| |
| |||||||
Log-Analyse und Auswertung: Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
20.11.2010, 15:52
| #1 |
| /// Malware-holic   |  Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
20.11.2010, 16:16
| #2 |
| | Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. hallo, ich habe tdsskiller von kaspersky laufen lassen. das hat das rootkit wohl gelöscht. Hat aber bei den anderen Problemen nicht geholfen.
__________________Hier das log von combofix: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-19.04 - *** 20.11.2010 16:02:00.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1408 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Updated) {0F8591BB-342B-4493-91C3-4E948ED21255}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\__IS6__.tmp
c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\EurekaLog
c:\windows\system\implode.dll
c:\windows\system32\fldlckun.exe
c:\windows\system32\system32
c:\windows\system32\system32\cis-2.4.dll
c:\windows\system32\system32\issacapi_bs-2.3.dll
c:\windows\system32\system32\issacapi_pe-2.3.dll
c:\windows\system32\system32\issacapi_se-2.3.dll
c:\windows\system32\system32\MACXMLProto.dll
c:\windows\system32\system32\MaDRM.dll
c:\windows\system32\system32\MaJGUILib.dll
c:\windows\system32\system32\MaJUtilLib.dll
c:\windows\system32\system32\MAMACExtract.dll
c:\windows\system32\system32\MASetupCaller.dll
c:\windows\system32\system32\MASetupCleaner.exe
c:\windows\system32\system32\MaXMLProto.dll
c:\windows\system32\system32\MetaStore2.dll
c:\windows\system32\system32\Microsoft.Synchronization.dll
c:\windows\system32\system32\MK_Lyric.dll
c:\windows\system32\system32\MSCLib.dll
c:\windows\system32\system32\MSFLib.dll
c:\windows\system32\system32\MSLUR71.dll
c:\windows\system32\system32\msvcp60.dll
c:\windows\system32\system32\MTTELECHIP.dll
c:\windows\system32\system32\MTXSYNCICON.dll
c:\windows\system32\system32\muzaf1.dll
c:\windows\system32\system32\muzapp.dll
c:\windows\system32\system32\muzapp.exe
c:\windows\system32\system32\muzdecode.ax
c:\windows\system32\system32\muzeffect.ax
c:\windows\system32\system32\muzmp4sp.ax
c:\windows\system32\system32\muzmpgsp.ax
c:\windows\system32\system32\muzoggsp.ax
c:\windows\system32\system32\muzwmts.dll
c:\windows\system32\system32\psapi.dll
c:\windows\system32\system32\Synchronization2.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-10-20 bis 2010-11-20 ))))))))))))))))))))))))))))))
.
2010-11-20 14:36 . 2010-11-20 14:36 -------- d--h--w- c:\windows\PIF
2010-11-20 12:47 . 2010-11-20 12:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-11-20 12:47 . 2010-11-20 12:47 -------- d-----w- c:\programme\Security Task Manager
2010-11-16 15:28 . 2010-11-16 15:28 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\B-Wise
2010-11-15 13:57 . 2010-11-15 13:57 -------- d-----w- c:\programme\RF
2010-11-15 11:32 . 2010-11-15 11:32 -------- d-----w- c:\programme\FlightScan
2010-11-15 11:16 . 2010-11-15 14:02 -------- d-----w- c:\programme\iColorFolder
2010-11-12 10:36 . 2010-11-12 10:42 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\axa_wohnriester
2010-11-12 10:36 . 2010-11-12 10:41 -------- d-----w- c:\programme\axa_wohnriester
2010-10-31 19:28 . 2010-10-31 19:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Alwil Software
2010-10-31 19:27 . 2010-10-31 19:27 -------- d-----w- c:\programme\Alwil Software
2010-10-27 16:32 . 2010-10-27 16:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2010-10-27 16:32 . 2010-10-27 16:32 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\PC Suite
2010-10-27 16:32 . 2010-05-01 06:51 36640 ----a-w- c:\windows\system32\FsUsbExDisk.Sys
2010-10-27 16:32 . 2010-05-01 06:51 217088 ----a-w- c:\windows\system32\FsUsbExService.Exe
2010-10-27 16:32 . 2010-05-01 06:51 110592 ----a-w- c:\windows\system32\FsUsbExDevice.Dll
2010-10-27 16:10 . 2010-03-25 11:08 14848 ----a-w- c:\windows\system32\drivers\ss_mdfl.sys
2010-10-27 16:10 . 2010-03-25 11:08 12416 ----a-w- c:\windows\system32\drivers\ss_cmnt.sys
2010-10-27 16:10 . 2010-03-25 11:08 12416 ----a-w- c:\windows\system32\drivers\ss_cm.sys
2010-10-27 16:10 . 2010-03-25 11:08 123776 ----a-w- c:\windows\system32\drivers\ss_mdm.sys
2010-10-27 16:10 . 2010-03-25 11:08 98560 ----a-w- c:\windows\system32\drivers\ss_bus.sys
2010-10-27 16:10 . 2010-03-25 11:08 12288 ----a-w- c:\windows\system32\drivers\ss_whnt.sys
2010-10-27 16:10 . 2010-03-25 11:08 12288 ----a-w- c:\windows\system32\drivers\ss_wh.sys
