Hallo erstmal!
Dieses Forum hat mir schon oft bei der Lösung von Problemen geholfen, wenn es darum ging, infizierte Rechner von anderen Leuten zu säubern, deshalb schon mal ein Dankeschön an dieser Stelle. Konnte ich bisher immer mahnend den Zeigefinger schwingen und vor allem zu brain.exe raten, so hat es mich nach all den Jahren zum ersten Mal selber erwischt. Ich habe mir einen Schädling eingefangen, und ich habe keine Ahnung, wie. Doch der Reihe nach:
Vor 2 Tagen hatte ich plötzlich Probleme beim Surfen, mein Iron spann rum und führte auf einmal auf Seiten, die ich gar nicht angeklickt hatte. Nachdem ich dann kurz googlete und ich bei Clicks auf Resultate dann auf andere Seiten weitergeleitet wurde, war mir sofort klar, dass ich mir irgendeinen Schädling eingefangen hatte, kA wie.
Jedenfalls startete ich HJT und der Rechner schmierte dabei ab. Beim Neustart tauchte dann der Fehler auf, dass ich mich zwar anmelden konnte, aber ich unmittelbar wieder abgemeldet wurde, egal ob normal oder im abgesicherten Modus, oder Wiederherstellungskonsole, alles egal. Ich habe dann Knoppicillin 7 gestartet und KAV, sowie Avira damit laufen lassen, die zu meiner Überraschung Trojaner fanden und löschten. Das Problem war damit noch nicht beseitigt, denn ich wurde immer noch automatisch abgemeldet. Im Netz fand ich einiges zu diesem Problem, aber die oftmals vorgeschlagene Maßnahme, die userinit.exe zu überschreiben, brachte nix. Am Ende konnte ich mit der UBCD die Registry editieren und verhindern, dass mit der userinit.exe noch eine andere .exe als Debugger gestartet wird. Damit war das Problem mit der Anmeldung behoben, aber ich habe mich immer noch unsicher gefühlt - und ja, eigentlich müsste ich das System neu aufsetzen. Ich habe es aber so lieb gewonnen und gehe für die Liebe gewisse Risiken ein
Folgendes habe ich dann gemacht:
1) CCleaner (mache ich eh regelmäßig)
2) Malwarebytes Scan:
-> nichts gefunden, bis auf die Datei skype-start.exe, die zu Portable Skype gehört. Ich habe das aber schon Ewigkeiten nicht mehr benutzt -> gelöscht
3) HJT. Log war imo in Ordnung.
4) SpybotSD, kompletter Scan, nur Tracking Cookies gefunden.
5) Verschiedene andere Tools genutzt, u.a. KAV Webscan, Sysinternal Suite, SuperAntiSpyware, scheinbar sauber?
6) Combofix genutzt und siehe da, folgendes Resultat:
Zitat:
ComboFix 09-06-17.04 - sent1nel 18.06.2009 13:32.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\sent1nel\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\kb913800.exe
c:\windows\system32\SKYNETryrpkixy.dll
c:\windows\system32\SKYNETuonmohiv.dat
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_SKYNETauuuwvsa
((((((((((((((((((((((( Dateien erstellt von 2009-05-18 bis 2009-06-18 ))))))))))))))))))))))))))))))
.
