| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Conficer-A in Globalroot ? ? ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.11.2009, 22:34
| #16 |
 |  Conficer-A in Globalroot ? ? ? Servus also CCleaner ist wunderbar gelaufen, dann cofi, verlangte einen neustart (Vorher systemwiederherstellungspunkte hat wohl geklappt), beim runterfahren kam ne meldung dass ein dienst (konnte nicht schnell genug lesen was genau) nicht gestartet werden konnte auf jeden fall war nach dem Aufstarten keine Aktivität von Combofix auszumachen??? nochmals Combofix starten? oder doch  ??? |
|
01.11.2009, 23:01
| #18 |
| | Conficer-A in Globalroot ? ? ? hat geklappt, hier die logdatei
__________________Code:
ATTFilter ComboFix 09-10-30.01 - Guetz 01.11.2009 22:51.1.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.41.1031.18.1022.410 [GMT 1:00]
ausgeführt von:: c:\users\Guetz\Desktop\cofi.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((( Dateien erstellt von 2009-10-01 bis 2009-11-01 ))))))))))))))))))))))))))))))
.
2009-11-01 21:58 . 2009-11-01 21:58 -------- d-----w- c:\users\IUSR_NMPR\AppData\Local\temp
2009-11-01 21:58 . 2009-11-01 21:58 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-11-01 21:58 . 2009-11-01 21:58 -------- d-----w- c:\users\Daniela\AppData\Local\temp
2009-11-01 21:51 . 2009-04-11 06:32 19944 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-11-01 21:51 . 2006-10-31 13:46 250368 ----a-w- c:\windows\system32\drivers\iastor.sys
2009-10-31 08:33 . 2009-10-31 08:33 11264 ----a-w- c:\windows\system32\drivers\uzi2mzmx.sys
2009-10-30 13:27 . 2009-11-01 16:01 -------- d-----w- c:\program files\trend micro
2009-10-30 13:27 . 2009-11-01 16:01 -------- d-----w- C:\rsit
2009-10-30 11:39 . 2009-10-30 11:39 -------- d-----w- c:\users\Guetz\AppData\Roaming\Malwarebytes
2009-10-30 11:39 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 11:39 . 2009-10-30 11:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-30 11:39 . 2009-10-30 11:39 -------- d-----w- c:\programdata\Malwarebytes
2009-10-30 11:39 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 11:31 . 2009-10-30 11:31 -------- d-----w- c:\program files\CCleaner
2009-10-30 11:01 . 2009-10-30 11:01 26624 ----a-w- c:\windows\system32\drivers\fsbts.sys
2009-10-29 16:02 . 2009-10-29 16:02 -------- d-----w- c:\users\Daniela\AppData\Local\SupportSoft
2009-10-29 09:35 . 1998-06-17 23:00 89360 ----a-w- c:\windows\system32\VB5DB.DLL
2009-10-29 09:35 . 2002-02-04 01:43 44544 ----a-w- c:\windows\system32\msxml4a.dll
2009-10-29 09:35 . 2009-10-29 09:35 -------- d-----w- c:\program files\Convar
2009-10-29 09:35 . 2003-07-18 12:58 516784 ----a-r- c:\windows\system32\XceedCry.dll
2009-10-29 09:35 . 2002-02-28 08:46 217088 ----a-w- c:\windows\system32\DartSock.dll
2009-10-29 09:35 . 2002-02-21 09:12 118784 ----a-w- c:\windows\system32\DartWeb.dll
2009-10-29 09:35 . 1998-06-13 21:53 44544 ----a-w- c:\windows\system32\Gif89.dll
2009-10-29 09:27 . 2009-10-29 09:27 -------- d-----w- c:\program files\Bad CD DVD Reader
2009-10-29 09:19 . 2009-10-29 09:19 -------- d-----w- c:\programdata\WinZip
2009-10-29 06:47 . 2009-09-10 14:58 310784 ----a-w- c:\windows\system32\unregmp2.exe
2009-10-29 06:47 . 2009-09-10 14:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2009-10-25 13:26 . 2009-10-29 09:59 -------- d-----w- c:\users\Guetz\09_04_01
2009-10-23 12:20 . 2009-10-25 13:26 -------- d-----w- c:\users\Guetz\09_03_21
2009-10-23 11:44 . 2009-10-23 11:44 -------- d-----w- c:\program files\Runtime Software
2009-10-23 07:03 . 2009-10-23 07:02 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-23 05:01 . 2009-10-23 05:02 -------- d-----w- c:\windows\system32\ca-ES
