| |
| |||||||
Log-Analyse und Auswertung: Auswertung combofix-logWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.09.2010, 10:19
| #1 |
| |  Auswertung combofix-log Hallo! Unser Internetzugang wurde wohl missbräuchlich zum Versenden von Spam genutzt, was den Provider veranlasst hat, den Postausgangs-Prot/ die Ports zu sperren. Ich habe meinen PC mit Combofix gecheckt und hänge den log unten an. Kann mir bitte jemand sagen, ob dieser PC jetzt sauber ist, oder was ich sonst machen soll? Grüße und schon mal Danke, UrsulaM Combofix Logfile: Code:
ATTFilter ComboFix 10-09-17.04 - Uschi 18.09.2010 7:45.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.639.377 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Uschi\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-18 bis 2010-09-18 ))))))))))))))))))))))))))))))
.
2010-09-18 05:12 . 2010-09-18 05:12 -------- d-----w- c:\programme\CCleaner
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-17 13:17 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-02-28 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-06-30 12:28 . 2006-02-28 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:22 . 2006-02-28 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-02-28 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-02-28 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Ashampoo FireWall"="c:\programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
SMCWUSB-G 802.11g Wireless USB Utility.lnk - c:\programme\SMC\SMCWUSB-G 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe [2006-1-18 442368]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.12.2009 15:54 108289]
R3 SMCWGU(SMC);SMCWUSB-G 802.11g Wireless USB 2.0 Adapter(SMC);c:\windows\system32\drivers\SMCWGU.sys [24.10.2007 21:45 408064]
S2 AntiVirUpgradeService;Avira Upgrade Service;"c:\dokume~1\Uschi\LOKALE~1\Temp\AVSETUP_4a81bcd4\basic\avupgsvc.exe" /TEMPSTART:""c:\dokume~1\Uschi\LOKALE~1\Temp\AVSETUP_4a81bcd4\basic\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" --> c:\dokume~1\Uschi\LOKALE~1\Temp\AVSETUP_4a81bcd4\basic\avupgsvc.exe [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebay.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Ashampoo\Ashampoo FireWall\spi.dll
Trusted Zone: buttinette.com\basteln-de
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-18 07:51
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\Uschi\LOKALE~1\Temp\ASFWHide"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'lsass.exe'(696)
c:\programme\Ashampoo\Ashampoo FireWall\spi.dll
- - - - - - - > 'explorer.exe'(3028)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2010-09-18 07:54:08
ComboFix-quarantined-files.txt 2010-09-18 05:54
Vor Suchlauf: 4 Verzeichnis(se), 69.614.137.344 Bytes frei
Nach Suchlauf: 5 Verzeichnis(se), 69.564.059.648 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 8CCDE933B14E61DAF6547557FFA1CA47
|
|
19.09.2010, 18:12
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Auswertung combofix-log CF solltest Du nicht auf eigene Faust ausführen!
__________________Was hast Du außer CF sonst noch alles ausgeführt?
__________________ |
|
| Themen zu Auswertung combofix-log |
| adapter, adobe, antivir, auswertung, avg, avgnt, avira, combofix, desktop, einstellungen, excel, firewall, home, log, lsass.exe, malware, opera, programme, scan, sched.exe, security, software, spam, system, temp, usb 2.0, windows, windows recovery, windows xp |
Linear-Darstellung