2009-06-18 10:11 . 2009-06-18 10:11 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-06-17 16:49 . 2009-06-17 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-06-17 16:49 . 2009-06-17 16:49 -------- d-----w- c:\windows\system32\Kaspersky Lab
2009-06-17 15:34 . 2009-06-17 15:34 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Malwarebytes
2009-06-17 15:34 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 15:34 . 2009-06-17 15:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-17 15:34 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-11 13:27 . 2009-06-11 13:27 -------- d-----w- c:\windows\ie8updates
2009-06-11 13:26 . 2009-04-30 21:13 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-06-11 13:26 . 2009-04-30 21:12 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-05-27 07:55 . 2009-05-27 07:56 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Braid
2009-05-20 08:00 . 2009-05-20 08:00 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Avira
2009-05-20 07:52 . 2009-05-20 07:52 -------- d-----w- c:\dokumente und einstellungen\LocalService\Startmenü
2009-05-20 07:52 . 2009-05-20 07:45 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-20 07:52 . 2009-05-20 07:45 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-05-20 07:52 . 2009-05-20 07:45 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-05-20 07:52 . 2009-05-20 07:45 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-05-20 07:52 . 2009-05-20 07:52 -------- d-----w- c:\programme\Avira
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-18 11:36 . 2007-01-23 11:34 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-17 16:36 . 2007-05-04 19:57 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Skype
2009-06-17 16:21 . 2007-12-17 10:14 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\skypePM
2009-06-17 15:04 . 2007-12-22 14:09 -------- d-----w- c:\programme\DAEMON Tools Pro
2009-06-17 10:47 . 2005-08-20 00:34 86162 ----a-w- c:\windows\system32\perfc007.dat
2009-06-17 10:47 . 2005-08-20 00:34 463788 ----a-w- c:\windows\system32\perfh007.dat
2009-06-16 14:19 . 2007-12-23 14:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-06-14 22:08 . 2008-01-28 09:59 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\FileZilla
2009-06-07 19:22 . 2007-04-03 21:40 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\uTorrent
2009-05-28 15:22 . 2008-12-16 20:51 -------- d-----w- c:\programme\Winamp
2009-05-21 09:42 . 2008-06-12 16:30 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Orbit
2009-05-20 07:52 . 2008-06-04 22:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-13 05:02 . 2005-08-20 00:34 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:42 . 2005-08-20 00:33 346624 ----a-w- c:\windows\system32\localspl.dll
2009-04-23 17:57 . 2009-04-23 17:57 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\EPSON
2009-04-23 16:19 . 2009-04-23 16:06 -------- d-----w- c:\programme\EPSON
2009-04-22 10:30 . 2007-01-31 11:30 -------- d-----w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\AdobeUM
2009-04-19 20:06 . 2005-08-20 00:34 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 15:29 . 2005-08-20 00:34 583168 ----a-w- c:\windows\system32\rpcrt4.dll
2009-03-29 20:50 . 2007-01-23 11:47 85560 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-27 21:18 . 2009-03-27 21:18 152576 ----a-w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-03-22 07:46 . 2009-03-25 19:23 86016 ----a-w- c:\dokumente und einstellungen\sent1nel\Anwendungsdaten\Songbird2\Profiles\2vryt9rz.default\extensions\songsnarl@tlhan-ghun.de\components\SnarlInterfaceMozilla.dll
2006-07-11 12:38 . 2007-03-26 14:02 24845 ----a-w- c:\programme\mimeTypes.rdf
2007-12-16 07:35 . 2007-12-16 07:35 108 --sha-r- c:\windows\neoqaz2.dll
2006-05-03 10:06 . 2008-02-01 01:30 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-02-01 01:30 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-02-01 01:30 27648 --sh--w- c:\windows\system32\Smab0.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-10 15360]
"AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-05-13 499712]
"Snarl"="c:\programme\Snarl\snarl.exe" [2008-07-21 561152]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"AlcoholAutomount"="c:\programme\Alcohol 120\axcmd.exe" [2009-01-16 4608]
"SpybotSD TeaTimer"="c:\tools\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]
"CTSVolFE.exe"="c:\programme\Creative\Mixer\CTSVolFE.exe" [2005-02-23 57344]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"PCMService"="c:\programme\Dell\MediaDirect\PCMService.exe" [2006-08-22 184320]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"PhiBtn"="c:\windows\System32\drivers\PhiBtn.exe" [2005-09-12 155648]
