Probleme nach Entfernen von Security Tool mit Combofix.exe

nagano · 21.10.2009, 17:36

Hallo Trojaner,

Heute hat sich ein Plagegeist bemerkbar gemacht: Security Tool. Statt mit hier kompetenten Rat zu holen, hab ich einfach Combofix.exe geladen und ausgeführt. Security Tool wurde erkannt und gelöscht. ABER: seitdem kann ich keine Dateien mehr öffnen, ich bekomme immer die Fehlermeldung:

"Es wurde versucht, einen Registrierungsschlüssel einem umzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde"

Manche Dateien, zb Firefox.exe kann ich als Admin noch öffnen, Textdateien leider nicht mehr, wesewegen ich auch die Combofix-Log nicht posten kann. Außerdem ist mein System unendlich langsam, selbst beim tippen dieser Zeilen, bleibt es hängen.

Was soll ich tun? (Vista)

edit: Hab nochmal neugestartet und nun kann ich wieder normal Dateien öffnen und das System läuft wieder wie gewohnt. Hier die logfile (diese hier hat er mir nach einem 2. Durchlauf angelegt, nachdem Security Tool bereits entfernt wurde und hat dabei die erste log ersetzt)

ComboFix 09-10-20.03 - Nicolas 21.10.2009 17:46.2.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2045.1203 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
SP: Windows-Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((( Dateien erstellt von 2009-09-21 bis 2009-10-21 ))))))))))))))))))))))))))))))
.

2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\xxx\AppData\Local\temp
2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\Public\AppData\Local\temp
2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\postgres\AppData\Local\temp
2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\Gast\AppData\Local\temp
2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-10-21 15:51 . 2009-10-21 15:51 -------- d-----w- c:\users\bxxx\AppData\Local\temp
2009-10-19 21:34 . 2009-10-21 14:50 -------- d-----w- c:\users\xxx\AppData\Roaming\skypePM
2009-10-19 21:30 . 2009-10-21 15:51 -------- d-----w- c:\users\Nxx\AppData\Roaming\Skype
2009-10-19 21:30 . 2009-10-19 21:30 -------- d-----w- c:\program files\Common Files\Skype
2009-10-19 21:30 . 2009-10-19 21:30 -------- d-----r- c:\program files\Skype
2009-10-19 21:29 . 2009-10-19 21:30 -------- d-----w- c:\programdata\Skype
2009-10-19 21:20 . 2009-10-19 21:20 -------- d-----w- c:\program files\TeamViewer
2009-10-14 09:57 . 2009-09-10 17:30 213504 ----a-w- c:\windows\system32\msv1_0.dll
2009-10-14 09:57 . 2009-08-05 14:22 3597896 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-10-14 09:57 . 2009-08-05 14:22 3546184 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-10-14 09:54 . 2009-09-04 12:24 61440 ----a-w- c:\windows\system32\msasn1.dll
2009-10-14 09:54 . 2009-09-14 09:44 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2009-10-14 09:54 . 2009-04-02 12:37 604672 ----a-w- c:\windows\system32\WMSPDMOD.DLL
2009-10-10 17:15 . 2009-10-10 17:24 -------- d-----w- c:\users\xxx\AppData\Roaming\TeamViewer
2009-10-10 17:15 . 2009-10-19 21:19 -------- d-----w- c:\users\xxx\temp
2009-10-04 22:27 . 2009-10-04 22:27 -------- d-----w- c:\program files\PokerStrategy.com
2009-10-02 23:47 . 2009-10-01 08:29 195440 ------w- c:\windows\system32\MpSigStub.exe
2009-10-02 18:46 . 2009-06-15 15:24 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-10-02 18:46 . 2009-06-15 15:21 499712 ----a-w- c:\windows\system32\kerberos.dll
2009-10-02 18:46 . 2009-06-15 18:20 439896 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-10-02 18:46 . 2009-06-15 15:24 72704 ----a-w- c:\windows\system32\secur32.dll
2009-10-02 18:46 . 2009-06-15 15:24 270848 ----a-w- c:\windows\system32\schannel.dll
2009-10-02 18:46 . 2009-06-15 15:23 1256448 ----a-w- c:\windows\system32\lsasrv.dll
2009-10-02 18:46 . 2009-06-15 12:57 9728 ----a-w- c:\windows\system32\lsass.exe
2009-09-23 13:50 . 2009-09-23 13:50 -------- d-----w- c:\users\xxx\AppData\Local\IsolatedStorage
2009-09-23 13:50 . 2009-09-23 13:50 -------- d-----w- c:\users\xxx\AppData\Local\Xenocode