2009-10-23 05:01 . 2009-10-23 05:02 -------- d-----w- c:\windows\system32\eu-ES
2009-10-23 05:01 . 2009-10-23 05:02 -------- d-----w- c:\windows\system32\vi-VN
2009-10-22 19:40 . 2009-10-22 19:40 -------- d-----w- c:\windows\system32\EventProviders
2009-10-22 17:54 . 2009-10-22 17:55 -------- d-----w- c:\users\Guetz\aXbo
2009-10-22 17:54 . 2009-10-22 17:55 -------- d-----w- c:\program files\aXbo
2009-10-22 17:45 . 2009-10-22 17:45 -------- d-----w- c:\program files\Silabs
2009-10-22 17:44 . 2009-10-22 17:45 -------- d-----w- c:\windows\system32\Silabs
2009-10-22 17:43 . 2009-10-22 17:43 -------- d-----w- C:\SiLabs
2009-10-22 17:43 . 2009-08-10 12:36 63488 ----a-w- c:\windows\system32\drivers\silabser.sys
2009-10-22 17:43 . 2009-08-10 12:36 17920 ----a-w- c:\windows\system32\drivers\silabenm.sys
2009-10-22 17:43 . 2009-08-10 12:36 1112288 ----a-w- c:\windows\system32\WdfCoinstaller01007.dll
2009-10-21 19:30 . 2009-04-11 06:28 293376 ----a-w- c:\windows\system32\photowiz.dll
2009-10-21 19:29 . 2009-04-11 06:28 1671680 ----a-w- c:\windows\system32\wlanpref.dll
2009-10-21 19:28 . 2009-04-11 06:28 218624 ----a-w- c:\windows\system32\wdscore.dll
2009-10-21 19:28 . 2009-04-11 06:27 130560 ----a-w- c:\windows\system32\PkgMgr.exe
2009-10-21 19:28 . 2009-04-11 06:28 247808 ----a-w- c:\windows\system32\drvstore.dll
2009-10-20 05:55 . 2009-10-25 13:13 -------- d-----w- c:\users\Guetz\AppData\Roaming\PerformancePredictorPlugin
2009-10-18 09:33 . 2009-10-18 09:55 -------- d-----w- c:\programdata\eMule
2009-10-18 09:32 . 2009-10-18 09:55 -------- d-----w- c:\users\Guetz\AppData\Local\eMule
2009-10-18 09:07 . 2009-10-18 09:07 -------- d-----w- c:\programdata\D392
2009-10-18 09:06 . 2009-10-18 09:06 -------- d-----w- c:\program files\BearShareTb
2009-10-17 07:09 . 2009-10-17 07:09 -------- d-----w- c:\users\Guetz\AppData\Local\Sophos
2009-10-17 07:06 . 2009-10-17 07:02 130104 ----a-w- c:\windows\system32\sdccoinstaller.dll
2009-10-17 07:05 . 2009-10-17 07:05 -------- d-----w- c:\program files\Common Files\Cisco Systems
2009-10-17 07:05 . 2009-10-17 07:02 23552 ----a-w- c:\windows\system32\sophosboottasks.exe
2009-10-17 07:02 . 2009-10-17 07:02 20288 ----a-w- c:\windows\system32\drivers\SophosBootDriver.sys
2009-10-17 07:01 . 2009-10-17 07:01 93192 ----a-w- c:\windows\system32\drivers\savonaccess.sys
2009-10-17 07:01 . 2009-10-17 07:04 -------- d-----w- c:\programdata\Sophos
2009-10-17 07:01 . 2009-10-17 07:04 -------- d-----w- c:\program files\Sophos
2009-10-16 22:01 . 2009-09-10 16:48 218624 ----a-w- c:\windows\system32\msv1_0.dll
2009-10-16 22:00 . 2009-08-27 12:40 834048 ----a-w- c:\windows\system32\wininet.dll
2009-10-16 22:00 . 2009-08-27 13:29 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-16 22:00 . 2009-08-04 12:34 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-10-16 22:00 . 2009-08-04 12:34 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-10-16 22:00 . 2009-09-04 11:41 60928 ----a-w- c:\windows\system32\msasn1.dll
2009-10-16 22:00 . 2009-09-14 09:29 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2009-10-16 21:51 . 2009-05-08 12:53 604672 ----a-w- c:\windows\system32\WMSPDMOD.DLL
2009-10-16 20:35 . 2009-10-16 20:36 -------- d-----w- c:\program files\Ask.com
2009-10-16 20:35 . 2009-10-16 20:35 -------- d-----w- c:\program files\Smart Projects
2009-10-16 20:21 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-16 18:56 . 2009-06-15 14:52 1259008 ----a-w- c:\windows\system32\lsasrv.dll
2009-10-16 18:56 . 2009-06-15 14:52 499712 ----a-w- c:\windows\system32\kerberos.dll
