gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

markusg · 28.01.2011, 20:03

schaun wir mal
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ansto · 28.01.2011, 21:35

Hier der ComboFix-Log. Zu Beginn des Scans öfnnete sich ein Fenster mit einer Warnung dass ComboFix Rootkit-Aktivitäten entdeckt hätte und ich deshalb den PC neustarten müsste. Das habe ich dann auch getan (auch wenn das in der Anleitung nicht vorkam).

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-28.01 - v** 28.01.2011  21:20:40.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.371 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\v**\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-28 bis 2011-01-28  ))))))))))))))))))))))))))))))
.

2011-01-26 20:07 . 2011-01-26 20:07	--------	d-----w-	c:\programme\VideoLAN
2011-01-23 16:33 . 2011-01-23 16:33	--------	d-----w-	c:\dokumente und einstellungen\g****\Anwendungsdaten\Malwarebytes
2011-01-08 11:16 . 2011-01-08 11:16	--------	d-----w-	c:\dokumente und einstellungen\v**\Anwendungsdaten\EAC
2011-01-08 11:16 . 2011-01-08 11:16	--------	d-----w-	c:\programme\Exact Audio Copy
2011-01-01 17:08 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2011-01-01 17:08 . 2008-04-14 06:52	159232	----a-w-	c:\windows\system32\ptpusd.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-12-11 14:46	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-12-11 14:46	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-18 12:11 . 2010-12-18 12:11	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-18 18:12 . 2010-12-11 10:25	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:51 . 2003-04-02 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2003-04-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2003-04-02 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2003-04-02 12:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2010-12-11 11:03	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2003-04-02 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXBYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll" [2004-09-10 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\verwaltung\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2010-5-28 911920]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxbycoms.exe"=

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [28.05.2010 12:04 14896]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: microsoft.com\update
Trusted Zone: secunia.com\psi
Trusted Zone: windowsupdate.com
Trusted Zone: windowsupdate.com\download
FF - ProfilePath - c:\dokumente und einstellungen\v**\Anwendungsdaten\Mozilla\Firefox\Profiles\p0cq5uzq.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-28 21:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  LXBYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-01-28  21:28:18
ComboFix-quarantined-files.txt  2011-01-28 20:28

Vor Suchlauf: 5 Verzeichnis(se), 20.947.316.736 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 20.915.380.224 Bytes frei

- - End Of File - - 64884915E9E9CC163BCB695AD81A0D18

--- --- ---

gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

Plagegeister aller Art und deren Bekämpfung: gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich

Ähnliche Themen: gehackte Website aufgerufen - MBAM ok, OTL-Log nicht möglich