Schaden durch Kido.IX reparierbar?: Bilder sind weg

nie111 · 27.09.2009, 22:10

So, da kommt dann das Combofixprotokoll nach erneutem Suchlauf mit angeschlossener E: und J: und USBstick. Danach kam ich übrigens nicht mehr ins Netz, weder mit Opera noch IE: keine Verbindung. Musste neu starten.

Hat Combofix jetzt wirklich E und J gescannt? Hat Combofix einen Virus gefunden? Der Durchgang dauerte ungefähr 10 Minuten, Avira höätte wohl 3 Stunden gebraucht.
Panda starte ich gleich neu.

Grüße
niels

ComboFix 09-09-25.01 - nie 27.09.2009 22:41.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.557 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 20:07 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-09-27 20:07 . 2009-09-27 20:07 -------- d-----w- c:\programme\Panda Security
2009-09-27 20:07 . 2009-09-27 20:07 -------- d-----w- c:\windows\LastGood
2009-09-27 20:01 . 2009-09-27 20:01 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-09-27 20:01 . 2009-09-27 20:01 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-09-27 20:01 . 2009-09-27 20:01 -------- d-----w- c:\programme\Prevx
2009-09-27 20:00 . 2009-09-27 20:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-09-27 18:20 . 2009-09-27 18:27 -------- d-----w- C:\cofi
2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-27 20:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.26.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-04 12:06 . 2009-08-04 12:06 132352 c:\windows\Downloaded Program Files\as2stubie.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-24 149280]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\nie\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [27.09.2009 22:01 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [27.09.2009 22:01 27656]
R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [27.09.2009 22:01 4368952]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - CSISCANNER
*NewlyCreated* - PXSCAN
*NewlyCreated* - PXSEC

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 22:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(840)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3340)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2009-09-27 22:46
ComboFix-quarantined-files.txt 2009-09-27 20:46
ComboFix2.txt 2009-09-27 18:27

Vor Suchlauf: 12 Verzeichnis(se), 254.863.994.880 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 254.840.029.184 Bytes frei

255 --- E O F --- 2009-09-21 07:50

john.doe · 27.09.2009, 22:23

Was hast du denn gemacht? ComboFix sucht gar nicht nach Conficker, aber ComboFix ist mit Script in der Lage die Datei zu löschen, habe ich schon öfter gemacht. Nur dazu brauche ich den genauen Pfad.

ciao, andreas

nie111 · 27.09.2009, 22:31

Zitat:

Zitat von john.doe

Was hast du denn gemacht? ComboFix sucht gar nicht nach Conficker, aber ComboFix ist mit Script in der Lage die Datei zu löschen, habe ich schon öfter gemacht. Nur dazu brauche ich den genauen Pfad.

ciao, andreas

also, ich meine, das nachgeholt zu haben, was du vorgeschlagen hattest. Oder? Vielleicht kam die fehlende Internetverbindung von Panda. Bei dessen Neubeginn ging diesmal gleich Avira auf und meldete verdächtigen Code: HEUR/HTML.Malware (in C: temporary internet files)

Grüsse
niels

john.doe · 27.09.2009, 22:43

Zitat:

Vielleicht kam die fehlende Internetverbindung von Panda.

Nein, das war ComboFix, der setzt die kompletten Interneteinstellungen zurück.

Zitat:

Bei dessen Neubeginn ging diesmal gleich Avira auf und meldete verdächtigen Code:

Wird wohl ein Fehlalarm sein.

ciao, andreas

nie111 · 27.09.2009, 22:48

Zitat:

Zitat von john.doe

Nein, das war ComboFix, der setzt die kompletten Interneteinstellungen zurück.
Wird wohl ein Fehlalarm sein.

Nach dem ersten Combofixlauf gab es keinen Verbindungsabbruch.

Panda ist übrigens nach einer halben Stunde bei 15%.

Grüsse
Niels

john.doe · 27.09.2009, 22:49

Wenn man extrapoliert, kommt man auf 4 Stunden.

ciao, andreas

nie111 · 27.09.2009, 22:53

Zitat:

Zitat von john.doe

Wenn man extrapoliert, kommt man auf 4 Stunden.

ciao, andreas

Dachte mir schon sowas. Panda ist immer noch bei 15%, arbeitet aber. Also dann vielleicht bis morgen Abend.
Danke!
Niels

nie111 · 28.09.2009, 17:41

Hallo zusammen,
Hallo Andreas,

verstehe gerad die Welt nicht mehr. Panda und auch Avira finden diese Dropper-jwgkvsq.vmx in dem recycler auf J: nicht (mehr)! Wo ist sie hin? Hat sie sich selber gelöscht? Es war (ausnahmsweise gleichzeitig) alles eingesteckt und eingeschaltet: die beiden Festplatten, ein USB-Stick.
Beim letzten Scan hat Avira nicht mehr vor dem verdächtigen Code HEUR/HTML.Malware gewarnt.

