| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit problem - Wie krieg ich de Dreck weg?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.02.2010, 22:04
| #25 |
 |  Rootkit problem - Wie krieg ich de Dreck weg? Kannst du bitte bei meinen ersten beiden logs noch bitte meinem Namen rausmachen? mir ist aufgefallen, dass ich das vergessen hab. ComboFix lässt meinen PC mich ganz laut anpiepsen... Hab ich gar nicht gern. Wieso ist denn die Systemwiederherstellungskonsole bei mir nichtinsatlliert naja egal. Also combo fix ist feritg, hier ist das log. COOL!!!!  es hat die datei emergency room endlich gelöscht! die wahr schon monatelang bei mir auf dem Desktop! Kurz nachdem neuaufgestzt wurde hab ich aus Versehen das da downgeloadet und dann hab ich auf abbrechen gedrückt und irgendwie hats gelaggt, naja auf jjeden fall war da jetzt auf meinem desktop eine datei mit "0B" und ich hab sie nicht weggekriegt.Aber wieso es Es search settings gelöscht ha tweiß ich net, da sist doch von MS Search und eigentlich in ordnung Mir ist beim überfliegen aufgefallen, dass das da schon recht detaillierte daten sind, die nicht ganz jeder immer lesen können sollte, kannst du bitte es löschen/mir sagen dass ichs löschen soll , wenn dus durchgelesen/gespeichert hast? Code:
ATTFilter ComboFix 10-02-16.03 - ***Computername*** 17.02.2010 21:38:48.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.160 [GMT 1:00]
ausgeführt von:: d:\downloads - firefox\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\*******\Desktop\Emergency Room S15 E05
c:\dokumente und einstellungen\*******\Desktop\Emergency Room S15 E05
c:\programme\Search Settings
c:\programme\Search Settings\kb128\SearchSettings.dll
c:\programme\Search Settings\kb128\SearchSettingsRes409.dll
c:\programme\Search Settings\SearchSettings.exe
c:\windows\system32\twain_32.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-01-17 bis 2010-02-17 ))))))))))))))))))))))))))))))
.
2010-02-17 18:24 . 2010-02-17 18:24 -------- d-----w- c:\dokumente und einstellungen\********\Anwendungsdaten\Malwarebytes
2010-02-17 18:24 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-17 18:24 . 2010-02-17 18:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-02-17 18:24 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-17 09:50 . 2010-02-17 09:15 96512 ------w- c:\windows\system32\drivers\atapi.sys
2010-02-16 19:30 . 2009-08-04 20:56 2191488 ------w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:30 . 2009-08-04 17:26 2068352 ------w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 19:30 . 2009-08-04 17:25 2026496 ------w- c:\windows\system32\ntkrpamp.exe
2010-02-16 19:30 . 2009-08-04 17:26 2147840 ------w- c:\windows\system32\ntkrnlmp.exe
2010-02-16 19:29 . 2009-08-04 20:56 2191488 ------w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-02-16 19:29 . 2009-08-04 17:26 2068352 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe
2010-02-16 19:29 . 2009-08-04 17:26 2147840 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-02-16 19:29 . 2009-08-04 17:25 2026496 ------w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-02-13 22:18 . 2010-02-13 22:18 -------- d-----w- c:\programme\Adobe Media Player
2010-02-13 22:06 . 2010-02-13 22:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-02-13 20:40 . 2010-02-13 20:40 -------- d-----w- c:\programme\Adobe CS4
2010-02-12 12:34 . 2010-02-12 12:35 -------- d-----w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Facebook
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-17 15:00 . 2009-04-27 14:56 -------- d-----w- c:\dokumente und einstellungen\*******\Anwendungsdaten\skypePM
2010-02-17 14:03 . 2009-08-02 18:14 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\vlc
2010-02-17 13:40 . 2009-04-27 14:51 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2010-02-17 09:10 . 2009-07-17 21:09 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\dvdcss
2010-02-16 19:37 . 2009-05-29 09:52 -------- d-----w- c:\programme\Google
2010-02-13 22:19 . 2009-04-19 21:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-02-12 12:35 . 2010-02-12 12:35 50354 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Facebook\uninstall.exe
2010-02-11 21:31 . 2009-08-09 18:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-02-04 17:40 . 2009-04-14 17:01 -------- d-----w- c:\programme\Wyzo
2010-02-03 21:37 . 2010-01-07 15:33 25 ----a-w- c:\windows\popcinfot.dat