2009-10-16 18:56 . 2009-06-15 23:15 439864 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-10-16 18:56 . 2009-06-15 14:54 175104 ----a-w- c:\windows\system32\wdigest.dll
2009-10-16 18:56 . 2009-06-15 14:53 72704 ----a-w- c:\windows\system32\secur32.dll
2009-10-16 18:56 . 2009-06-15 14:53 270848 ----a-w- c:\windows\system32\schannel.dll
2009-10-16 18:56 . 2009-06-15 12:48 9728 ----a-w- c:\windows\system32\lsass.exe
2009-10-16 17:14 . 2009-10-16 17:14 -------- d-----w- c:\programdata\WindowsSearch
2009-10-08 22:06 . 2009-06-22 10:09 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-08 21:52 . 2008-05-27 04:59 18904 ----a-w- c:\windows\system32\StructuredQuerySchemaTrivial.bin
2009-10-08 21:24 . 2008-07-27 18:03 41984 ----a-w- c:\windows\system32\netfxperf.dll
2009-10-08 20:16 . 2009-06-15 14:53 156672 ----a-w- c:\windows\system32\t2embed.dll
2009-10-08 20:16 . 2009-06-15 12:42 289792 ----a-w- c:\windows\system32\atmfd.dll
2009-10-08 20:16 . 2009-06-15 14:52 23552 ----a-w- c:\windows\system32\lpk.dll
2009-10-08 20:16 . 2009-06-15 14:52 72704 ----a-w- c:\windows\system32\fontsub.dll
2009-10-08 20:16 . 2009-06-15 14:51 10240 ----a-w- c:\windows\system32\dciman32.dll
2009-10-08 20:16 . 2009-04-11 06:28 34304 ----a-w- c:\windows\system32\atmlib.dll
2009-10-08 20:16 . 2009-06-10 11:41 2868224 ----a-w- c:\windows\system32\mf.dll
2009-10-08 20:16 . 2009-04-11 06:28 98816 ----a-w- c:\windows\system32\mfps.dll
2009-10-08 20:16 . 2009-04-11 06:27 53248 ----a-w- c:\windows\system32\rrinstaller.exe
2009-10-08 20:16 . 2009-04-11 06:27 24576 ----a-w- c:\windows\system32\mfpmp.exe
2009-10-08 20:16 . 2009-04-11 04:54 2048 ----a-w- c:\windows\system32\mferror.dll
2009-10-08 20:16 . 2009-07-17 13:54 71680 ----a-w- c:\windows\system32\atl.dll
2009-10-08 20:15 . 2009-06-10 11:42 160256 ----a-w- c:\windows\system32\wkssvc.dll
2009-10-08 20:15 . 2009-06-04 12:07 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-10-08 20:15 . 2009-04-11 06:28 53248 ----a-w- c:\windows\system32\tsgqec.dll
2009-10-08 20:15 . 2009-04-11 06:28 136192 ----a-w- c:\windows\system32\aaclient.dll
2009-10-08 20:15 . 2009-04-23 12:14 623616 ----a-w- c:\windows\system32\localspl.dll
2009-10-08 20:15 . 2009-06-10 11:38 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-10-08 20:13 . 2009-07-15 12:39 313344 ----a-w- c:\windows\system32\wmpdxm.dll
2009-10-08 20:13 . 2009-07-15 12:39 4096 ----a-w- c:\windows\system32\dxmasf.dll
2009-10-08 20:13 . 2009-07-15 12:39 7680 ----a-w- c:\windows\system32\spwmp.dll
2009-10-08 20:13 . 2009-04-11 06:28 1696768 ----a-w- c:\windows\system32\gameux.dll
2009-10-08 20:13 . 2009-08-29 00:14 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2009-10-08 20:13 . 2009-08-29 00:27 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2009-10-08 20:13 . 2009-04-23 12:15 784896 ----a-w- c:\windows\system32\rpcrt4.dll
2009-10-08 20:01 . 2009-10-01 09:29 195440 ------w- c:\windows\system32\MpSigStub.exe
2009-10-08 19:58 . 2009-10-08 19:58 -------- d-----w- c:\programdata\SupportSoft
2009-10-08 19:48 . 2008-10-16 21:09 51224 ----a-w- c:\windows\system32\wuauclt.exe
2009-10-08 19:48 . 2008-10-16 21:09 43544 ----a-w- c:\windows\system32\wups2.dll
2009-10-08 19:48 . 2008-10-16 20:56 1524736 ----a-w- c:\windows\system32\wucltux.dll
2009-10-08 19:48 . 2008-10-16 21:13 1809944 ----a-w- c:\windows\system32\wuaueng.dll
2009-10-08 19:48 . 2009-10-16 18:40 -------- d-----w- c:\program files\Sunrise
2009-10-08 19:47 . 2008-10-16 21:12 561688 ----a-w- c:\windows\system32\wuapi.dll
2009-10-08 19:47 . 2008-10-16 21:08 34328 ----a-w- c:\windows\system32\wups.dll