2010-10-27 16:10 . 2010-10-27 16:10 -------- d-----w- c:\programme\DIFX
2010-10-27 16:10 . 2008-08-26 07:26 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2010-10-27 16:07 . 2010-11-05 13:59 -------- d-----w- c:\programme\PC Connectivity Solution
2010-10-27 16:06 . 2010-11-05 13:59 -------- d-----w- c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\Samsung
2010-10-27 16:05 . 2010-10-27 16:05 -------- d-----w- c:\programme\MarkAny
2010-10-27 16:05 . 2010-11-05 13:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Samsung
2010-10-27 16:01 . 2008-07-06 12:06 89088 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll.new
2010-10-27 16:01 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\SET1A9.tmp
2010-10-27 16:01 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\SET1A7.tmp
2010-10-27 16:01 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\SET194.tmp
2010-10-27 16:01 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\SET1A6.tmp
2010-10-27 16:01 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\SET193.tmp
2010-10-27 16:01 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\SET195.tmp
2010-10-27 16:01 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\SET1A8.tmp
2010-10-27 16:01 . 2008-07-06 10:50 597504 ------w- c:\windows\system32\Spool\prtprocs\w32x86\SET18B.tmp
2010-10-27 15:55 . 2010-10-27 15:55 -------- d-----w- C:\Program Files
2010-10-27 15:54 . 2010-10-27 15:54 -------- d-----w- c:\programme\Gemeinsame Dateien\Samsung
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-20 14:41 . 2004-11-11 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sys
2010-11-20 12:36 . 2008-11-26 14:07 2857 ----a-w- c:\windows\ARJ.PIF
2010-11-17 15:36 . 2007-04-24 15:25 964 ----a-w- c:\windows\DOCS.tmp
2010-11-17 15:36 . 2007-04-24 15:25 1287 ----a-w- c:\windows\CAF.tmp
2010-11-16 18:03 . 2007-04-24 15:25 16318 ----a-w- c:\windows\VFrame32.tmp
2010-11-02 10:53 . 2009-04-02 12:27 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-02 10:53 . 2009-04-02 12:27 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-10-21 10:53 . 2008-10-31 15:15 44544 ----a-w- c:\windows\system32\hticons.dll
2010-10-13 09:48 . 2010-10-13 09:48 160288 ----a-w- c:\windows\system32\drivers\afcdp.sys
2010-10-13 09:48 . 2010-10-13 09:48 911680 ----a-w- c:\windows\system32\drivers\tdrpm258.sys
2010-10-13 09:48 . 2008-11-04 12:19 581984 ----a-w- c:\windows\system32\drivers\timntr.sys
2010-10-13 09:48 . 2008-11-04 12:19 158272 ----a-w- c:\windows\system32\drivers\snapman.sys
2010-09-18 10:22 . 2004-11-11 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-11-11 12:00 974848 ------w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-11-11 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-11-11 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-09 14:17 . 2004-11-11 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-09-09 14:17 . 2004-11-11 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-09-09 14:17 . 2004-11-11 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-09-09 14:13 . 2004-11-11 12:00 371200 ----a-w- c:\windows\system32\html.iec
2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-09-01 11:50 . 2004-11-11 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-11-11 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-11-11 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-11-11 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-11-11 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-11-11 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"Smart Touch i1100"="c:\programme\Kodak\Document Imaging\kds_i1100\Smart Touch\KSSCFG.exe" [2009-03-10 229376]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
netzlaufwerk.bat [2010-10-19 173]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1114\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1117\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1417001333-884357618-725345543-1123\Scripts\Logon\0\0]
"Script"=netzlaufwerk.bat
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AutoStart IR.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk
backup=c:\windows\pss\AutoStart IR.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Jabra Device Service.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Jabra Device Service.lnk
backup=c:\windows\pss\Jabra Device Service.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips SA32XX Device Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips SA32XX Device Manager.lnk
