten wurde, das Programm nicht ohne fachmännischer Hilfe zu nutzen, werde ich hier nochmal die Logs posten, welche ich vor bzw nach der Bereinigung durch Combofix erstellt habe. Ich hoffe mein Rechner ist nun wieder clean. Eine Antwort wäre klasse, da diese kryptischen Zeichen in den Logfiles mir garnichts sagen  hijackthis Logfile vor Combofix: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:59:59, on 24.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\WinBar XP\WinBar.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DNA\btdna.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\wscntfy.exe C:\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.speedbit.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [WinBar] C:\Programme\WinBar XP\WinBar.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 6924 bytes Combofix Logfile: Code:
ATTFilter ComboFix 09-03-23.01 - Besitzer 2009-03-24 17:11:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.2047.1646 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Besitzer\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
FW: Sygate Personal Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
c:\windows\patchw32.dll
c:\windows\pw32a.dll
.
((((((((((((((((((((((( Dateien erstellt von 2009-02-24 bis 2009-03-24 ))))))))))))))))))))))))))))))
.
2009-03-24 16:01 . 2009-03-24 16:01 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-24 16:01 . 2009-03-24 16:01 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-24 16:01 . 2009-03-24 16:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-24 15:49 . 2009-03-24 15:49 <DIR> d-------- C:\Trend Micro
2009-03-23 20:46 . 2009-03-23 21:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-23 20:37 . 2009-03-23 20:37 <DIR> d-------- c:\programme\Bonjour
2009-03-23 20:30 . 2009-03-23 20:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-22 21:11 . 2009-03-22 21:14 <DIR> d-------- C:\Ordnerscheiß
2009-03-22 16:29 . 2009-03-22 16:29 <DIR> d-------- c:\programme\Avira
2009-03-22 15:11 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-22 00:40 . 2009-03-22 00:40 <DIR> d--h----- c:\windows\$hf_mig$
2009-03-22 00:08 . 2009-03-22 00:08 <DIR> d-------- c:\programme\RocketDock
2009-03-22 00:08 . 2009-03-22 00:08 <DIR> d-------- c:\programme\Java
2009-03-22 00:08 . 2009-03-22 00:08 <DIR> d-------- c:\programme\AskBarDis
2009-03-22 00:07 . 2009-03-22 16:29 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-21 20:53 . 2006-12-29 00:31 19,569 --a------ c:\windows\002617_.tmp
2009-03-21 20:06 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-03-21 20:06 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-03-21 20:06 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-03-21 20:06 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-03-21 20:04 . 2009-03-22 00:07 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\UserData
2009-03-21 13:14 . 2009-03-22 00:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira(3)
2009-03-21 12:56 . 2009-03-21 12:56 <DIR> d-------- c:\programme\Trend Micro
2009-03-21 11:20 . 2009-03-21 11:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira(2)
2009-03-05 11:25 . 2009-03-05 11:28 <DIR> d-------- c:\programme\Unlocker
2009-03-05 11:08 . 2009-03-05 11:08 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Symantec
2009-03-05 10:59 . 2007-12-20 17:13 136,416 --a------ c:\windows\system32\drivers\symsnap.sys
2009-03-05 10:59 . 2008-05-07 16:44 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-03-05 10:59 . 2008-01-19 19:45 38,112 --a------ c:\windows\system32\drivers\v2imount.sys
2009-03-05 10:59 . 2008-12-11 14:40 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-24 16:04 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\DNA
2009-03-24 15:57 196,608 ----a-w c:\windows\system32\drivers\nStandard.bin
2009-03-24 15:34 --------- d-----w c:\programme\Trojancheck 6
2009-03-24 15:34 --------- d-----w c:\programme\DNA
2009-03-24 15:26 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Skype
2009-03-24 15:01 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-24 14:59 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-24 13:17 --------- d-----w c:\programme\LingoPad
2009-03-24 10:24 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\skypePM
2009-03-24 00:27 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\BitTorrent
2009-03-23 19:37 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-23 00:21 --------- d-----w c:\programme\TuneUp Utilities 2009
2009-03-09 14:08 --------- d-----w c:\programme\ICQ6.5
2009-03-05 10:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-03-05 00:16 --------- d-----w c:\programme\WinBar XP
2009-02-26 15:58 --------- d-----w c:\programme\FriendBlasterPro
2009-02-23 16:16 --------- d-----w c:\programme\gs
2009-02-23 16:14 --------- d-----w c:\programme\PlotSoft
2009-02-23 15:59 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Canon
2009-02-21 23:52 --------- d-----w c:\programme\Free Video Converter