"Traymin900"="c:\windows\System32\drivers\Tray900.exe" [2005-09-12 266240]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"UnlockerAssistant"="c:\tools\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-05-20 209153]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-24 282624]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\tools\Launchy\Launchy.exe [2008-12-9 286720]
VPN Client.lnk - c:\windows\Installer\{24C67B54-0718-445E-B663-3138D9246BD1}\Icon3E5562ED7.ico [2007-1-31 6144]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0oodbs
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Dell Network Assistant\\ezi_hnm2.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Tools\\utorrent\\utorrent.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Dell\\MediaDirect\\PCMService.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Dokumente und Einstellungen\\sent1nel\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Downloads\\utorrent181.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10421:UDP"= 10421:UDP:SingleClick Discovery Protocol
"10426:UDP"= 10426:UDP:SingleClick ICC
"57777:TCP"= 57777:TCP:utorrent
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [20.05.2009 09:52 194817]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programme\Avira\AntiVir Desktop\sched.exe [20.05.2009 09:52 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [20.05.2009 09:52 434945]
R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\drivers\hnm_wrls_pkt.sys [14.07.2006 03:01 13824]
R2 wsppkt;Wireless Security Protocol;c:\windows\system32\drivers\wsp_pkt.sys [14.07.2006 03:02 13696]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);c:\windows\system32\drivers\RMSPPPOE.SYS [29.01.2007 18:57 33792]
S3 camvid40;Philips SPC 900NC PC Camera;c:\windows\system32\drivers\camdrv41.sys [27.01.2008 23:35 1239552]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners
2009-06-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-VCheck - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4070123
mSearchAssistant = hxxp://www.google.de/hws/sb/dell-row/de/side.html?channel=de
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: kaspersky.com\www
Trusted Zone: microsoft.com\update
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-18 13:37
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="F94D07D64AE32D81E0B7FC819AC3046FAE1F03BE7577882E9C48E452974DD3DD6981237B1597436EC54D73E0937E03E95BD9D8D19B1F309BD947 4CCEE87D05899F4472E65EC1993169F2DEE6FACEAB21132370CFE51D095C6E59B1AB09EC730F9F2CD29F3BC6A21016E3B164FB4ED3BA8CFAEA793B5F699097E406B3377E93AACFA1A81EE3 1E9685FCAD5E9F67A9930E5EB56D7EA567680A791F40A6552B214FFBE3D8CB32FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E 127BECC74C8EDD5E5BE2F6E667C038D530D6EB3452A6A0AC4980AC7933A6A0AC4980AC79336A9BFD21192045CD239469B747CC00BCDBACE753FDA52C7EF42506D303A6724C34E572895ED6 69DB71692F16323CB90F993C96DEE2E47E2A008D33118F008E9D7AC8DF32DC7A81E5594940C58B440CEF9F177EFADE8930981AB26AF4D98F38B2BAF6D495C41A8125CC07C66A86E39A13F3 CD8794CB21B118FD0770D38196CB91806490911B46D5794C39A00A2E9C7FD0AC38CAFAD8BE689AF7443BE7F8DA1B646F4B0768B7945D6670B85F12E076C4A476F196E3097B2D336965F6CE 8A25EDF93CA7E0C0491F6A916424C7CF4FFA6B2F925AEE6732724D1CC72B82094F407D42B3BBFBA44E03C5C6E7DD54787E396633D493090080C309B09B9AF2FCB87D77D3328BE7031C62A8 F3CC0C32A2CAC49E1AA485CF90711317F304F98E7389337DE9AAE1E92FDC6242ADFB1942C8DF32F06DFE5A62DC58079E89B057D11A5BB826DF23CAF85D0DAD36A9EF329A4C401D2BDF7403 928C5CCC3DBA6701E90397E97CBAB617C2297B711CC2B749856FC1A513C228B0E6AC781204F2818C3D227FA8FB1D925DA891CEDEFD787796FE590DEB6090D4DB992D7A8CF8456C51E252A6 D819D379F4BC77002CDBECE4923A162219BEE3C3401AE2057394E528EB244FF4E4B84B41FBC9A2DA12A7E7CDFB9B94D055CEFA57DA8A858F8142AD4CBC033C2636B595D4534C3D7FCFC853 8ED4BCA8BF51A3BC03F042B2E4F5651A8067B11E49405DE8B221F254652599BE9CE2EA0A683F46AF4F0849692495514A0253195CC3F6719EECCDA35C52596BDC7E31295318543200D8ECE0 0FBEA8CF04222F53474B5328B4A88576AAE4B47E84CE8D2B8372CDD6FC4EACFA6C7DF89EB047E7AF0FEBCF2CCD22BBB8798D878C323E89DA7F6B67199A759C3DACF858EC5D69B433C80770 1BAE2623E9E7109FBD020FFA578D4DE55171A6D28261211961B9970C93ED503787421736BE770755B239197D70D9368FCA3ECDAA597D3991949CF029BE5CCD2DF6956BB19F0F5D817FBC47 EEAB72182F45DDEA42055B57A0137CAA0ED155DB61E25C2E172AF85502A8191971444C3792F5D612FE7936E5235E7890FE227D2BE039E97C2B2EE303382BFB2269A5"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2400)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wscntfy.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-18 13:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-18 11:41
Vor Suchlauf: 6.847.619.072 Bytes frei
Nach Suchlauf: 6.776.995.840 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
236
|
7) Weiter gescannt, gescannt mit oben genannten Tools. Scheinbar ok.