Hatte Rootkit, PC wieder sauber?

cosinus · 10.01.2010, 21:01

Und nun bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Chris_R · 10.01.2010, 22:17

So, hier das Log von ComboFix:

ComboFix 10-01-04.01 - ... 10.01.2010 22:03:16.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\flips.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-10 20:47 . 2010-01-10 20:47 -------- d-----w- c:\programme\CCleaner
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-10 14:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\programme\Trend Micro
2010-01-07 17:09 . 2008-04-14 06:52 116736 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-01-07 17:09 . 2008-04-14 06:52 19456 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-01-07 17:09 . 2001-08-18 03:54 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-01-07 17:09 . 2001-08-18 03:55 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-01-07 17:09 . 2001-08-18 03:55 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-01-07 17:09 . 2001-08-18 03:55 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe
2010-01-07 17:07 . 2001-08-17 11:13 19016 -c--a-w- c:\windows\system32\dllcache\w926nd.sys
2010-01-07 17:06 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-07 17:05 . 2001-08-18 03:52 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll
2010-01-07 17:04 . 2001-08-17 11:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys
2010-01-07 17:03 . 2001-08-18 03:54 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll
2010-01-07 17:02 . 2001-08-18 03:54 45568 -c--a-w- c:\windows\system32\dllcache\smb3w.dll
2010-01-07 17:01 . 2001-08-17 11:51 98080 -c--a-w- c:\windows\system32\dllcache\sgiulnt5.sys
2010-01-07 17:00 . 2001-08-18 03:52 62496 -c--a-w- c:\windows\system32\dllcache\s3mtrio.dll
2010-01-07 16:59 . 2001-08-18 03:33 899658 -c--a-w- c:\windows\system32\dllcache\r2mdkxga.sys
2010-01-07 16:58 . 2001-08-17 13:04 92416 -c--a-w- c:\windows\system32\dllcache\phildec.sys
2010-01-07 16:57 . 2001-08-17 13:05 31872 -c--a-w- c:\windows\system32\dllcache\ovce.sys
2010-01-07 16:56 . 2001-08-18 03:26 65406 -c--a-w- c:\windows\system32\dllcache\netflx3.sys
2010-01-07 16:55 . 2008-04-13 23:16 49024 -c--a-w- c:\windows\system32\dllcache\mstape.sys
2010-01-07 16:54 . 2001-08-17 12:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys
2010-01-07 16:53 . 2001-08-18 03:53 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-01-07 16:52 . 2001-08-18 03:53 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll
2010-01-07 16:51 . 2001-08-17 12:28 44863 -c--a-w- c:\windows\system32\dllcache\hsf_soar.sys
2010-01-07 16:50 . 2008-04-13 23:15 19200 -c--a-w- c:\windows\system32\dllcache\hidir.sys
2010-01-07 16:49 . 2001-08-17 11:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys
2010-01-07 16:48 . 2001-08-17 11:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys
2010-01-07 16:47 . 2001-08-18 03:53 112128 -c--a-w- c:\windows\system32\dllcache\dc260usd.dll
2010-01-07 16:46 . 2001-08-17 11:13 46108 -c--a-w- c:\windows\system32\dllcache\cben5.sys
2010-01-07 16:45 . 2001-08-17 11:49 17152 -c--a-w- c:\windows\system32\dllcache\atitunep.sys
2010-01-07 16:44 . 2001-08-18 03:52 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll
2010-01-07 16:44 . 2008-04-14 06:29 2147840 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-01-06 19:00 . 2010-01-06 19:00 -------- d-----w- c:\windows\RestoreSafeDeleted
2010-01-06 18:49 . 2010-01-06 18:49 24416 ----a-w- c:\windows\system32\drivers\regguard.sys
2010-01-06 18:45 . 2010-01-06 18:45 2 --shatr- c:\windows\winstart.bat
2010-01-06 18:45 . 2010-01-06 18:45 35040 ----a-w- c:\windows\system32\Partizan.exe
2010-01-06 18:45 . 2010-01-06 18:45 34760 ----a-w- c:\windows\system32\drivers\Partizan.sys
2010-01-06 18:45 . 2009-12-22 13:38 12752 ----a-w- c:\windows\system32\drivers\UnHackMeDrv.sys
2010-01-06 18:45 . 2010-01-06 18:45 -------- d-----w- c:\programme\UnHackMe
2010-01-06 14:26 . 2006-05-24 12:36 110592 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3\temp\cleanup.exe
2010-01-06 09:58 . 2010-01-08 23:22 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3
2009-12-25 19:10 . 2009-02-18 01:49 58536 ----a-w- c:\windows\system32\drivers\SE1008mdm.sys
2009-12-25 19:10 . 2009-12-25 19:10 -------- d-----w- c:\programme\Sony Ericsson
2009-12-24 23:15 . 2009-12-24 23:15 -------- d-----w- c:\dokumente und einstellungen\...\.dvdcss
2009-12-24 23:14 . 2009-12-24 23:15 -------- d-----w- c:\programme\DVD Audio Extractor
2009-12-21 18:06 . 2009-12-25 19:31 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\vlc
2009-12-21 18:04 . 2009-12-21 18:04 -------- d-----w- c:\programme\VideoLAN
2009-12-21 17:53 . 2009-12-24 23:06 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 15:15 . 2009-10-30 20:51 -------- d-----w- c:\programme\Opera