2010-02-02 19:26 . 2009-06-01 19:23 -------- d-----w- c:\programme\Microsoft Silverlight
2010-02-01 22:04 . 2010-02-01 22:04 847040 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Facebook\axfbootloader.dll
2010-02-01 22:04 . 2010-02-01 22:04 5578752 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Facebook\npfbplugin_1_0_1.dll
2010-02-01 17:54 . 2009-10-20 19:00 -------- d-----w- c:\programme\qvPDF
2010-01-23 19:33 . 2009-12-16 15:18 -------- d-----w- c:\programme\Nostale(DE)
2010-01-20 17:43 . 2009-05-15 12:34 1 ----a-w- c:\dokumente und einstellungen\*****+\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-06 22:28 . 2010-01-06 22:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PopCap Games
2010-01-05 06:35 . 2009-04-13 19:08 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-12-31 16:50 . 2006-03-24 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-27 15:39 . 2009-04-19 09:21 138736 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-12-27 15:38 . 2009-04-19 09:20 188968 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-12-27 15:31 . 2009-07-06 15:56 -------- d-----w- c:\programme\DivX
2009-12-22 11:30 . 2009-04-25 07:16 88712 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-21 19:05 . 2006-03-24 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 10:19 . 2010-02-04 17:39 545280 ----a-w- c:\dokumente und einstellungen\******\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe
2009-12-18 10:19 . 2010-02-04 17:39 103424 ----a-w- c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\pixomatic.dll
2009-12-18 10:19 . 2010-02-04 17:39 344064 ----a-w- c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe
2009-12-18 10:19 . 2010-02-04 17:39 153600 ----a-w- c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll
2009-12-18 10:19 . 2010-02-04 17:39 4726272 ----a-w- c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\libs\cooliris190.dll
2009-12-18 10:19 . 2010-02-04 17:39 57856 ----a-w- c:\dokumente und einstellungen\**\Anwendungsdaten\Radical Software Ltd\Wyzo\Profiles\8omcy6ia.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
2009-12-17 07:40 . 2009-04-13 14:55 346624 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:08 . 2006-03-24 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-12 09:14 . 2006-03-24 12:00 94930 ----a-w- c:\windows\system32\perfc007.dat
2009-12-12 09:14 . 2006-03-24 12:00 486494 ----a-w- c:\windows\system32\perfh007.dat
2009-12-04 18:22 . 2006-03-24 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:11 . 2006-03-24 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:11 . 2004-08-04 00:57 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2006-03-24 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2006-03-24 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2006-03-24 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2004-08-04 00:57 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-11-26 22:15 . 2009-08-05 11:59 166053 ----a-w- c:\windows\hpwins05.dat
2009-11-21 15:54 . 2006-03-24 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"C-Media Echo Control"="c:\programme\PCI Audio Applications\Bin\EchoCtrl.exe" [2001-12-05 147456]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-13 2043160]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-19 10:01 11952 ----a-w- c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 11:34 64512 ----a-w- c:\windows\ehome\ehtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 10:44 31072 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-12-10 19:52 49152 ----a-w- d:\programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2005-02-24 15:32 86016 ----a-w- c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2005-02-24 15:32 1495040 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"odserv"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"gusvc"=2 (0x2)
"gupdate1c9e0438fff1710"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"FirebirdServerMAGIXInstance"=3 (0x3)
"Bonjour Service"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programme\\Wyzo\\wyzo.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Save\\Games\\Serious Sam 2\\Bin\\DedicatedServer.exe"=
"d:\\Programme\\Counter-Strike 1.6\\hl.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Programme\\Metin 2\\metin2.bin"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Programme\\Stronghold\\Stronghold_Crusader_Extreme.exe"=