backup=c:\windows\pss\Philips SA32XX Device Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Reinhardt^Startmenü^Programme^Autostart^OpenOffice.org 3.0.lnk]
path=c:\dokumente und einstellungen\Reinhardt\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]
c:\program files\Samsung\Kies-Samsung 7722\ [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-06-11 21:43 640376 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
2009-11-12 03:42 362032 ----a-w- c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]
2008-06-12 01:25 37232 ----a-w- c:\programme\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
2008-04-17 12:14 98616 ----a-w- c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-06-01 12:32 94208 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 11:50 1289000 ----a-w- c:\programme\Microsoft ActiveSync\wcescomm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2008-05-14 10:16 29831168 ----a-r- c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-04-17 08:03 170520 ----a-r- c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-04-17 08:03 150040 ----a-r- c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpAgent]
2007-06-11 10:59 943656 ----a-w- c:\programme\Nuance\OmniPage15\OpAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Opware15]
2007-06-11 11:00 79400 ----a-w- c:\programme\Nuance\OmniPage15\OpWare15.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-04-17 08:03 141848 ----a-r- c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 09:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-04-06 00:27 26102056 ----a-r- c:\programme\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
2008-04-14 06:52 144384 ----a-w- c:\windows\system32\mobsync.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
2009-11-12 03:42 5140960 ----a-w- c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LckFldService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"gupdate"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CrossLoop\\CrossLoopConnect.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"\\\\Sassenbe-bx5ian\\S\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"=
"\\\\10.0.0.2\\s\\VHV Hannover\\VPL_APPS\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\VHV\\Versandzentrale\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"\\\\10.0.0.2\\daten\\Desktop-Verknüpfung\\gpr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Dokumente und Einstellungen\\Reinhardt\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [21.10.2010 12:27 207280]
R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [13.10.2010 10:48 911680]
R1 a2injectiondriver;a2injectiondriver;c:\programme\Emsisoft Anti-Malware\a2dix86.sys [21.10.2010 13:02 41928]
R1 a2util;a-squared Malware-IDS utility driver;c:\programme\Emsisoft Anti-Malware\a2util32.sys [21.10.2010 13:02 11776]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\programme\Emsisoft Anti-Malware\a2service.exe [21.10.2010 13:02 2806000]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [13.10.2010 10:48 2480048]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [02.04.2009 13:27 339624]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 13:27 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [02.04.2009 13:27 403624]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programme\Spyware Doctor\BDT\BDTUpdateService.exe [21.10.2010 12:29 112592]
R2 DavidReplica;DvISE Replica;c:\progra~1\TOBITI~1\David\APPS\REPLICA\CODE\REPLICA.EXE [05.11.2008 18:30 270336]
R2 DavidServiceLayer;DvISE Service Layer;c:\progra~1\TOBITI~1\David\CODE\SL.EXE [05.11.2008 18:30 864256]
R2 MSSQL$IASE2811;SQL Server (IASE2811);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.02.2007 05:29 29178224]
R3 a2acc;a2acc;c:\programme\Emsisoft Anti-Malware\a2accx86.sys [21.10.2010 13:02 72808]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [13.10.2010 10:48 160288]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [04.11.2008 13:43 238080]
R3 WinRiskXASmClSoftwareUpdate;InterRisk WinRisk Smart-Client Softwareaktualisierung;c:\programme\InterRisk\WinRiskXA\smart\client\bin\BWUpdater.exe [10.12.2009 22:09 24576]
S2 WinRiskXASmClServiceHandler;InterRisk WinRisk Smart-Client Dienststeuerung;c:\programme\InterRisk\WinRiskXA\smart\client\bin\BWServiceHandler.exe [10.12.2009 22:09 90112]