Habe inzwischen auch eine ggf. nützliche Seite im Netz gefunden, die ich aber wohl nicht mehr brauche:
http://www.techiebubble.com/security/how-to-remove-the-jwgkvsqvmx-worm-virus/
Habe damit aber nicht gearbeitet! Vielleicht hat Avira nach jüngsten Updates doch den letzten Quarantäneverschub mit neuen Signaturen mit Erfolg geschafft.

Kann ich mich jetzt auf die Datenrettung konzentrieren?

Was war an der auf meinem Rechner installierten Software nicht so gut?

Viele Grüße und vielen Dank!!!

Hier dass Panda-log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-28 13:43:01
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\nie\Cookies\nie@doubleclick[1].txt
02980348 W32/Tearec.A.worm!CME-24 Virus/Worm No 1 Yes No E:\Opera\Opera950\MAIL\STORE\ACCOUNT2\2006-01.MBS[Attachments001.BHX][Atta[001],zip .SCR]
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

john.doe · 28.09.2009, 19:36

Zitat:

Kann ich mich jetzt auf die Datenrettung konzentrieren?

Ja.

Zitat:

Was war an der auf meinem Rechner installierten Software nicht so gut?

Z.T. veraltet z.T. unnütz.
Panda hat eine verseuchte Email gefunden. Falls du die Emails aus Januar 2006 nicht mehr brauchst, dann lösche die Datei

Code:

ATTFilter

E:\Opera\Opera950\MAIL\STORE\ACCOUNT2\2006-01.MBS

Deinstalliere Prevx und Panda Active Scan wieder.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

nie111 · 28.09.2009, 20:03

Zitat:

Zitat von john.doe

Ja.
Z.T. veraltet z.T. unnütz.
Panda hat eine verseuchte Email gefunden. Falls du die Emails aus Januar 2006 nicht mehr brauchst, dann lösche die Datei

Code:

ATTFilter

E:\Opera\Opera950\MAIL\STORE\ACCOUNT2\2006-01.MBS

Deinstalliere Prevx und Panda Active Scan wieder.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

OK, hab das alles gemacht, bis auf die cfscript.txt auf das cofi.exe-Ikon zu ziehen. Nur zum Verständnis: was passiert dann und wofür brauche ich das noch?

john.doe · 28.09.2009, 20:11

Damit werden die gesperrten Regeinträge wieder entsperrt und einige unnötige Autostarteinträge entfernt. Lass dich nicht vom KILLALL:: beeindrucken, das beendet nur alle laufenden Prozesse.

BTW: Fullquotes sind üblicherweise nicht gerne gesehen.

ciao, andreas

nie111 · 28.09.2009, 20:32

Also, da ist dann mal das neue Protokoll. Bin schon gespannt. Was ist eigentlich mit diesem TrackingCookie, das Panda gefunden hat?

Grüsse
niels

ComboFix 09-09-27.05 - nie 28.09.2009 21:20.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.667 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\nie\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\nie\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-28 ))))))))))))))))))))))))))))))
.