2009-10-08 19:47 . 2008-10-16 20:55 83456 ----a-w- c:\windows\system32\wudriver.dll
2009-10-08 19:47 . 2008-10-16 12:08 162064 ----a-w- c:\windows\system32\wuwebv.dll
2009-10-08 19:47 . 2008-10-16 11:56 31232 ----a-w- c:\windows\system32\wuapp.exe
2009-10-08 19:38 . 2009-10-08 19:49 -------- d-----w- c:\users\Guetz\AppData\Local\SupportSoft
2009-10-08 19:38 . 2009-10-08 19:49 -------- d-----w- c:\program files\Common Files\SupportSoft
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-01 21:51 . 2007-06-17 07:44 618204 ----a-w- c:\windows\system32\perfh007.dat
2009-11-01 21:51 . 2007-06-17 07:44 122442 ----a-w- c:\windows\system32\perfc007.dat
2009-11-01 21:31 . 2007-10-23 14:13 -------- d-----w- c:\users\Guetz\AppData\Roaming\Skype
2009-10-29 16:02 . 2007-12-23 10:00 106208 ----a-w- c:\users\Daniela\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 09:35 . 2007-06-16 22:13 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-23 07:02 . 2007-12-28 18:52 -------- d-----w- c:\program files\Java
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
2009-10-23 05:02 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery
2009-10-23 05:02 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender
2009-10-23 04:59 . 2009-10-23 04:59 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-10-22 17:46 . 2009-10-22 17:46 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_silabser_01007.Wdf
2009-10-17 01:12 . 2007-10-22 16:59 -------- d-----w- c:\programdata\Microsoft Help
2009-10-17 01:09 . 2007-06-16 22:32 -------- d-----w- c:\program files\Microsoft Works
2009-10-16 19:10 . 2007-10-22 16:00 106208 ----a-w- c:\users\Guetz\AppData\Local\GDIPFONTCACHEV1.DAT
2009-08-17 21:33 . 2009-08-17 21:33 1193832 ----a-w- c:\windows\system32\FM20.DLL
2009-08-14 16:27 . 2009-10-08 20:17 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-08-14 15:53 . 2009-10-08 20:17 17920 ----a-w- c:\windows\system32\netevent.dll
2009-08-14 13:49 . 2009-10-08 20:17 9728 ----a-w- c:\windows\system32\TCPSVCS.EXE
2009-08-14 13:49 . 2009-10-08 20:17 17920 ----a-w- c:\windows\system32\ROUTE.EXE
2009-08-14 13:49 . 2009-10-08 20:17 11264 ----a-w- c:\windows\system32\MRINFO.EXE
2009-08-14 13:49 . 2009-10-08 20:17 27136 ----a-w- c:\windows\system32\NETSTAT.EXE
2009-08-14 13:49 . 2009-10-08 20:17 8704 ----a-w- c:\windows\system32\HOSTNAME.EXE
2009-08-14 13:49 . 2009-10-08 20:17 19968 ----a-w- c:\windows\system32\ARP.EXE
2009-08-14 13:49 . 2009-10-08 20:17 10240 ----a-w- c:\windows\system32\finger.exe
2009-08-14 13:48 . 2009-10-08 20:17 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-08-14 13:48 . 2009-10-08 20:17 105984 ----a-w- c:\windows\system32\netiohlp.dll
2009-10-22 19:39 . 2007-10-22 17:39 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2009-10-22 19:39 . 2007-10-22 17:39 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2009-10-22 19:39 . 2007-10-22 17:39 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2009-10-22 19:39 . 2007-10-22 17:39 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2009-10-22 19:39 . 2007-10-22 17:39 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
2007-10-22 18:48 . 2007-10-22 18:48 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0974BA1E-64EC-11DE-B2A5-E43756D89593}]
2009-08-10 14:06 91576 ----a-w- c:\program files\BearShareTb\BearShareDx.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-07-08 18:29 1174920 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-07-08 1174920]
