| |
| |||||||
Antiviren-, Firewall- und andere Schutzprogramme: Interpretierung Bericht CombofixWindows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
06.07.2010, 21:52
| #1 |
| |  Interpretierung Bericht Combofix Liebe Fachlleute, meine versteckten Datein waren trotz Aktivierung von "alle Datein und Ordner anzeigen" in den Ordneroptionen unter Ansicht nicht sichtbar (Windows XP). Ich habe nun auf Anraten eines Freundes "Combofix" ausgeführt, nachdem ich alle temporären Datein gelöscht und mein Antivirenprogramm (Kaspersky) sowie die Firewall deaktiviert hatte. Nach dem Entfernen eines Dateipfades und einem Neustart funktioniert die Anzeige der versteckten Datein auch wieder - JUCHU! Allerdings hieß es auf der Homepage von w*w.bleepingcomputer.com, von denen ich das Combofix habe, dass man das Script noch einmal von einem Fachmann durchschauen lassen sollte, für den Fall, dass noch Dinge gelöscht/modifiziert werden müssen, was durch das Programm noch nicht geschehen ist. Was muss ich noch tun, damit evtl. vorhandene Viren/Spyprogramme komplett vom Rechner entfernt werden? Hier ist die von Combofix erstellte Text-Datei: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-06.01 - Andreas 06.07.2010 20:14:48.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1916.1478 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Andreas\Anwendungsdaten\test
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-06 bis 2010-07-06 ))))))))))))))))))))))))))))))
.
2010-07-06 17:48 . 2010-07-06 17:48 -------- d-----w- c:\programme\CleanUp!
2010-07-06 17:00 . 2010-01-27 11:51 767952 ----a-w- c:\windows\BDTSupport.dll
2010-07-06 17:00 . 2010-01-22 06:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-07-06 17:00 . 2008-11-26 09:08 131 ----a-w- c:\windows\IDB.zip
2010-07-06 17:00 . 2010-01-22 06:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-07-06 17:00 . 2010-01-22 06:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-07-06 17:00 . 2009-10-27 22:36 1152444 ----a-w- c:\windows\UDB.zip
2010-07-06 16:57 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-07-06 16:56 . 2010-03-29 08:06 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-07-06 16:56 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-07-06 16:56 . 2010-04-08 12:29 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-07-06 16:56 . 2010-07-06 17:32 -------- d-----w- c:\programme\Spyware Doctor
2010-07-06 16:56 . 2010-07-06 17:00 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2010-07-06 16:56 . 2010-07-06 16:56 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\PC Tools
2010-07-06 16:56 . 2010-07-06 16:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2010-07-06 16:56 . 2010-07-06 18:19 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-07-04 08:57 . 2010-07-04 08:57 -------- d-----w- C:\test
2010-07-04 00:53 . 2010-07-04 08:57 -------- d-----w- c:\dokumente und einstellungen\Andreas\test
2010-07-04 00:53 . 2010-07-04 00:53 -------- d-----w- C:\Neuer Ordner
2010-07-04 00:44 . 2010-07-04 00:45 -------- d-----w- C:\altes Iphone Backup
2010-07-03 16:50 . 2010-07-03 16:50 -------- d-----w- c:\dokumente und einstellungen\Andreas\com.apple.Notes
2010-07-03 16:50 . 2010-07-03 16:50 -------- d-----w- c:\dokumente und einstellungen\Andreas\com.apple.MailAccounts
2010-07-03 16:50 . 2010-07-03 16:50 -------- d-----w- c:\dokumente und einstellungen\Andreas\com.apple.Contacts
2010-07-03 16:50 . 2010-07-03 16:50 -------- d-----w- c:\dokumente und einstellungen\Andreas\com.apple.Calendars
2010-07-03 16:50 . 2010-07-03 16:50 -------- d-----w- c:\dokumente und einstellungen\Andreas\com.apple.Bookmarks
2010-06-30 08:39 . 2010-06-30 08:39 -------- d-----w- c:\dokumente und einstellungen\Andreas\Neuer Ordner
2010-06-30 07:57 . 2010-06-30 07:57 -------- d-----w- c:\programme\iPod
2010-06-30 07:57 . 2010-06-30 07:57 -------- d-----w- c:\programme\iTunes
2010-06-30 07:57 . 2010-06-30 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-30 07:55 . 2010-06-30 07:55 -------- d-----w- c:\programme\QuickTime
2010-06-30 07:52 . 2010-06-30 07:52 -------- d-----w- c:\programme\Bonjour
2010-06-30 07:49 . 2010-06-30 07:49 72504 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-18 16:47 . 2010-06-18 16:47 -------- d-----w- c:\programme\TeamViewer
2010-06-15 12:38 . 2010-06-18 16:48 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\TeamViewer
2010-06-15 12:38 . 2010-06-15 12:38 -------- d-----w- c:\dokumente und einstellungen\Andreas\temp
2010-06-13 17:58 . 2010-02-08 10:06 266240 ----a-w- c:\windows\system32\sevZip40.dll
2010-06-13 17:58 . 2001-05-24 10:20 544256 ----a-w- c:\windows\system32\jangraphics.dll
2010-06-13 13:04 . 2010-06-30 11:23 -------- d-----w- C:\SEMteam
2010-06-08 19:50 . 2010-06-08 19:50 503808 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6bb62c3e-n\msvcp71.dll
2010-06-08 19:50 . 2010-06-08 19:50 499712 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6bb62c3e-n\jmc.dll
2010-06-08 19:50 . 2010-06-08 19:50 348160 ----a-w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-6bb62c3e-n\msvcr71.dll
2010-06-08 19:45 . 2010-06-08 19:46 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Temp
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 18:21 . 2009-03-28 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-06 18:18 . 2009-03-28 12:37 483360 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2010-07-06 18:18 . 2009-03-28 12:37 3780 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2010-07-06 18:18 . 2009-03-28 12:37 2200608 --sha-w- c:\windows\system32\drivers\fidbox.dat
