Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-06-18.02 - *** 19.06.2009 21:07.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.510.299 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\GamesBar\oberontb.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-05-19 bis 2009-06-19  ))))))))))))))))))))))))))))))
.

2009-06-19 00:06 . 2009-06-19 00:08	--------	d-----w-	c:\programme\Sky Kingdoms
2009-06-15 17:25 . 2009-06-15 17:25	--------	d-----w-	C:\rsit
2009-06-15 16:58 . 2009-06-15 16:58	--------	d-----w-	c:\programme\The KMPlayer
2009-06-15 16:44 . 2009-06-15 17:54	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\.purple
2009-06-15 16:40 . 2009-06-15 16:40	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
2009-06-15 16:39 . 2009-06-15 16:39	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-14 18:02 . 2009-06-14 18:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-14 18:02 . 2009-06-15 16:31	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-14 18:02 . 2009-06-15 16:30	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-06-14 12:00 . 2009-06-14 12:00	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-06-14 11:59 . 2009-05-26 11:20	40160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-14 11:59 . 2009-06-14 11:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-14 11:59 . 2009-06-14 12:00	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-06-14 11:59 . 2009-05-26 11:19	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-06-14 11:25 . 2009-06-14 11:25	--------	d-----w-	c:\programme\CCleaner
2009-06-14 11:09 . 2009-06-14 11:09	--------	d-----w-	c:\programme\Trend Micro
2009-06-07 15:12 . 2009-06-07 15:26	147372	----a-w-	c:\windows\hpoins13.dat
2009-06-07 15:12 . 2007-01-22 16:05	811	------w-	c:\windows\hpomdl13.dat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-19 19:07 . 2007-10-06 12:57	--------	d-----w-	c:\programme\GamesBar
2009-06-19 18:57 . 2007-07-17 20:37	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2009-06-19 13:48 . 2007-07-05 16:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-06-17 14:01 . 2008-02-25 18:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-06-17 10:41 . 2007-07-05 19:21	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-06-15 16:53 . 2008-12-03 20:57	--------	d-----w-	c:\programme\ICQ6Toolbar
2009-06-15 16:53 . 2008-12-03 20:55	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-06-15 16:46 . 2007-07-07 21:44	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2009-06-15 16:40 . 2008-12-16 15:07 410984	----a-w-	c:\windows\system32\deploytk.dll
2009-06-15 16:36 . 2007-07-12 17:50	--------	d-----w-	c:\programme\DEUTSCHLAND SPIELT
2009-06-15 16:33 . 2008-06-01 13:48	--------	d-----w-	c:\programme\VideoLAN
2009-06-15 16:32 . 2007-11-04 17:43	--------	d-----w-	c:\programme\TuneUp Utilities 2006
2009-06-15 16:30 . 2007-09-12 17:40	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-15 16:29 . 2007-07-14 20:51	--------	d-----w-	c:\programme\Java
2009-06-15 16:25 . 2007-07-05 16:42	--------	d-----w-	c:\programme\Google
2009-06-15 16:24 . 2007-12-16 18:17	--------	d-----w-	c:\programme\Bonjour
2009-06-15 16:23 . 2007-07-15 15:14	--------	d-----w-	c:\programme\Apple Software Update
2009-06-14 16:21 . 2008-02-23 19:21	--------	d-----w-	c:\programme\ppfilm
2009-06-07 06:39 . 2007-07-05 16:42	45400	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-06-07 06:39 . 2007-07-05 16:42	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-06-07 06:39 . 2007-07-05 16:42	75096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-05-29 11:36 . 2009-03-19 19:49	2060288	----a-w-	c:\windows\system32\usbaaplrc.dll
2009-05-29 11:36 . 2008-05-10 17:52	39424	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-05-14 19:10 . 2009-05-14 19:10	--------	d-----w-	c:\programme\gPotato.eu
2009-05-09 09:13 . 2009-05-09 09:13	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-05-07 15:32 . 2002-08-29 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-05-05 20:54 . 2008-05-26 22:52	--------	d-----w-	c:\programme\Norton Security Scan
2009-05-05 15:07 . 2009-05-05 15:07	604416	----a-w-	c:\windows\system32\TUProgSt.exe
2009-05-05 15:06 . 2007-11-04 17:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-05-05 15:05 . 2009-05-05 15:05	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-05 14:40 . 2009-05-05 14:40	--------	d-----w-	c:\programme\SPEEDLINK Wheel Mouse
2009-05-03 16:02 . 2008-05-30 06:15	--------	d-----w-	c:\programme\Gemeinsame Dateien\Symantec Shared
2009-05-03 12:31 . 2007-11-20 16:51	--------	d-----w-	c:\programme\Monte Cristo
2009-05-03 12:31 . 2007-08-08 16:06	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-05-01 23:51 . 2007-07-05 18:30	104464	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 08:12 . 2009-05-01 08:12	--------	d-----w-	c:\programme\Data Design Interactive
2009-05-01 08:12 . 2009-05-01 08:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tarma Installer
2009-04-29 04:42 . 2006-06-23 11:27	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:41 . 2004-08-04 07:57	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-28 12:50 . 2007-07-05 19:21	--------	d-----r-	c:\programme\Skype
2009-04-28 12:50 . 2009-04-28 12:50	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2009-04-28 12:50 . 2007-07-05 19:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-04-27 14:00 . 2009-03-26 19:24	34	----a-w-	c:\dokumente und einstellungen\***\jagex_runescape_preferences.dat
2009-04-26 21:44 . 2008-10-04 19:28	26	----a-w-	c:\windows\popcinfo.dat
2009-04-25 06:00 . 2008-12-26 10:17	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\MAGIX
2009-04-25 05:58 . 2007-07-06 19:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-04-25 05:58 . 2007-07-06 19:05	--------	d-----w-	c:\programme\MAGIX
2009-04-24 14:56 . 2008-02-02 17:34	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Image Zone Express
2009-04-22 06:12 . 2002-08-29 12:00	73006	----a-w-	c:\windows\system32\perfc007.dat
2009-04-22 06:12 . 2002-08-29 12:00	412274	----a-w-	c:\windows\system32\perfh007.dat
2009-04-19 19:46 . 2002-08-29 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2004-03-06 02:16	585216	----a-w-	c:\windows\system32\rpcrt4.dll
2009-04-11 21:58 . 2009-04-11 21:58	75048	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2008-03-15 08:26 . 2008-03-15 08:26	0	----a-w-	c:\programme\temp01
2007-07-08 18:54 . 2007-07-08 18:54	16	---ha-w-	c:\programme\Gemeinsame Dateien\mxfilerelatedcache.mxc2
2007-07-07 07:27 . 2007-07-07 07:27	16	---ha-w-	c:\programme\mxfilerelatedcache.mxc2
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-16 94208]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2007-04-19 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-04-19 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-04-21 270336]
"FixCamera"="c:\windows\FixCamera.exe" [2007-07-11 20480]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"ACQTMOUSE"="c:\programme\SPEEDLINK Wheel Mouse\ACQTMAPP.exe" [2007-07-08 501760]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]