2009-02-19 14:09 --------- d-----w c:\programme\Paint.NET
2009-02-19 09:24 --------- d-----w c:\programme\NCH Software
2009-02-19 08:55 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\NCH Software
2009-02-19 08:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NCH Software
2009-02-18 20:06 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2009-02-18 18:12 --------- d-----w c:\programme\Chopper XP
2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-07 12:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2009-02-06 00:21 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-02-06 00:19 --------- d-----w c:\programme\MSBuild
2009-02-06 00:19 --------- d-----w c:\programme\Microsoft Works
2009-02-06 00:18 --------- d-----w c:\programme\Microsoft.NET
2009-02-06 00:17 --------- d-----w c:\programme\Microsoft Visual Studio 8
2009-01-29 13:42 --------- d-----w c:\programme\Qtpfsgui
2009-01-28 12:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2009-01-28 12:46 --------- d-----w c:\programme\AGEIA Technologies
2009-01-27 23:21 --------- d-----w c:\programme\SystemRequirementsLab
2009-01-26 15:06 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-26 15:06 --------- d-----w c:\programme\PIXELA
2009-01-22 13:28 290,816 ----a-w c:\windows\system32\decdll.dll
2009-01-07 10:28 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2009-01-03 17:07 603,904 ----a-w c:\windows\system32\TUProgSt.exe
2009-01-03 17:07 360,192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-01-03 00:45 410,984 -c--a-w c:\windows\system32\deploytk.dll
2009-01-03 00:01 315,392 -c--a-w c:\windows\HideWin.exe
.
------- Sigcheck -------
2004-11-11 13:00 359040 09eb23a4567bdd56d9580a059e616e23 c:\windows\system32\drivers\tcpip.sys
2004-11-11 13:00 507392 db37d307003055ed09711cb3417814c7 c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-09-29 17:24 325000 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-11-11 15360]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2008-01-04 1126400]
"BitTorrent DNA"="c:\programme\DNA\btdna.exe" [2009-01-03 342848]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-03 136600]
"Trojancheck 6 Guard"="c:\programme\Trojancheck 6\tcguard.exe" [2002-11-14 590336]
"WinBar"="c:\programme\WinBar XP\WinBar.exe" [2008-05-19 102400]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2009-01-15 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TrayMin220.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\TrayMin220.lnk
backup=c:\windows\pss\TrayMin220.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel File Shell Monitor]
-ra------ 2007-12-01 17:38 38400 c:\programme\Corel\Corel MediaOne\CorelIOMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-29 11:40 687560 c:\programme\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a--c--- 2006-11-03 11:01 319488 c:\windows\Philips\SPC220NC\Monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 21:08 95504 c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
--a------ 2008-11-03 23:45 3522296 c:\programme\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Zattoo\\Zattoo1.exe"=
"c:\\Spiele\\Orangebox\\Half-Life 2\\Half-Life 2\\hl2.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Zattoo\\Zattoo.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-22 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-03 603904]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
R3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [2009-01-03 507136]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e8fbdc6c-eb09-11dd-b579-0019665fb2ab}]
\Shell\AutoRun\command - G:\USBSuite.exe
.
Inhalt des "geplante Tasks" Ordners
2009-03-24 c:\windows\Tasks\1-Click Maintenance.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 21:36]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-Corel Photo Downloader - c:\programme\Corel\Corel MediaOne\Corel PhotoDownloader.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.speedbit.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\kgczjnw2.default\
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\programme\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-24 17:11:49
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-03-24 17:12:42
ComboFix-quarantined-files.txt 2009-03-24 16:12:41
Vor Suchlauf: 8,157,061,120 Bytes frei
Nach Suchlauf: 8,164,294,656 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
236
Ich freu mich auf die hoffentlich positive Antwort Lg Peter |
| Themen zu Combofix-Nutzung - Logfile danach |
| 0 bytes, 1.exe, antivir, antivir guard, ask toolbar, askbar, avira, besitzer, bho, bonjour, browser, combofix, computer, desktop, downloader, firefox, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, home, laufende prozesse, logfile, malware, nicht gefunden, plug-in, programm, richtlinie, senden, sigcheck, skype.exe, software, studio, suchlauf, symantec, system, torrent.exe, tuneup.defrag, visual studio, windows, windows recovery, windows xp |
Baum-Darstellung