2009-09-27 20:41 . 2009-09-27 20:46 -------- d-----w- C:\cofi10137c
2009-09-27 20:07 . 2009-09-28 18:56 -------- d-----w- c:\programme\Panda Security
2009-09-27 18:20 . 2009-09-27 18:27 -------- d-----w- C:\cofi
2009-09-24 13:05 . 2009-09-24 13:05 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\OpenOffice.org
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\JRE
2009-09-24 12:59 . 2009-09-24 12:59 -------- d-----w- c:\programme\OpenOffice.org 3
2009-09-23 22:51 . 2009-09-23 23:06 -------- d-----w- c:\programme\trend micro
2009-09-23 22:51 . 2009-09-23 22:51 -------- d-----w- C:\rsit
2009-09-23 21:07 . 2009-09-23 21:07 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 21:06 . 2009-09-23 21:07 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-23 21:06 . 2009-09-23 21:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 21:06 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 20:40 . 2009-09-27 20:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\Yahoo!
2009-09-23 20:40 . 2009-09-23 20:40 -------- d-----w- c:\programme\CCleaner
2009-09-22 14:44 . 2009-09-22 14:44 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2009-09-22 14:41 . 2009-09-22 14:41 -------- d-----w- c:\windows\system32\Lang
2009-09-22 14:39 . 2006-07-11 19:31 84096 ----a-r- c:\windows\system32\drivers\Rtnicxp.sys
2009-09-21 11:53 . 2009-09-21 11:53 -------- d-----w- C:\kk
2009-09-21 09:44 . 2009-09-21 09:44 -------- d-----w- C:\KPCMS
2009-09-21 09:44 . 1998-06-23 11:18 212480 ----a-w- c:\windows\system32\pcdlib32.dll
2009-09-21 09:44 . 1998-04-25 03:26 210944 ----a-w- c:\windows\system32\MSVCRT10.DLL
2009-09-21 09:44 . 1998-04-25 03:26 40129 ----a-w- c:\windows\iccsigs.dat
2009-09-21 09:44 . 1998-01-20 07:12 133120 ----a-w- c:\windows\sprof32.dll
2009-09-21 09:43 . 1998-06-05 09:42 197120 ----a-w- c:\windows\kpcp32.dll
2009-09-21 09:43 . 1998-04-25 03:26 58368 ----a-w- c:\windows\pfpick.dll
2009-09-21 09:43 . 1998-04-25 03:26 37376 ----a-w- c:\windows\kpsys32.dll
2009-09-21 09:43 . 1998-04-25 03:26 20992 ----a-w- c:\windows\icccodes.dll
2009-09-21 09:43 . 1998-04-25 03:26 132096 ----a-w- c:\windows\KPAPI32.DLL
2009-09-21 09:43 . 2009-09-21 09:43 -------- d-----w- c:\windows\system32\COLOR
2009-09-21 09:43 . 1997-08-15 11:20 299008 ----a-w- c:\windows\unin0407.exe
2009-09-21 09:40 . 2009-09-26 06:59 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Canon
2009-09-21 08:59 . 2009-09-21 08:59 -------- d-----w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-09-21 08:57 . 2009-09-21 09:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-21 07:23 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-09-20 21:31 . 2009-09-20 21:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2009-09-20 21:29 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-09-20 21:29 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-09-20 21:29 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-09-20 21:29 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-09-20 21:29 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-09-20 21:29 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-09-20 21:29 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2009-09-20 21:29 . 2009-09-20 21:29 -------- d-----w- c:\programme\Ahead
2009-09-20 17:05 . 2009-09-20 17:05 -------- d-sh--w- c:\dokumente und einstellungen\nie\PrivacIE
2009-09-20 17:03 . 2009-09-20 17:03 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-09-20 17:02 . 2009-09-20 17:02 -------- d-sh--w- c:\dokumente und einstellungen\nie\IETldCache
2009-09-20 17:01 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-09-20 17:01 . 2009-09-20 17:01 -------- d-----w- c:\windows\ie8updates
2009-09-20 17:00 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-09-20 17:00 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-09-20 17:00 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-09-20 17:00 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-09-20 17:00 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-09-20 17:00 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-09-20 17:00 . 2009-09-20 17:00 -------- dc-h--w- c:\windows\ie8
2009-09-20 16:21 . 2009-09-20 17:02 -------- d-----w- c:\windows\system32\de-de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\l2schemas
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\de
2009-09-20 16:21 . 2009-09-20 16:21 -------- d-----w- c:\windows\system32\bits
2009-09-20 14:18 . 2009-09-20 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SBT
2009-09-20 14:18 . 2009-09-20 15:42 -------- d-----w- c:\programme\Snapshot Viewer
2009-09-20 14:14 . 2009-09-20 21:11 -------- d-----w- c:\windows\ShellNew
2009-09-20 14:12 . 2009-09-20 14:12 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Microsoft Web Folders
2009-09-20 06:46 . 2009-09-24 22:08 -------- d-----w- C:\BJPrinter
2009-09-20 06:46 . 2004-08-16 20:00 7680 ----a-w- c:\windows\system32\CNMVS6z.DLL
2009-09-20 06:46 . 2004-08-16 20:00 116736 ----a-w- c:\windows\system32\CNMLM6z.DLL
2009-09-20 06:46 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\ScanSoft
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanWizard
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2009-09-20 06:42 . 2009-09-20 06:42 -------- d-----w- c:\programme\ScanSoft
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSIF60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 110592 ----a-w- c:\windows\system32\CNCSDO60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 77824 ----a-w- c:\windows\system32\CNCSCM60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 81920 ----a-w- c:\windows\system32\CNCSTR60.DLL
2009-09-20 06:41 . 2004-07-09 05:31 98304 ----a-w- c:\windows\system32\CNCSUT60.DLL
2009-09-20 06:41 . 2002-05-24 03:04 389180 ----a-w- c:\windows\system32\UCS32P.DLL
2009-09-20 06:41 . 2004-07-09 05:33 49152 ----a-w- c:\windows\system32\cncisco.dll
2009-09-20 06:41 . 2004-07-09 05:25 69632 ----a-w- c:\windows\system32\CNCL750.DLL
2009-09-20 06:41 . 2004-07-09 05:25 561152 ----a-w- c:\windows\system32\CNCC750.DLL
2009-09-20 06:41 . 2004-07-09 05:24 90112 ----a-w- c:\windows\system32\CNCI750.DLL
2009-09-20 06:41 . 2009-09-20 06:41 -------- d-----w- C:\CanonMP
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\StartHtmico