c:\dokumente und einstellungen\***\Startmen�\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\ppfilm\\jfCacheMgr.exe"=
"c:\\Programme\\ppfilm\\KmLiveUpdate.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [05.07.2007 18:42 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [05.07.2007 18:42 45400]
R3 ACRUSBTM;ACRUSBTM;c:\windows\system32\drivers\ACRUSBTM.SYS [05.05.2009 16:40 28672]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [06.07.2007 21:05 1527900]
S4 BoBoTurbo;BoBoTurbo;c:\windows\system32\boboturbo\boboturbo.exe --> c:\windows\system32\boboturbo\boboturbo.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-06-14 c:\windows\Tasks\WebReg Photosmart C4200 series.job
- c:\programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-12-10 19:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-19 21:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1757981266-1993962763-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-06-19 21:17
ComboFix-quarantined-files.txt  2009-06-19 19:17

Vor Suchlauf: 16 Verzeichnis(se), 117'661'450'240 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 117'901'475'840 Bytes frei

169	--- E O F ---	2009-06-10 22:44
         

Hier der Log

Norton, McAfee, du hast ja keinen ausgelassen.

Hast du das installiert: Sky Kingdoms?

ciao, andreas

Code: Alles auswählenAufklappen

ATTFilter

Hast du das installiert: Sky Kingdoms?
         