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-21 15:50 . 2009-07-09 23:22 -------- d-----w- c:\users\xxxs\AppData\Roaming\vlc
2009-10-21 12:15 . 2008-02-15 07:28 54503 ----a-w- c:\users\xxx\AppData\Roaming\nvModes.dat
2009-10-20 18:13 . 2009-08-28 11:59 -------- d-----w- c:\program files\Full Tilt Poker
2009-10-20 18:12 . 2009-08-01 18:21 0 ----a-w- c:\programdata\playercachelines.tmp
2009-10-20 18:12 . 2009-08-01 17:57 2269 ----a-w- c:\programdata\sortedcards.tmp
2009-10-19 21:34 . 2009-10-19 21:34 56 ---ha-w- c:\programdata\ezsidmv.dat
2009-10-19 14:57 . 2008-02-27 12:42 -------- d-----w- c:\programdata\Apple Computer
2009-10-19 14:48 . 2007-09-02 05:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-19 14:42 . 2008-02-15 21:43 -------- d-----w- c:\program files\DivX
2009-10-15 08:44 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-09-29 11:34 . 2008-02-15 07:56 155709 ----a-w- c:\windows\HPHins15.dat
2009-09-20 21:21 . 2009-06-27 11:52 -------- d-----w- c:\users\Nicolas\AppData\Roaming\dvdcss
2009-09-20 13:11 . 2008-02-13 18:31 -------- d-----w- c:\users\Nicolas\AppData\Roaming\OpenOffice.org2
2009-09-17 13:26 . 2006-11-02 15:33 618442 ----a-w- c:\windows\system32\perfh007.dat
2009-09-17 13:26 . 2006-11-02 15:33 122648 ----a-w- c:\windows\system32\perfc007.dat
2009-09-14 16:34 . 2008-04-25 15:26 -------- d-----w- c:\users\\AppData\Roaming\uTorrent
2009-08-31 13:55 . 2009-10-14 09:56 293376 ----a-w- c:\windows\system32\psisdecd.dll
2009-08-31 13:55 . 2009-10-14 09:56 428544 ----a-w- c:\windows\system32\EncDec.dll
2009-08-28 12:39 . 2009-09-02 21:54 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-08-28 10:15 . 2009-09-02 21:54 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-08-27 13:04 . 2009-08-26 13:29 -------- d-----w- c:\program files\PokerStars
2009-08-27 05:22 . 2009-10-14 09:56 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-27 05:17 . 2009-10-14 09:56 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-08-27 05:17 . 2009-10-14 09:56 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-08-27 03:42 . 2009-10-14 09:56 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-08-14 17:07 . 2009-09-10 00:05 897608 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 16:29 . 2009-09-10 00:05 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 16:29 . 2009-09-10 00:05 104960 ----a-w- c:\windows\system32\netiohlp.dll
2009-08-14 14:16 . 2009-09-10 00:05 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 14:16 . 2009-09-10 00:05 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 14:16 . 2009-09-10 00:05 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 14:16 . 2009-09-10 00:05 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 14:16 . 2009-09-10 00:05 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 14:16 . 2009-09-10 00:05 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 14:16 . 2009-09-10 00:05 10240 ----a-w- c:\windows\system32\finger.exe
2009-08-05 14:21 . 2009-06-03 20:22 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-01 17:53 . 2009-08-01 17:53 377 ----a-w- c:\users\xxx\AppData\Local\postgresinstall.bat
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-10-21_15.36.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-02-13 14:17 . 2009-10-21 15:16 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-02-13 14:17 . 2009-10-21 15:44 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-02-13 14:17 . 2009-10-21 15:16 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-02-13 14:17 . 2009-10-21 15:44 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-02-13 14:17 . 2009-10-21 15:16 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-02-13 14:17 . 2009-10-21 15:44 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-10-21 12:14 . 2009-10-21 14:49 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-10-21 15:42 . 2009-10-21 15:42 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-10-21 15:42 . 2009-10-21 15:42 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-10-21 12:14 . 2009-10-21 14:49 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2007-09-07 561152]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-06-20 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-20 8462336]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-20 81920]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth Manager.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Usersxxx^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.3.lnk]
path=c:\users\Nicolas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe"
"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R0 Si3531;SiI-3531 SATA Controller;c:\windows\System32\drivers\Si3531.sys [02.09.2007 07:31 210224]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [03.06.2009 22:22 108289]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [02.07.2009 16:47 222968]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [13.03.2009 05:50 65536]
R2 TeamViewer4;TeamViewer 4;c:\program files\TeamViewer\Version4\TeamViewer_Service.exe [07.10.2009 14:50 185640]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [02.09.2007 07:33 32256]
R3 MGHwCtrl;MGHwCtrl;c:\windows\System32\drivers\MGHwCtrl.sys [02.09.2007 07:37 19456]
S2 NishService;SCM Driver Daemon;c:\program files\System Control Manager\edd.exe [02.09.2007 07:37 61440]
S3 AVMUNET;Eumex 300 IP;c:\windows\System32\drivers\avmunet.sys [15.09.2009 15:42 15104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Inhalt des "geplante Tasks" Ordners

2009-10-20 c:\windows\Tasks\User_Feed_Synchronization-{08A33176-205D-4938-82A2-29FC9718E6CB}.job
- c:\windows\system32\msfeedssync.exe [2009-10-14 03:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = eumex.ip;*.local
FF - ProfilePath - c:\users\Nicolas\AppData\Roaming\Mozilla\Firefox\Profiles\3m6olwj2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\VLC\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-21 17:51
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2009-10-21 17:53
ComboFix-quarantined-files.txt 2009-10-21 15:53
ComboFix2.txt 2009-10-21 15:37

Vor Suchlauf: 6.015.885.312 Bytes frei
Nach Suchlauf: 5.870.301.184 Bytes frei

- - End Of File - - 53E2E62CDD3466BE90C7EE5F09E49B32

Probleme nach Entfernen von Security Tool mit Combofix.exe

Plagegeister aller Art und deren Bekämpfung: Probleme nach Entfernen von Security Tool mit Combofix.exe

Probleme nach Entfernen von Security Tool mit Combofix.exe

Ähnliche Themen: Probleme nach Entfernen von Security Tool mit Combofix.exe