2010-07-06 18:18 . 2009-03-28 12:37 20368 --sha-w- c:\windows\system32\drivers\fidbox.idx
2010-07-04 00:50 . 2009-03-29 20:57 -------- d-----w- c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Apple Computer
2010-06-30 08:01 . 2009-03-30 03:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-06-30 07:57 . 2009-03-30 03:37 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-06-08 19:48 . 2009-03-29 20:51 -------- d-----w- c:\programme\Google
2010-06-01 04:37 . 2009-03-29 20:23 28160 ----a-w- c:\windows\system32\Sevkto32.dll
2010-05-18 14:35 . 2010-05-18 14:35 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35 197920 ----a-w- c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-05-14 09:00 . 2009-03-28 12:37 97549 ----a-w- c:\windows\system32\drivers\klick.dat
2010-05-14 09:00 . 2009-03-28 12:37 113933 ----a-w- c:\windows\system32\drivers\klin.dat
2010-04-19 18:47 . 2009-03-30 03:37 3062048 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-19 18:47 . 2009-03-30 03:37 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2005-12-16 188416]
"RTHDCPL"="RTHDCPL.EXE" [2009-03-02 17530368]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-28 148888]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-08-14 1343488]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-30 208616]
"DataCardMonitor"="c:\programme\Huawei Modems\DataCardMonitor.exe" [2009-03-28 249856]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2008-05-27 360448]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Aktualisierungsagent.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Aktualisierungsagent.lnk
backup=c:\windows\pss\Aktualisierungsagent.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-06-15 14:33 141624 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 20:16 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
2008-05-27 07:23 360448 ----a-w- c:\programme\TOSHIBA\TOSHIBA Applet\THotkey.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\system32\\pol32evt.exe"=
"c:\\PROGRA~1\\MICROS~3\\OFFICE11\\OUTLOOK.EXE"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:Public ShareFolder - DCOM Access
"137:UDP"= 137:UDP:@xpsp2res.dll,-22001
"9352:TCP"= 9352:TCP:coeunvhz
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [06.07.2010 18:56 218592]
R1 cdrblock;cdrblock;c:\windows\system32\drivers\cdrblock.sys [15.06.2009 21:03 20992]
R1 cdrport;cdrport;c:\windows\system32\drivers\cdrport.sys [15.06.2009 21:03 4608]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [06.07.2010 19:00 112592]
R2 gtdetectsc;GtDetectSc Service;c:\windows\system32\Gtdetectsc.exe [28.03.2009 18:54 122880]
R2 GtFlashSwitch;GtFlashSwitch;c:\programme\Gemeinsame Dateien\GtFlashSwitch\GtFlashSwitch.exe [09.02.2007 15:48 176128]
R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [30.03.2009 10:20 5888]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 19:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
R3 mdvdrv;Connectivity Driver;c:\windows\system32\drivers\mdvdrv.sys [28.03.2009 22:38 115200]
S2 evclbg;Shell Driver;c:\windows\system32\svchost.exe -k netsvcs [14.04.2008 07:53 14336]
S2 gupdate1c9b0b0eef0a210;Google Update Service (gupdate1c9b0b0eef0a210);c:\programme\Google\Update\GoogleUpdate.exe [29.03.2009 22:57 133104]
S2 SUNLITE;SIUDI OUT;c:\windows\system32\drivers\siudi.sys [19.11.2009 15:45 17680]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.03.2009 12:53 1684736]
S3 AX88172;Conceptronic USB 2.0 10/100 Ethernet Adapter;c:\windows\system32\drivers\ax88172.sys [28.03.2009 13:27 11264]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [06.07.2010 18:56 366840]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
evclbg
.
Inhalt des "geplante Tasks" Ordners
2010-06-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-29 20:57]
2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-29 20:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {77D92AEE-3AAE-4402-B7E6-C6BA2062A83C} = 192.168.0.2
FF - ProfilePath - c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Mozilla\Firefox\Profiles\zry0kxrw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-06 20:21
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DataCardMonitor = c:\programme\Huawei Modems\DataCardMonitor.exe?R ??? ???????OKUME~1\Andreas\LOKALE~1\Temp\DataCardPM32.tmp?nd Einstellungen\Andr?? ?????????????????????????????????????????rogramme\Huawei Modems\DataCardMonitor.exe?x????????????rogramme\Huawei Modems\?Disk
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\evclbg]
"ServiceDll"="c:\windows\system32\upcczovr.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(1760)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
- - - - - - - > 'explorer.exe'(148)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\agrsmsvc.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-07-06 20:24:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-07-06 18:24
Vor Suchlauf: 9 Verzeichnis(se), 39.891.755.008 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 39.788.503.040 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 28B9BD27A6B4948C92249A66C19AE034
DANKE für eure Antworten - ANDREAS |
| Themen zu Interpretierung Bericht Combofix |
| 0 bytes, ?????, avp, avp.exe, browser, combofix, components, controlset002, defender, desktop, einstellungen, entfernen, excel, firefox, google earth, gupdate, homepage, internet, jusched.exe, kaspersky, logfile auswerten, malware, mozilla, nicht sichtbar, programm, scan, security, software, spyware, svchost.exe, system, tcp, udp, usb 2.0, versteckte dateien, windows, windows recovery, windows xp |
Interpretierung Bericht Combofix
Baum-Darstellung