svchost.exe lastet computer aus und...

wasd · 14.01.2011, 17:40

Code:

ATTFilter

ComboFix 11-01-13.01 - X 14.01.2011  17:18:33.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.479.120 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\X\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E58E8-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *Enabled/Updated* {804E58E8-FFA4-00EB-0D24-347CA8A3377C}
FW: ZoneAlarm Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system\oeminfo.ini
c:\windows\system32\oqgwrrr.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ELSWODFL
-------\Service_elswodfl


(((((((((((((((((((((((   Dateien erstellt von 2010-12-14 bis 2011-01-14  ))))))))))))))))))))))))))))))
.

2011-01-14 12:21 . 2011-01-14 12:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
2011-01-14 12:21 . 2011-01-14 12:21	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2011-01-14 12:20 . 2011-01-14 12:20	--------	d-----w-	c:\dokumente und einstellungen\X\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-01-07 18:11 . 2011-01-07 18:11	--------	d-----w-	c:\programme\PS
2011-01-04 16:38 . 2011-01-04 20:52	--------	d-----w-	c:\dokumente und einstellungen\X\Anwendungsdaten\Ahnenblatt
2010-12-20 14:27 . 2010-12-20 14:29	--------	d-----w-	c:\programme\Chess
2010-12-20 14:15 . 2011-01-04 16:39	--------	d-----w-	c:\dokumente und einstellungen\X\Anwendungsdaten\GetRightToGo

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-14 16:27 . 2010-09-27 20:49	4238	--sha-r-	c:\windows\system32\WXA_CYBER_COLD-.vbs
2011-01-14 16:27 . 2010-09-27 20:06	4238	----a-w-	C:\A35-WS02.vbs
2011-01-11 15:12 . 2010-10-04 10:35	4308	--sha-r-	C:\WXA_CYBER_COLD-.vbs
2010-11-12 21:20 . 2010-11-12 21:20	722416	----a-w-	c:\windows\system32\drivers\sptd.sys
2010-10-16 10:50 . 2010-11-10 13:16	3056008	----a-w-	c:\programme\Gemeinsame Dateien\AskToolbarInstaller.exe
2010-01-26 09:11 . 2010-11-10 13:16	444283	----a-w-	c:\programme\Gemeinsame Dateien\WinPcapNmap.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="c:\programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-09-18 205976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"SiSPower"="SiSPower.dll" [2005-04-12 49152]
"SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2005-04-08 32768]
"AGRSMMSG"="AGRSMMSG.exe" [2003-11-20 88363]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 77824]
"Zone Labs Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NAME-DDD84CA5B0"="c:\windows\SYSTEM32\NAME-DDD84CA5B0.vbs" [2010-09-27 4238]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"WXA_CYBER_COLD-"="c:\windows\SYSTEM32\WXA_CYBER_COLD-.vbs" [2011-01-14 4238]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3726:TCP"= 3726:TCP:zrnbw

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.11.2010 22:20 722416]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [27.01.2010 03:09 50704]
S3 gtstusbser;Option210 USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\gtstusbser.sys --> c:\windows\system32\DRIVERS\gtstusbser.sys [?]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [02.04.2007 20:13 17152]
S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [18.01.2005 20:39 65536]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.ask.com?o=14772&l=dis
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uWindow Title = Hacked by NAME-DDD84CA5B0
uInternet Connection Wizard,ShellNext = hxxp://www.yakumo.de/
uSearchURL,(Default) = hxxp://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\X\Anwendungsdaten\Mozilla\Firefox\Profiles\7ghx861v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=13090
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Tradesignal Web Edition: {1acd747e-8470-11db-96a9-00e08161165f} - %profile%\extensions\{1acd747e-8470-11db-96a9-00e08161165f}
FF - Ext: EPUBReader: {5384767E-00D9-40E9-B72F-9CC39D655D6F} - %profile%\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-ISUSPM Startup - c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe
HKLM-Run-RealTray - c:\programme\Real\RealPlayer\RealPlay.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-HijackThis - e:\install\anti\HijackThis.exe
AddRemove-Works2004Setup - c:\programme\Microsoft Works Suite 2004\Setup\Launcher.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-14 17:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3984)
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\AGRSMMSG.exe
c:\windows\SOUNDMAN.EXE
c:\windows\System32\WScript.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-14  17:34:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-01-14 16:33

Vor Suchlauf: 12 Verzeichnis(se), 25.690.017.792 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 27.138.400.256 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 9465FD31E55AD73F88653EFAE5AEE12C

svchost.exe lastet computer aus und...

Log-Analyse und Auswertung: svchost.exe lastet computer aus und...

svchost.exe lastet computer aus und...

Ähnliche Themen: svchost.exe lastet computer aus und...