Hab ComboFix jetzt durchlaufen lassen, dauerte etwa 10minuten. Diese "wiederherstellungskonsole" brauche ich die auch? Dazu müsste ich nämlich ein Online Update machen, was ich aber jetzt erstmal nicht gemacht habe.
Ist jetzt alles überstanden oder wie gehts nun weiter?
@ Chris, danke für deine hilfe
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 09-05-11.08 - Besitzer 12.05.2009 13:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1642 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_nav.dat
c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\asmiq_navps.dat
c:\windows\system32\alirojak.ini
c:\windows\system32\egihokem.ini
c:\windows\system32\esodohuy.ini
c:\windows\system32\ifitejul.ini
c:\windows\system32\iwozituj.ini
c:\windows\system32\ujakazer.ini
----- BITS: Eventuell infizierte Webseiten -----
hxxp://83.149.105.228
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-12 bis 2009-05-12 ))))))))))))))))))))))))))))))
.
2009-05-11 10:45 . 2009-05-11 10:45 -------- d-----w c:\programme\CCleaner
2009-04-16 07:51 . 2009-04-16 07:51 -------- d-----w c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-04-15 09:29 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 09:29 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 09:29 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 09:29 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 09:29 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 09:29 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 09:29 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 09:29 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 09:29 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 09:29 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-12 12:36 . 2008-01-17 15:27 137185312 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-12 11:15 . 2008-01-17 15:27 1613120 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-11 13:03 . 2008-10-12 21:14 -------- d-----w c:\programme\Sony
2009-05-11 13:02 . 2009-01-30 15:21 -------- d-----w c:\programme\Mumble
2009-05-11 12:29 . 2008-01-17 14:33 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-05-11 11:22 . 2009-05-11 11:22 -------- d-----w c:\programme\Trend Micro
2009-04-01 18:11 . 2009-04-01 18:11 -------- d-----r c:\programme\Skype
2009-03-30 19:49 . 2008-01-16 18:49 -------- d-----w c:\programme\ICQLite
2009-03-28 12:08 . 2008-04-14 04:13 6762649 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-03-06 14:19 . 2006-02-28 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:03 . 2006-02-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 16:49 . 2006-02-28 12:00 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-17 17:11 . 2009-02-17 17:11 24232 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-02-17 13:33 . 2009-02-17 13:33 89256 ----a-w c:\windows\system32\ElbyCDIO.dll
2008-01-17 15:42 . 2008-01-17 14:48 48 --sh--w c:\windows\S22198A47.tmp
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1953792]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"VolPanel"="c:\programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-07-13 122880]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"CreativeTaskScheduler"="c:\programme\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]
"OODefragTray"="c:\windows\system32\oodtray.exe" [2007-05-11 2512392]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-11-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\Ctxfihlp.exe [2007-11-12 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0 OODBS
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQLite\\ICQLite.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 EslWireService;EslWireService;c:\programme\EslWire\service\EslWireSrv.exe [08.05.2008 15:29 868864]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [08.05.2008 15:29 20216]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [17.01.2008 18:26 1527900]
S3 Razerlow;Razer Copperhead Driver;c:\windows\system32\drivers\Razerlow.sys [16.01.2008 20:08 11372]
S3 SysInteg;SysInteg;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg27891;SysInteg27891;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
S3 SysInteg32290;SysInteg32290;c:\windows\system32\drivers\SysInteg010.sys [14.03.2008 17:39 9984]
.
Inhalt des "geplante Tasks" Ordners
2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2009-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-08 02:46]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\8ymow3hh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-12 13:36
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
Zeit der Fertigstellung: 2009-05-12 13:37
ComboFix-quarantined-files.txt 2009-05-12 12:36
Vor Suchlauf: 14 Verzeichnis(se), 32.334.184.448 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 32.376.897.536 Bytes frei
141 --- E O F --- 2009-04-15 21:55
12.05.2009, 14:00
Baum-Darstellung