| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Security Suite entfernen - ComboFix-AuswertungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.02.2011, 04:34
| #1 |
 |  Security Suite entfernen - ComboFix-Auswertung Liebe Leute, als erstes vielen Dank für die hervoragende Arbeit im Forum. Ich beobachte das Geschehen schon eine lange Zeit und habe schon so manchen Tipp mitgenommen. Seit langem hat es mich mal wieder schwerer erwischt: Ich hatte das Problem wie hier beschrieben: http://www.trojaner-board.de/89370-s...entfernen.html Dann bin ich auch nach Anleitung vorgegangen. Es hat nix geholfen. Alle empfohlenen Programme und Prozeduren haben nichts erreicht (Malwarebyte's Anti Malware, OTH, TDSS cleaner, rkill, SpywareDoctor, SUPERAntiSpyware u.s.w.). Irgendwann nach einer gefühlten Ewigkeit (ca. 7 Stunden) bin ich auf ein Posting gestoßen, was dann quasi meine letzte Hoffnung war: hxxp://www.hijackthis-forum.de/archiv/40717-your-system-infected-virus-hilfe.html Da steht nun was von combofix bei bleepingcomputer.com. Das habe ich nach Anleitung auf eigene Faust durchgezogen. Da mein Rechner, wie gesagt, stark verseucht war und ich keine weiteren Risiken eingehen wollte und im normalen Profil sowieso fast nichts mehr ging, habe ich alles vom abgesicherten Modus aus angeschoben. Jetzt sieht es so aus, als wäre alles wieder ok. Deshalb hier das log-file: BEGINN##################################Combofix Logfile: Code:
ATTFilter ComboFix 11-02-24.02 - Mustermann 25.02.2011 2:49.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.503.377 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Mustermann\Desktop\ComboFix.exe
AV: Sophos Anti-Virus *Enabled/Updated* {3F13C776-3CBE-4DE9-8BF6-09E5183CA2BD}
.
((((((((((((((((((((((( Dateien erstellt von 2011-01-25 bis 2011-02-25 ))))))))))))))))))))))))))))))
.
2011-02-25 01:11 . 2009-11-10 09:28 149456 ----a-w- c:\windows\SGDetectionTool.dll
2011-02-25 01:11 . 2009-11-10 09:26 767952 ----a-w- c:\windows\BDTSupport.dll
2011-02-25 01:11 . 2009-11-10 09:28 165840 ----a-w- c:\windows\PCTBDRes.dll
2011-02-25 01:11 . 2009-11-10 09:28 1640400 ----a-w- c:\windows\PCTBDCore.dll
2011-02-25 01:10 . 2010-02-05 08:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2011-02-25 01:10 . 2009-10-06 15:31 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2011-02-25 01:10 . 2009-09-23 15:10 207280 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2011-02-25 01:09 . 2010-02-05 08:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2011-02-25 01:09 . 2011-02-25 01:12 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 01:09 -------- d-----w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\PC Tools
2011-02-25 01:09 . 2011-02-25 02:04 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2011-02-25 00:18 . 2011-02-25 00:18 -------- d-----w- c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-25 00:18 . 2011-02-25 00:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-02-24 20:14 . 2011-02-25 00:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\mKlJeDa06504
2011-02-04 09:23 . 2011-02-04 09:13 131824 ----a-w- c:\windows\system32\sdccoinstaller.dll
2011-02-04 09:22 . 2011-02-04 09:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sophos Web Intelligence
2011-02-04 09:21 . 2011-02-04 09:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Cisco Systems
2011-02-04 09:20 . 2011-02-04 09:13 28912 ----a-w- c:\windows\system32\SophosBootTasks.exe
2011-02-04 09:13 . 2011-02-04 09:13 23928 ----a-w- c:\windows\system32\drivers\sdcfilter.sys
2011-01-30 13:57 . 2011-01-30 13:57 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-01-30 13:57 . 2011-01-30 13:57 103864 ----a-w- c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-04 09:13 . 2006-11-29 10:37 24064 ----a-w- c:\windows\system32\drivers\savonaccessfilter.sys
2011-02-04 09:13 . 2006-11-29 10:37 153344 ----a-w- c:\windows\system32\drivers\savonaccesscontrol.sys
2011-01-21 14:44 . 2002-08-29 12:00 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2002-08-29 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2002-08-29 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2002-08-29 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2002-08-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2002-08-29 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2002-08-29 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2002-08-29 12:00 737792 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 17:09 . 2010-10-20 07:01 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-10-20 07:01 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-20 12:55 . 2006-11-29 09:47 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2002-08-29 12:00 743936 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:13 . 2002-08-29 12:00 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2002-08-29 03:41 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2002-08-29 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"NBJ"="d:\programme_2\Ahead\Nero BackItUp\nbj.exe" [2006-09-15 2048000]