Meine Mom hat es installiert..
Hatte sie drauf hingewiesen, nichts zu installieren/deinstallieren. Hat sie wohl vergessen..
Es ist ein Spiel, dass ich problemlos deinstallieren kann. Hoffe, es ist nicht schlimm - tut mir Leid, dass es passiert ist.

Ich muss erstmal alles, das neu da ist, für einen Schädling halten, wenn sie es installiert hat, muss ich mir keine Sorgen machen.

1.) Deinstalliere (falls möglich):

• SuperAntiSpyware.
• Yahoo Toolbar

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
BoBoTurbo

RegNull::
[HKEY_USERS\S-1-5-21-1757981266-1993962763-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Bonjour\mDNSResponder.exe"=-
"C:\Dokumente und Einstellungen\Vuong\Lokale Einstellungen\Temp\7zS96.tmp\SymNRT.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-

File::
C:\WINDOWS\system32\boboturbo\boboturbo.exe
C:\Programme\Bonjour\mDNSResponder.exe
c:\windows\system32\TUProgSt.exe
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

Folder::
c:\programme\Norton Security Scan
c:\programme\GamesBar
C:\rsit
c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee
c:\programme\McAfee
c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
C:\Programme\SUPERAntiSpyware
C:\Dokumente und Einstellungen\Vuong\Anwendungsdaten\SUPERAntiSpyware.com
C:\Config.Msi
C:\Programme\ICQ6Toolbar
C:\Programme\TuneUp Utilities 2006
C:\Programme\Apple Software Update
C:\WINDOWS\system32\BoBoTurbo

DirLook::
C:\WINDOWS\Installer
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

• Danach das Log von Combofix posten.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

SuperAntiSpyware befindet sich nicht mehr auf dem Rechner.
Bei der Deinstallation von Yahoo! Toolbar kommt eine Meldung, ein Fehler sei aufgetreten.

Nachdem ComboFix fast fertig war, startete mein Rechner automatisch neu. Jetzt ist mein Bildschirm schwarz und ich kann nichts machen, weshalb ich gerade durch die Wii im Internet bin.

Bitte um schnelle Antwort...

Hö?

Versuche erstmal den abgesicherten Start mit Netzwerkunterstützung.

Lädt Windows denn noch oder bleibt er gleich am Anfang schwarz. Möglichst genau beschreiben, was passiert.

ciao, andreas

Beim Neustart von Windows erscheint zuerst wie gewohnt etwas über `hp´. Danach wird der Bildschirm schwarz. Ganz oben links blinkt ein weißes Unterstricht. Dann passiert nichts mehr.

So kann ich den abgesicherten Start nicht machen, da ich erst auf die Meldung ´Windows wird gestartet...´ warten muss, der nicht vorkommt.

Hoffe, sie können mir weiter helfen..

Drücke F8 sobald der HP-Bildschirm verschwunden ist.

ciao, andreas

Leider passiert auch da wieder nichts.

Auf dem HP-Bildschirm unten steht <F10 = System Recovery>. Kann man dort evtl. etwas machen?

Ja. Damit wird der Neuzustand wiederhergestellt, allerdings verlierst du damit auch alle deine Daten und Einstellungen.

Versuchen wir erstmal eine Reparaturinstallation.

ciao, andreas

Eine Frage noch..
Ich habe eben meiner Schwester nach der CD gefragt, sie gab es mir und meinte, dass dann alle unsere Datein verschwinden.
Stimmt das?

Nein, wenn du die Anleitung genau abarbeitest, dann nicht.

Wir müssen nur die Updates danach noch aufspielen, dann ist er wie neu.

ciao, andreas

Okay..
Ich verstehe Punkt 2.) und 3.) nicht. Wie stellt man es um und wie sollen die Einstellungen sein?

Möchte mit meinen 15 Jahren auf Nummer sicher gehen und zweifel noch ein bisschen..

Leg die CD ein, starte den Rechner, wenn die Meldung kommt, Drücken sie eine beliebige Taste, dann drückst du Enter, dann sollte es losgehen. Falls das nicht funktioniert, dann melde dich nochmal.

ciao, andreas

Sobald der HP-Bildschirm weg ist und der schware Hintergrund mit dem Aufblinken eines weißen Unterstrichs oben links erscheint, geht nichts mehr.

CD ist drin, trotzdem passiert nichts.