2009-09-20 06:39 . 2009-09-20 21:11 -------- d-----w- c:\windows\MP780,750
2009-09-20 06:38 . 2009-09-20 06:44 -------- d-----w- c:\programme\Canon
2009-09-20 06:34 . 1997-08-25 11:55 1045776 ------w- c:\windows\system32\msjet35.dll
2009-09-20 06:34 . 1997-01-12 22:00 37136 ------w- c:\windows\system32\Msjint35.dll
2009-09-20 06:34 . 1996-12-02 16:44 251664 ------w- c:\windows\system32\msrd2x35.dll
2009-09-20 06:34 . 1997-08-25 11:55 407312 ------w- c:\windows\system32\msrepl35.dll
2009-09-20 06:34 . 1996-12-02 16:44 24336 ------w- c:\windows\system32\msjter35.dll
2009-09-20 06:34 . 1996-11-08 00:48 368912 ------w- c:\windows\system32\vbar332.dll
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\programme\ODBC-DAO-RDO
2009-09-20 06:34 . 1996-12-04 22:00 77824 ------w- c:\windows\system32\Odbctl32.dll
2009-09-20 06:34 . 1998-01-23 10:22 304128 ----a-w- c:\windows\IsUninst.exe
2009-09-20 06:34 . 2009-09-20 06:34 -------- d-----w- c:\dokumente und einstellungen\nie\WINDOWS
2009-09-20 06:33 . 2009-09-20 06:49 -------- d-----w- c:\programme\Top25 V1
2009-09-20 06:33 . 1998-11-17 12:44 328704 ----a-w- c:\windows\IsUn0407.exe
2009-09-19 19:02 . 2009-09-23 15:52 -------- d-----w- C:\wiederherstellung
2009-09-19 18:26 . 2009-09-19 18:26 971168 ----a-w- c:\windows\system32\drivers\tdrpm140.sys
2009-09-19 18:26 . 2009-09-19 18:26 540000 ----a-w- c:\windows\system32\drivers\timntr.sys
2009-09-19 18:26 . 2009-09-19 18:26 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys
2009-09-19 18:26 . 2009-09-19 18:26 134272 ----a-w- c:\windows\system32\drivers\snman380.sys
2009-09-19 18:26 . 2009-09-19 19:24 -------- d-----w- c:\programme\Acronis
2009-09-19 18:26 . 2009-09-19 18:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Acronis
2009-09-19 18:05 . 2009-09-27 18:18 65800 ----a-w- c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\MSBuild
2009-09-19 16:52 . 2009-09-19 16:52 -------- d-----w- c:\programme\Reference Assemblies
2009-09-19 16:52 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-19 16:52 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-19 16:52 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-19 16:52 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-19 16:52 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-19 16:50 . 2009-09-19 16:50 -------- d-----w- c:\programme\MSXML 6.0
2009-09-18 17:20 . 2009-09-18 17:20 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 17:20 . 2009-09-28 14:04 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\skypePM
2009-09-18 17:19 . 2009-09-28 19:13 -------- d-----w- c:\dokumente und einstellungen\nie\Anwendungsdaten\Skype
2009-09-18 17:17 . 2009-09-18 17:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-24 12:59 . 2009-09-18 05:20 -------- d-----w- c:\programme\Java
2009-09-22 14:45 . 2004-08-10 19:00 84478 ----a-w- c:\windows\system32\perfc007.dat
2009-09-22 14:45 . 2004-08-10 19:00 459096 ----a-w- c:\windows\system32\perfh007.dat
2009-09-20 14:17 . 2009-09-18 05:23 -------- d-----w- c:\programme\microsoft frontpage
2009-09-18 05:40 . 2009-09-18 05:40 136 ----a-w- c:\dokumente und einstellungen\nie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-09-18 05:20 . 2009-09-18 05:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2009-09-18 05:15 . 2009-09-18 05:15 -------- d-----w- c:\programme\Online-Dienste
2009-09-18 05:14 . 2009-09-18 05:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2009-09-18 05:13 . 2009-09-18 05:13 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-18 05:12 . 2009-09-18 05:12 -------- d-----w- c:\programme\Windows Plus
2009-09-17 23:35 . 2009-09-17 23:35 9388 ----a-w- c:\windows\system32\drivers\iaStor.PNF
2009-09-17 23:35 . 2009-09-17 23:35 7280 ----a-w- c:\windows\system32\drivers\viamraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 6984 ----a-w- c:\windows\system32\drivers\SiSRaid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 63240 ----a-w- c:\windows\system32\drivers\Si3112r.PNF
2009-09-17 23:35 . 2009-09-17 23:35 20152 ----a-w- c:\windows\system32\drivers\INFCACHE.1
2009-09-17 23:35 . 2009-09-17 23:35 12432 ----a-w- c:\windows\system32\drivers\adpu320.PNF
2009-09-17 23:35 . 2009-09-17 23:35 12204 ----a-w- c:\windows\system32\drivers\nvraid.PNF
2009-09-17 23:35 . 2009-09-17 23:35 10828 ----a-w- c:\windows\system32\drivers\iaAHCI.PNF
2009-08-05 08:59 . 2004-08-10 19:00 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:34 . 2004-08-10 19:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:34 . 2004-08-10 19:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:01 . 2004-08-10 19:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-10 19:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 2004-08-10 19:00 915456 ------w- c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_18.26.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-28 19:26 . 2009-09-28 19:26 16384 c:\windows\temp\Perflib_Perfdata_d5c.dat
+ 2009-09-28 19:25 . 2009-09-28 19:25 16384 c:\windows\temp\Perflib_Perfdata_6ac.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-09-02 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OpwareSE2"="c:\programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"OPSE reminder"="c:\programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" [2003-07-07 729088]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-23 16050688]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\nie\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 snapman380;Acronis Snapshots Manager (Build 380);c:\windows\system32\drivers\snman380.sys [19.09.2009 20:26 134272]
R0 tdrpman140;Acronis Try&Decide and Restore Points filter (build 140);c:\windows\system32\drivers\tdrpm140.sys [19.09.2009 20:26 971168]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.09.2009 08:02 108289]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-28 21:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1960)
c:\programme\ScanSoft\OmniPageSE2.0\ophookSE2.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ehome\ehmsas.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-28 21:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-28 19:28
ComboFix2.txt 2009-09-27 20:46
ComboFix3.txt 2009-09-27 18:27