2009-12-07 21:20 . 2009-10-30 21:36 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 18:45 . 2009-12-03 18:45 162432 ----a-w- c:\windows\system32\drivers\ITHSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 12032 ----a-w- c:\windows\system32\drivers\LILSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 8854 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Uninstall_Fahrenheit_8C2B6FBDC8D14FA595F7B3231B7D8CBC.exe
2009-12-03 18:45 . 2009-12-03 18:45 45056 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_BA10AC78E68745238B93540428FC256F.exe
2009-12-03 18:45 . 2009-12-03 18:45 10134 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\ARPPRODUCTICON.exe
2009-12-03 18:39 . 2009-12-03 18:39 -------- d-----w- c:\programme\Atari
2009-12-03 18:38 . 2009-10-30 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brownie
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brother
2009-12-01 22:19 . 2009-12-01 22:19 34 ----a-w- c:\windows\system32\BD5240.DAT
2009-12-01 22:19 . 2009-10-30 20:32 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-30 21:44 . 2009-11-01 13:48 -------- d-----w- c:\programme\Java
2009-11-30 21:44 . 2009-11-30 21:44 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-30 21:44 . 2009-11-30 21:44 79488 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 17:13 . 2009-11-30 17:13 -------- d-----w- c:\programme\IrfanView
2009-11-24 20:02 . 2009-11-14 15:46 -------- d-----w- c:\programme\AoA Audio Extractor
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\DivX
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-11-17 13:21 . 2009-11-17 13:21 48 ----a-w- c:\windows\wpd99.drv
2009-11-17 13:20 . 2009-10-30 18:24 22200 ----a-w- c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 20:16 . 2009-11-16 20:11 -------- d-----w- c:\programme\A Tale of Two Kingdoms
2009-11-16 20:11 . 2009-11-16 20:11 286720 ----a-w- c:\windows\iun504.exe
2009-11-14 19:25 . 2009-11-14 19:25 286720 ----a-w- c:\windows\iun506.exe
2009-11-14 16:14 . 2009-11-14 16:14 40960 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\LPC210x_ISP.exe_B60B0D3157BA46A8AB5FD037240E063F.exe
2009-11-14 16:14 . 2009-11-14 16:14 151552 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\ARPPRODUCTICON.exe
2009-11-14 16:14 . 2009-11-14 16:14 -------- d-----w- c:\programme\Philips Semiconductors
2009-11-14 14:14 . 2009-11-14 14:14 -------- d-----w- c:\programme\MSECache
2009-11-14 14:13 . 2009-11-14 14:13 77874 ----a-w- c:\windows\system32\pdfmona.dll
2009-11-14 14:13 . 2009-11-14 14:13 45300 ----a-w- c:\windows\system32\pdfmon.dll
2009-11-14 14:04 . 2009-11-14 14:04 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\programme\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ibf
2009-11-14 13:52 . 2009-11-14 13:52 -------- d-----w- c:\programme\Winamp
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-01 13:47 . 2009-11-01 13:47 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2009-10-30 21:19 . 2009-10-30 21:19 0 ----a-w- c:\windows\nsreg.dat
2009-10-30 19:33 . 2009-10-30 18:14 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-30 18:23 . 2008-04-14 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2009-10-30 18:23 . 2008-04-14 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2009-10-30 18:11 . 2009-10-30 18:11 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnHackMe Monitor"="c:\programme\UnHackMe\hackmon.exe" [2009-12-22 594144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SkyTel"="SkyTel.EXE" [2006-06-27 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 16248320]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-30 295606]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 22:36 108289]
S0 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [06.01.2010 19:45 34760]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [06.01.2010 19:49 24416]
S3 SE1008mdm;Sony Ericsson SE1008 Mobile Device Full USB Driver;c:\windows\system32\drivers\SE1008mdm.sys [25.12.2009 20:10 58536]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - UnHackMeDrv
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\rw3hg9qw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 22:06:51
ComboFix-quarantined-files.txt 2010-01-10 21:06

Vor Suchlauf: 22 Verzeichnis(se), 24.618.278.912 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 24.590.880.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 3724254DA90559D657CF3B4B7A45194D

Ich hoffe, es gibt kein Problem, wenn ich die Wiederherstellungskonsole aus dem Systemstart (= Boot.ini) wieder rausschmeiße.

Hatte Rootkit, PC wieder sauber?

Log-Analyse und Auswertung: Hatte Rootkit, PC wieder sauber?

Hatte Rootkit, PC wieder sauber?

Hatte Rootkit, PC wieder sauber?

Ähnliche Themen: Hatte Rootkit, PC wieder sauber?