Wenn der Regenschirm von Avira eingeklappt ist sollte es schon passen...

Hi,
So jetzt habe ich Combofix ausgeführt. Hier das Logfile:
#ComboFix 09-09-06.06 - ++++ 07.09.2009 20:21.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.382.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\++++\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD100-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD408-FFA4-00DA-0D24-347CA8A3377C}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-982049814-2109433001-3863649361-1003
c:\windows\Installer\2159a.msi

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-07 bis 2009-09-07 ))))))))))))))))))))))))))))))
.

2009-09-01 07:24 . 2009-09-01 19:20 -------- d-----w- c:\programme\trend micro
2009-09-01 07:24 . 2009-09-01 07:25 -------- d-----w- C:\rsit
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-31 18:28 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-31 18:28 . 2009-08-31 18:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-28 08:36 . 2009-08-28 08:37 -------- d-----w- c:\programme\CCleaner
2009-08-19 07:40 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-12 18:50 . 2009-08-12 18:50 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-07 18:00 . 2006-06-04 21:13 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-08-25 20:02 . 2007-05-02 20:19 -------- d-----w- c:\dokumente und einstellungen\++++\Anwendungsdaten\phonostar-Player
2009-08-19 09:31 . 2006-09-02 12:37 -------- d-----w- c:\programme\devolo
2009-08-19 06:33 . 2005-09-15 09:04 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-08-19 06:32 . 2005-09-15 09:05 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-05 09:05 . 2005-09-15 09:39 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 18:56 . 2005-09-15 09:39 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2005-09-15 09:40 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-26 15:59 . 2005-09-15 09:39 673792 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 15:58 . 2005-09-15 09:39 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-25 08:17 . 2005-09-15 09:39 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:17 . 2005-09-15 09:39 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:17 . 2005-09-15 09:39 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:17 . 2005-09-15 09:39 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-25 08:17 . 2005-09-15 09:39 737280 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:17 . 2005-09-15 09:39 301568 ----a-w- c:\windows\system32\kerberos.dll
2009-06-22 11:35 . 2005-09-15 09:39 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:53 . 2005-09-15 09:39 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:53 . 2005-09-15 09:39 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 11:32 . 2005-09-15 09:39 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-10 14:22 . 2005-09-15 09:39 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2005-09-15 09:39 132096 ----a-w- c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA61DE26-FA67-4575-9033-918671094293}]
2008-08-14 13:57 2484224 ----a-w- c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\++++\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"PhonostarAgent"="c:\programme\phonostar\ps_agent.exe" [2007-12-05 98304]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2007-12-05 126976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-01-19 82010]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-19 761946]
"LaunchAp"="c:\launch manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\launch manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\launch manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\launch manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\launch manager\Wbutton.exe" [2005-04-18 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CtrlVol"="c:\launch manager\CtrlVol.exe" [2003-09-16 20480]
"EPSON Stylus C86 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [2003-11-25 99840]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-08 57344]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-08-01 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-6-3 110592]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Dokumente und Einstellungen\\D.Loiberzeder\\Desktop\\Skype.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Adobe\\Adobe Help Center\\ahc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"554:TCP"= 554:TCP:554
"554:UDP"= 554:UDP:554
"1755:TCP"= 1755:TCP:1755
"1755:UDP"= 1755:UDP:1755

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [15.09.2005 11:47 200192]
S1 mailKmd;mailKmd; [x]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
Inhalt des "geplante Tasks" Ordners

2009-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Arcor Online - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: &Winamp Toolbar Search - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\++++\Anwendungsdaten\Mozilla\Firefox\Profiles\2bmpdr57.default\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-07 20:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\launch manager\CtrlVol.exe???????8???????H???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@????????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s????(J?w??@?N'?s??? ?-6@????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C86 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"???????/???????-???V???????????oc7~????????????????`????????????????????c7~????`???????+???8???????????x?8~????`?????????8~`??????????????|???????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-09-07 20:27
ComboFix-quarantined-files.txt 2009-09-07 18:27

Vor Suchlauf: 17 Verzeichnis(se), 43.688.206.336 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 44.823.339.008 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

164 --- E O F --- 2009-08-27 14:21
#

Gruß, Tintoretto

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\launch manager\CtrlVol.exe???????8???????H???T??????|x??| ????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@???????????? ????s???????s???sx??s@??????????????|h??sl???????? ??s?????????????????C?sc"?sx??s????(J?w??@?N'?s??? ?-6@????????????
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus C86 Series = c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0R 2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"???????/???????-???V???????????oc7~????????????????`?????????????? ??????c7~????`???????+???8???????????x?8~????`???? ?????8~`??????????????|???????

Ach Du Sch... was ist das denn??


Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus.



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
C:\WINDOWS\system32\drivers\mailKmd.sys

drivers to delete:
mailKmd
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Hallo Cosinus,
der Avenger hat wohl auch nix gefunden

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\drivers\mailKmd.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\mailKmd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "mailKmd" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Gruß,Tintoretto

Doch! Er hat den Treiber entfernt!

Code: Alles auswählenAufklappen

ATTFilter

Driver "mailKmd" deleted successfully.
         

Wenn noch Probleme sind, bitte melden.

Hi Cosinus
Du meinst das war´s ? Das ist ja Super!
Also nochmal vielen Dank für die tolle Hilfe und für die Geduld!

Combofix hat hier einiges verstellt. Falls ich nicht zurechtkomme,
melde ich mich nochmal!

Alles Gute,
Tintoretto

Was hat's denn alles verstellt?

Das, was ich bisher überblicke:
Desktophintergrund ist ein anderer (mein vorheriger),
Der Standardbrowser ist der Internet Explorer statt dem zuvor eingestelltem
Firefox,
meine Ausdrucke sehen total scheiße aus (haben Lücken...)
letzteres war aber schon nach Malwarebytes so glaube ich...


Ist das unüblich?

Gruß,
Tintoretto

Das mit dem Desktophintergrund und dem Standardbrowser kann schon durch Combofix passieren, aber das mit dem Drucker ist sehr unüblich. Ich glaub auch nicht, dass Malwarebytes daran schuld ist, eher wird beim Drucker ne Druckkopfreinigung oder eine neue Patrone fällig. CF und MBAM können ja nicht direkt auf den Druckkopf scripten

Ansonsten gilt das:

Zitat:

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.