"updateMgr"="d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="d:\programme_2\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-02-18 2423752]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-10-28 198160]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Acrobat Assistant 7.0"="d:\programme_2\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="d:\programme_2\QuickTime\QTTask.exe" [2010-03-17 421888]
"Adobe Reader Speed Launcher"="d:\programme_2\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Sophos AutoUpdate Monitor"="c:\programme\Sophos\AutoUpdate\almon.exe" [2011-02-04 439536]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2010-2-18 25214]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
OKI LPR Utility.lnk - c:\programme\Okidata\OKI LPR Utility\okilpr.exe [2008-1-8 151552]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\programme_2\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Taskman"=""
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [25.02.2011 02:10 207280]
R1 SASDIFSV;SASDIFSV;d:\programme_2\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 19:25 12872]
R1 SASKUTIL;SASKUTIL;d:\programme_2\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 19:41 67656]
R1 SAVOnAccessControl;SAVOnAccessControl;c:\windows\system32\drivers\savonaccesscontrol.sys [29.11.2006 11:37 153344]
R1 SAVOnAccessFilter;SAVOnAccessFilter;c:\windows\system32\drivers\savonaccessfilter.sys [29.11.2006 11:37 24064]
R2 Browser Defender Update Service;Browser Defender Update Service;d:\programme_2\Spyware Doctor\BDT\BDTUpdateService.exe [25.02.2011 02:11 112592]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe [04.02.2011 10:13 163056]
R2 SAVService;Sophos Anti-Virus;c:\programme\Sophos\Sophos Anti-Virus\SavService.exe [04.02.2011 10:13 97520]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\Mustermann\LOKALE~1\Temp\000004d5.nmc\nse\bin\ndiskio.sys [?]
S3 sdcfilter;sdcfilter;c:\windows\system32\drivers\sdcfilter.sys [04.02.2011 10:13 23928]
S4 SophosBootDriver;SophosBootDriver;c:\windows\system32\drivers\SophosBootDriver.sys [02.10.2008 08:38 14976]
.
Inhalt des "geplante Tasks" Ordners
2011-02-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2011-02-25 c:\windows\Tasks\User_Feed_Synchronization-{ED772B8A-90FA-4845-B169-034681B6017E}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.tu-clausthal.de/Welcome.php.de
uInternet Connection Wizard,ShellNext = iexplore
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme_2\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
TCP: {2E691B91-6470-4169-97DB-EF382D77A35D} = 139.174.2.5,139.174.2.6
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\28vsmkpa.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\programme\real\browserrecord\firefox\ext
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
.
.
------- Dateityp-Verknüpfung -------
.
.scr=AutoCADScriptFile
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
BHO-{EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - d:\programme_2\RegTweaker\key.dll
HKCU-Run-Getdo - (no file)
HKLM-Run-Corel Reminder - (no file)
AddRemove-ElsterFormular 11.4.1.4323 - h:\roboter\C_Programme\Neue_Programme\uninstall.exe
AddRemove-Teamspeak 2 RC2_is1 - g:\teamspeak2_rc2\unins000.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-02-25 03:06
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(568)
d:\programme_2\SUPERAntiSpyware\SASWINLO.DLL
- - - - - - - > 'lsass.exe'(624)
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
- - - - - - - > 'explorer.exe'(2588)
c:\programme\Logitech\MouseWare\System\LgWndHk.dll
c:\programme\Gemeinsame Dateien\Logitech\Scrolling\LgMsgHk.dll
c:\windows\system32\webcheck.dll
c:\programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\Sophos\AutoUpdate\ALsvc.exe
c:\programme\Sophos\Sophos Anti-Virus\Web Intelligence\swi_service.exe
c:\programme\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-25 03:24:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-25 02:24
Vor Suchlauf: 496.738.304 Bytes frei
Nach Suchlauf: 987.848.704 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - AA006116AFD58359B3F0B4E1356A8F08
ENDE################################### Ich bitte Euch um Hilfe, das log-file auszuwerten. Kann man entnehmen, dass mein System wieder geheilt ist? Und noch ein Nachsatz: Ich habe, als die Seuche erstmals auftrat, sofort den Stecker gezogen, um zu verhindern, dass sich noch massig viel selbst installiert. Dabei habe ich auch meine externe Platte abgeklemmt und noch nicht wieder drangehängt. Was sollte ich diesbezüglich tun? Vielen Dank schonmal im Vorraus. |
| Themen zu Security Suite entfernen - ComboFix-Auswertung |
| adblock, browser, combofix, combofix auswertung, combofix log-file, defender, externe platte, problem, scan, security, security suite entfernen, superantispyware, u.s.w., windows, windows recovery, winlogon.exe |
Baum-Darstellung