"{0974BA1E-64EC-11DE-B2A5-E43756D89593}"= "c:\program files\BearShareTb\BearShareDx.dll" [2009-08-10 91576]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CLASSES_ROOT\clsid\{0974ba1e-64ec-11de-b2a5-e43756d89593}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-07-08 1174920]
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"gStart"="c:\garmin\gStart.exe" [2008-08-13 1891416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCUTRAYICON"="FactoryMode" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-04-19 151552]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-22 282624]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-23 149280]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-08-28 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-28 8473120]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-28 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Sunrise"="c:\program files\Sunrise\bin\sprtcmd.exe" [2008-06-27 202016]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-01-15 4874240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-03-07 44168]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoUpdate Monitor.lnk - c:\program files\Sophos\AutoUpdate\ALMon.exe [2009-10-17 245760]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2007-10-22 118784]
PDFCreator.lnk - c:\program files\PDFCreator\PDFCreator.exe [2008-2-12 2641920]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Sophos\SOPHOS~1\sophos_detoured.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):76,01,a9,ec,9e,53,ca,01
R0 fsbts;fsbts;c:\windows\System32\drivers\fsbts.sys [30.10.2009 12:01 26624]
R1 SAVOnAccess;SAVOnAccess;c:\windows\System32\drivers\savonaccess.sys [17.10.2009 08:01 93192]
R1 uzi2mzmx;AVZ-RK Kernel Driver;c:\windows\System32\drivers\uzi2mzmx.sys [31.10.2009 09:33 11264]
R2 DQLWinService;DQLWinService;c:\program files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [03.09.2006 09:32 208896]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [29.10.2009 07:37 80936]
R2 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [17.10.2009 08:02 98304]
R2 sprtsvc_sunrise;SupportSoft Sprocket Service (sunrise);c:\program files\Sunrise\bin\sprtsvc.exe [08.10.2009 20:48 202016]
S2 IntelDHSvcConf;Intel DH Service;c:\program files\Intel\IntelDH\Intel Media Server\tools\IntelDHSvcConf.exe [10.05.2006 08:13 29696]
S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\System32\drivers\silabenm.sys [22.10.2009 18:43 17920]
S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\System32\drivers\silabser.sys [22.10.2009 18:43 63488]
S4 SophosBootDriver;SophosBootDriver;c:\windows\System32\drivers\SophosBootDriver.sys [17.10.2009 08:02 20288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
2009-11-01 c:\windows\Tasks\User_Feed_Synchronization-{E8CAE4AA-6650-4D9F-85E7-7A1A2FD3AA1E}.job
- c:\windows\system32\msfeedssync.exe [2008-03-23 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_CH&c=73&bd=Pavilion&pf=desktop
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://www.ifolor.ch/ORDERINGGENERAL/LowRes/app_support/_2_1_7/ActiveX/IfolorUploader_chkr.cab
FF - ProfilePath - c:\users\Guetz\AppData\Roaming\Mozilla\Firefox\Profiles\9f2fsced.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.com
FF - prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=SP2&o=14906&locale=de_EU&q=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "http://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "http://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "http://sb.google.com/safebrowsing/report?");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-V3.2_is1 - j:\file scavenger 3.2\unins000.exe
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
.