Vor Suchlauf: 13 Verzeichnis(se), 254.823.608.320 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 255.205.777.408 Bytes frei

243 --- E O F --- 2009-09-21 07:50

john.doe · 28.09.2009, 20:44

Zitat:

Was ist eigentlich mit diesem TrackingCookie, das Panda gefunden hat?

Völlig harmlos, eine kleine Textdatei, die dein Surfverhalten protokolliert. Datenträgerbereinigung oder CCleaner reicht aus um die zu Löschen.

Log ist sauber.

Start => Ausführen => combofix /u => OK.

Es fehlt übrigens noch die Log.txt von RSIT.

Start => Ausführen => c:\rsit\log.txt => OK.

ciao, andreas

nie111 · 28.09.2009, 20:54

Auch das aktuelle log.txt ist zu lang. Passt nicht in euer Antwortfeld.
Übrigens habe ich gerade bemerkt, dass der wmm-moviemaker nicht mehr funktioniert.

john.doe · 28.09.2009, 21:06

Zitat:

Auch das aktuelle log.txt ist zu lang.

Verteile es auf mehrere Posts oder packe es in den Anhang oder lade es bei einem Filehoster hoch und poste hier den Link.

Zitat:

Übrigens habe ich gerade bemerkt, dass der wmm-moviemaker nicht mehr funktioniert.

Die Regeinträge gehören zum Flashplayer, der hat mit dem Moviemaker eigentlich nichts zu tun. Deinstalliere den Moviemaker und installiere ihn neu.

ciao, andreas

Schaden durch Kido.IX reparierbar?: Bilder sind weg

Plagegeister aller Art und deren Bekämpfung: Schaden durch Kido.IX reparierbar?: Bilder sind weg