S3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys --> c:\windows\system32\drivers\dgderdrv.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [27.10.2010 17:32 36640]
S3 hcw66xxx;WinTV HVR-900H;c:\windows\system32\drivers\hcw66xxx.sys [15.07.2009 09:23 418304]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1B6.tmp --> c:\windows\system32\1B6.tmp [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02.07.2009 09:36 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02.07.2009 09:36 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02.07.2009 09:36 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02.07.2009 09:36 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02.07.2009 09:36 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02.07.2009 09:36 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02.07.2009 09:36 115752]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [21.10.2010 12:27 358600]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.07.2009 22:41 133104]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - KLMDB
*Deregistered* - klmd25
*Deregistered* - klmdb
*Deregistered* - uftdypow
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
2010-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-11 21:41]
2010-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-11 21:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uStart Page = about:blank
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: berliner-volksbank.de\www
Trusted Zone: talkline.de\eservice.cust
TCP: {4D68FA69-3312-45D3-B2FA-7BE36ACD1FD7} = 10.0.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Reinhardt\Anwendungsdaten\Mozilla\Firefox\Profiles\alml1fxf.default\
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.39\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-klmdb.sys
MSConfigStartUp-Acrobat Assistant 7 - c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
MSConfigStartUp-AcronisTimounterMonitor - c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-EPGServiceTool - c:\progra~1\WinTV\EPG Services\System\EPGClient.exe
MSConfigStartUp-Google Update - c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
AddRemove-01_Simmental - c:\program files\Samsung\USB Drivers\01_Simmental\Uninstall.exe
AddRemove-02_Siberian - c:\program files\Samsung\USB Drivers\02_Siberian\Uninstall.exe
AddRemove-03_Swallowtail - c:\program files\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
AddRemove-04_semseyite - c:\program files\Samsung\USB Drivers\04_semseyite\Uninstall.exe
AddRemove-07_Schorl - c:\program files\Samsung\USB Drivers\07_Schorl\Uninstall.exe
AddRemove-09_Hsp - c:\program files\Samsung\USB Drivers\09_Hsp\Uninstall.exe
AddRemove-11_HSP_Plus_Default - c:\program files\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
AddRemove-12_Symbian_USB_Download_Driver - c:\program files\Samsung\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\Samsung\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
AddRemove-16_Shrewsbury - c:\program files\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
AddRemove-Google Chrome - c:\dokumente und einstellungen\Reinhardt\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\3.0.195.21\Installer\setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-20 16:09
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwOpenFile
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1B6.tmp"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(964)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\system32\mobilev.acm
- - - - - - - > 'winlogon.exe'(404)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
- - - - - - - > 'lsass.exe'(1020)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-11-20 16:11:28
ComboFix-quarantined-files.txt 2010-11-20 15:11
Vor Suchlauf: 19 Verzeichnis(se), 27.683.426.304 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 28.787.802.112 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 55E315048FB45D4BC8EC015F787C2C74
|
|
| Themen zu Googlesuche wird umgeleitet, mbam muß umbenannt werden-startet sonst nicht. |
| antivir, avg, avira, datei, dateien, desktop, document, einstellungen, explorer.exe, firefox, folge, frage, gmer, googlesuche, googleumleitung, harddisk, lan-verbindung, laptop, nicht angezeigt, ntdll.dll, otl log, problem, programme, registry, scan, seite, software, superantispyware, system, system32, temp, umleitung, virus, virustotal.com |
Hybrid-Darstellung