Zeit der Fertigstellung: 2009-11-01 22:59
ComboFix-quarantined-files.txt 2009-11-01 21:59
Vor Suchlauf: 10 Verzeichnis(se), 215'546'425'344 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 215'494'193'152 Bytes frei
- - End Of File - - 634FFF25B74FD411AC425F5672276420
Markus |
|
02.11.2009, 11:55
| #19 |
| /// Selecta Jahrusso   | Conficer-A in Globalroot ? ? ? RSIT erneut das System scannen lassen
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
02.11.2009, 20:37
| #20 |
| | Conficer-A in Globalroot ? ? ? Anbei die beiden Dateien . . . Gruss Markus |
|
02.11.2009, 22:23
| #21 |
| /// Selecta Jahrusso | Conficer-A in Globalroot ? ? ? schritt 1 Software deinstallieren Deinstalliere bitte folgende Programme aus der Code-Box Code:
ATTFilter Ask Toolbar
Nach der Bereinigung werden wir sehen, welche dieser Du wieder installieren kannst schritt 2 Einträge mit HijackThis fixen Starte HijackThis-->do a system scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box Code:
ATTFilter R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/
O2 - BHO: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShareTb\BearShareDx.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: IsoBuster Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShareTb\BearShareDx.dll
Rechner neu starten schritt 3 start --> suche starten --> notepad (reinschreiben) ---> OK Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument. Code:
ATTFilter @echo off
cd \
rd /s /q "C:\Program Files\BearShareTb"
rd /s /q "C:\Program Files\Ask.com"
sc stop gusvc
sc delete gusvc
rd /s /q "C:\Program Files\Google\Common\Google Updater"
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks /v {AEB6717E-7E19-11d0-97EE-00C04FD91972} /f
del "%userprofile%\desktop\Larusso.bat"
Rechtsklick, als Admin starten. schritt 4 Java aktualisieren Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
schritt 5 Deinstalliere bitte deine aktuelle Version von Adobe Reader Start--> Systemsteuerung--> Software--> Adobe Reader und lade dir die neue Version von Hier herunter Als alternative würde ich dir den schlankeren Foxit Reader empfehlen  schritt 6 Bitte downloade Dir den IE 8 auch wenn Du diesen nicht als Standard Browser verwendest sollte sich die aktuelle Version auf Deinem Rechner befinden. schritt 7 RSIT erneut das System scannen lassen
__________________ --> Conficer-A in Globalroot ? ? ? |
|
05.11.2009, 20:52
| #22 |
| | Conficer-A in Globalroot ? ? ? Servus so, bin endlich wieder dazu gekommen, mich dem Patienten zu widmen  im anhang das Logfile von JavaRa und die beiden Files von RSIT. habe sie mir mal angeschaut, aber ich versteh da weniger als bahnhof, meine Taktik in solchen Fällen wäre  noch zwei anmerkungen: ich habe Java (TM) 6 Update 15 manuell deinstalliert, und auf der HP habe ich dann "nur" JRE 6 Update 17 gefunden und installiert. Das wars erstmal von mir, warte auf weitere Anweisungen und vorab schonmal ein grosses  ! ! !Gruss Markus |
|
05.11.2009, 23:03
| #23 |
| /// Selecta Jahrusso | Conficer-A in Globalroot ? ? ? Ja update 17 ist gerade erst raus Die Logfiles werde ich mir morgen ansehen.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
15.11.2009, 12:25
| #24 |
| /// Selecta Jahrusso | Conficer-A in Globalroot ? ? ? Sorry, aber der Rechner scheint ja keine Probs mehr zu machen. Sonst hättest Dich sicher früher schon gemeldet  Wurde die ASK Toolbar deinstalliert? Es ist ein Eintrag noch in der RSIT zu sehen schritt 1 AVZ4 Antiviral-Toolkit deinstallieren
schritt 2 Tool-Bereinigung mit OTC Bitte lade Dir OTC von OldTimer herunter.
schritt 3 Poste mir eine HJT Logfile
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Conficer-A in Globalroot ? ? ? |
| anbei, bereinigen, blick, device, dvd, entdeck, entdeckt, fotos, gebrannte, gebrannten, hallo zusammen, kollege, log, löschen, nicht mehr, ordner, problem, recycler, scan, scans, schei, users, virenscan, zusammen, zusätzlich |
Linear-Darstellung