"\\\\MICHAEL-PC\\EXT FESTPLATTE\\Games MichaelPc\\Counter-Strike Source\\hl2.exe"=
"d:\\Programme\\Counter-Strike Source\\hl2.exe"=
"d:\\Programme\\Call of Duty 2\\CoD2MP_s.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\TC UP\\PLUGINS\\Media\\MirandaIM\\miranda32.exe"=
"d:\\Programme\\xampp\\apache\\bin\\httpd.exe"=
"d:\\Programme\\xampp\\mysql\\bin\\mysqld.exe"=
"d:\\Programme\\Eclipse\\eclipse\\eclipsec.exe"=
"d:\\Programme\\Eclipse\\eclipse\\eclipse.exe"=
"d:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Downloads - mt\\Yu-Gi-Oh Power Of Chaos trilogy\\Joey\\joey_pc.exe"=
"d:\\Programme\\MC2\\Sniper Elite\\SniperElite.exe"=
"d:\\Downloads - Firefox\\winscp425.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5353:TCP"= 5353:TCP:Adobe CSI CS4
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.04.2009 17:04 721904]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14.04.2009 17:00 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14.04.2009 17:00 108552]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [13.01.2006 14:00 15872]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [14.04.2009 17:00 908056]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [14.04.2009 17:00 297752]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [29.10.2009 12:27 1074568]
R2 supersafer;supersafer;c:\windows\system32\drivers\supersafer.sys [17.09.2009 20:14 354176]
S2 gupdate1c9e0438fff1710;Google Update Service (gupdate1c9e0438fff1710);c:\programme\Google\Update\GoogleUpdate.exe [29.05.2009 10:55 133104]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25.01.2008 10:12 25088]
S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\MAGIX\MusicMaker14PE_Download_version\Common\Database\bin\fbserver.exe [19.04.2009 12:16 1527900]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-29 09:54]
2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-29 09:54]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\
FF - prefs.js: browser.search.selectedEngine - dict.cc en<->de
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\dokumente und einstellungen\**\Anwendungsdaten\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: d:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: d:\programme\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - c:\programme\Search Settings\kb128\SearchSettings.dll
Toolbar-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\programme\Dealio Toolbar\DealioToolbarIE.dll
HKLM-Run-Cmaudio - cmicnfg.cpl
Notify-WgaLogon - (no file)
AddRemove-Advanced Strategic Command - d:\programme\ASC\uninstall.exe
AddRemove-Gothic II - d:\progra~1\JoWooD\GOTHIC~1\UNWISE.EXE
AddRemove-myAC.Client_is1 - d:\programme\myAC_GERAS\unins000.exe
AddRemove-PDFTiger_is1 - d:\programme\PDFTiger\unins000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-17 21:52
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys spit.sys >>UNKNOWN [0x82391938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf858af28
\Driver\ACPI -> ACPI.sys @ 0xf83d3cb8
\Driver\atapi -> sfsync02.sys @ 0xf85578b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC -> SendCompleteHandler -> NDIS.sys @ 0xf825fbd4
PacketIndicateHandler -> NDIS.sys @ 0xf826ba21
SendHandler -> NDIS.sys @ 0xf825fd44
user & kernel MBR OK
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2564)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll
d:\programme\Tracker Software\Shell Extensions\XCShInfo.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\progra~1\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\RunDll32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\dllhost.exe
d:\programme\Mozilla Firefox\firefox.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-17 21:58:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-17 20:57
Vor Suchlauf: 8 Verzeichnis(se), 12.749.893.632 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 17.715.933.184 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
- - End Of File - - 485C24D09645AE3C96A562C7578F33AE
Geändert von Someonelse (17.02.2010 um 22:16 Uhr) |
| Themen zu Rootkit problem - Wie krieg ich de Dreck weg? |
| adobe, atapi.sys, avg, avg free, dealio, e-mail, einstellungen, excel, explorer, firefox, google, gupdate, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mein log, mozilla, nvidia, problem, rootkit, rundll, search settings, software, system, temp, windows, windows xp |
Baum-Darstellung