Leider habe ich auch ein Problem mit dem HDD Low Trojaner/Virus. Unten angefügt mein Logfile.
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-12-26.01 - ladmin 27.12.2010 19:20:33.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3536.2855 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *Enabled/Outdated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
* Im Speicher befindliches AV aktiv.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Install.exe
c:\windows\system32\clauth1.dll
c:\windows\system32\clauth2.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\nsprs.dll
c:\windows\system32\serauth1.dll
c:\windows\system32\serauth2.dll
c:\windows\system32\ssprs.dll
----- BITS: Eventuell infizierte Webseiten -----
hxxp://[dass ist eine Seite meiner Uni]:80
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-27 bis 2010-12-27 ))))))))))))))))))))))))))))))
.
2010-12-16 15:22 . 2010-12-16 15:22 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\javasharedresources
2010-12-16 14:17 . 2010-12-16 14:17 -------- d-----w- c:\dokumente und einstellungen\ladmin\.spss
2010-12-16 14:17 . 2010-12-16 14:17 -------- d-----w- c:\dokumente und einstellungen\ladmin\Lokale Einstellungen\Anwendungsdaten\javasharedresources
2010-12-16 14:10 . 2010-12-16 14:15 -------- d-----w- c:\programme\Common Files
2010-12-16 14:10 . 2010-12-16 14:10 -------- d--h--w- c:\programme\Zero G Registry
2010-12-16 14:10 . 2010-12-16 14:10 -------- d--h--w- c:\dokumente und einstellungen\ladmin\InstallAnywhere
2010-12-16 14:08 . 2010-12-16 14:08 -------- d-----w- c:\programme\Gemeinsame Dateien\IBM
2010-12-16 14:07 . 2010-12-16 14:07 -------- d-----w- c:\programme\IBM
2010-12-14 19:56 . 2010-12-14 19:56 -------- d-----w- c:\programme\SyncToy 2.1
2010-12-14 19:55 . 2010-12-14 19:55 -------- d-----w- c:\programme\Microsoft Sync Framework
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-05-04 13:34 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-04 13:34 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-18 18:12 . 2010-03-01 16:25 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-06 00:21 . 2010-03-31 15:11 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2010-03-31 15:09 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2010-03-31 15:08 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2010-03-31 15:08 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2010-03-31 15:10 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2010-03-31 15:06 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2010-03-31 15:11 1853440 ----a-w- c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\udaterui.exe" [2010-02-18 136512]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-01-06 124240]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"ConnectionCenter"="c:\programme\Citrix\ICA Client\concentr.exe" [2009-09-12 103768]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-12-31 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-08-27 471040]
"ConnectPrinter"="c:\windows\system32\DruckerVerbindenStart.vbs" [2009-01-30 121]
"Apoint"="c:\programme\DellTPad\Apoint.exe" [2008-12-21 200704]
"Eraser"="c:\progra~1\Eraser\Eraser.exe" [2010-04-10 979344]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-07-16 25607976]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2008-8-15 604776]
VPN Client.lnk - c:\windows\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico [2010-5-4 6144]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DefaultLogonDomain"= DOMAIN meiner Uni
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-1720\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-34622\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-52132\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-4253473865-3197154111-2873975343-92841\Scripts\Logon\0\0]
"Script"=deladminuser.cmd
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\Citrix\\ICA Client\\wfica32.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\windows\system32\ccm\clicomp\RemCtrl\RCServer.exe"= c:\windows\system32\ccm\clicomp\RemCtrl\RCServer.exe:130.133.0.0/255.255.0.0,160.45.0.0/255.255.0.0:Enabled:SMSRemoteTools
"c:\windows\system32\RCAgent.exe"= c:\windows\system32\RCAgent.exe:130.133.0.0/255.255.0.0,160.45.0.0/255.255.0.0:Enabled:SMSRemoteTools2
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung
"139:TCP"= 139:TCP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22004
"445:TCP"= 445:TCP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22005
"137:UDP"= 137:UDP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22001
"138:UDP"= 138:UDP:160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22002
"3389:TCP"= 3389:TCP:160.45.8.128/255.255.255.128,160.45.136.128/255.255.255.192:Enabled:@xpsp2res.dll,-22009
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
"RemoteAddresses"= 160.45.8.128/255.255.255.128,160.45.9.0/255.255.255.0,160.45.136.128/255.255.255.192
"Enabled"= 1 (0x1)
R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [8.9.2009 18:13 65584]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [17.12.2009 09:45 812448]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\programme\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [17.12.2009 09:45 27040]
R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [6.1.2010 20:07 22816]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [1.3.2010 17:46 70728]
R2 USBDLM;USBDLM;c:\programme\USBDLM\USBDLM.exe [18.9.2008 12:39 156160]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [4.5.2010 11:41 112128]
R3 CCIDFILTER;Broadcom Smart Card Reader Filter Driver;c:\windows\system32\drivers\ccidflt.sys [4.5.2010 11:41 12840]
R3 cvusbdrv;Dell ControlVault;c:\windows\system32\drivers\cvusbdrv.sys [4.5.2010 11:40 33832]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [4.5.2010 11:40 241880]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [4.5.2010 11:40 110080]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 12:16 130384]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [1.3.2010 17:46 66600]
S3 ta1100;ta1100.sys S110 USB Infrared Controller;c:\windows\system32\drivers\ta1100.sys [31.5.2010 21:27 31048]
S3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [31.3.2010 16:12 36912]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [31.3.2010 16:10 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 12:16 753504]
--- Andere Dienste/Treiber im Speicher ---
*Deregistered* - uphcleanhlp
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\DisableQuickTimeUpdate]
2009-09-25 10:02 367 ----a-w- c:\programme\QuickTime\DisableQuickTimeUpdate\DisableUpdate.cmd
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\VLC Media Player]
2009-05-28 14:15 334 ----a-w- c:\programme\VideoLAN\VLC\settings.cmd
.
Inhalt des "geplante Tasks" Ordners
2010-12-27 c:\windows\Tasks\DeleteSCCMHistory.job
- c:\windows\DelSCCMHistory.cmd [2010-05-04 08:12]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://Domain meiner Uni
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\ladmin\Anwendungsdaten\Mozilla\Firefox\Profiles\0dqos5mo.default\
FF - prefs.js: browser.startup.homepage - hxxp:/Domain meiner Uni
FF - Ext: Coral IE Tab: ietab@ip.cn - c:\programme\Mozilla Firefox\extensions\ietab@ip.cn
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-Polar Sync - (no file)
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
HKLM_ActiveSetup-IZArc - reg delete HKCU\Software\IZSoftware\IZArc
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-27 19:23
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1108)
c:\windows\system32\es.dll
.
Zeit der Fertigstellung: 2010-12-27 19:24:31
ComboFix-quarantined-files.txt 2010-12-27 18:24
Vor Suchlauf: 11 Verzeichnis(se), 97.501.769.728 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 99.784.888.320 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows" /noexecute=optin /fastdetect
- - End Of File - - D2D02AF483EB0A6C538B130020907011
--- --- ---
27.12.2010, 19:36
Baum-Darstellung