|
Log-Analyse und Auswertung: Windows XP Recovery, habe ich alles richtig gemacht?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.05.2011, 10:22 | #1 |
| Windows XP Recovery, habe ich alles richtig gemacht? Hi Leute, ich hab mir gestern im vorbeigehen einen Trojaner eingefangen und wüsste gerne, ob ich ihn erfolgreich und vollständig entfernt habe. Mein Problem wird ziemlich genau in http://www.trojaner-board.de/99082-w...entfernen.html beschrieben, ich habe die dortige Anleitung auch schon abgearbeitet. Log Files hänge ich an. Erst kam ein Warnung von meinem Antivir Antivir - Meldung: Funde ldl8153.tmp TR/ATRAPS.Gen2 52732.sys TR/Crypt.ZPACK.Gen Ich habe die Dateien in Quarantäne verschieben lassen. Da ich wissen wollte, ob die aktuelle Seite Grund für den Alarm ist habe ich die Seite aktualisiert, dann kam von Antivir die selbe Meldung, ich habe die Dateien wieder in Quarantäne verschoben und den Betreiber der Internetseite informiert. Danach kamen ein paar Fake Meldungen der Art Hard Drive Failure The system has detected a problem with one or more installed IDE / SATA hard disks. It is recommended that you restart the system. Ich habe dann das System neu gestartet, war vermutlich ein Fehler. Danach war mein Desktop Hintergund schwarz, alle Icons verschwunden, rechtsklick auf dem Desktop war nicht mehr möglich, die meisten Elemente im Startmenü waren verschwunden und das Windows XP Recovery Tool und das Programm "Critical Error" (roter Kreis, weißes Kreuz siehe http://www.trojaner-board.de/99082-w...entfernen.html) wurde gestartet. Ich habe dort nichts angeklickt sondern ich habe Windows dann neu gestartet und im abgesicherten Modus hochgefahren. Über msconfig konnte ich herausfinden, dass sich per Registry folgendes Programm eingeschlichen hat Einträge in msconfig Systemstartelement: fJhJIqofiBapKso Befehl: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fJhJIqofiBapKso.exe Pfad: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Unter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten konnte ich dann folgende Dateien entdecken, welche frisch entstanden sind, ich vermute über den Besuch der Internetseite. fJhJIqofiBapKso.exe 18538276.exe 18538276 ~18538276r ~18538276 Ich habe die Dateien in ein rar Archiv gepackt und gelöscht. Auf Wunsch kann ich die Programme ausliefern. Meine vermutete Quelle (Internetseite) kann ich auf Anfrage auch gerne liefern Danach habe ich Windows neu gestartet und die Registry durchsucht, einige der gelisteten Einträge habe ich gelöscht. Danach habe ich die Progrmmae rkill, Malwarebytes, TDSS, OLT und unhide ausgeführt. Einige Probleme wurden gemeldet, konnten aber scheinbar behoben werden, siehe Log Files. Die letzten Suchläufe habe ich mit deaktiviertem Antivir gemacht. Folgende Symptome - zahlreiche Ordner (Desktop, Anwendungsdaten, Eigene Dateien, Symbolleiste) waren verschwunden, sind wieder sichtbar - Einträge im Startmenü waren weg, die Ordner sind wieder da, aber die ganzen Verknüpfungen zu den Programmen fehlen noch, wie bekomme ich die wieder? - strg+alt+entf -> Task Manager konnte nicht ausgewählt werden, ist wieder sichtbar - schwarzer Desktop Hintergund -> habe wieder den normalen Hintergrund - mein Stickis Programm hat gemeckert dass es in C:\Dokumente und Einstellungen\user\Anwendungsdaten\stickies\stickis.ini nicht schreiben kann, ich habe die Schreibschutz- und Hiddenflags in Anwendungsdaten enftfernt geht jetzt wieder - Ähnlich zu Stickies hat auch Firefox gemeckert (tinyhtml addon) geht aber auch wieder - Ich hatte z.B. MultiMon auf Autostart, dieses wird nicht mehr automatisch ausgeführt Muss ich sonst noch etwas machen oder beachten? Bekomme ich irgendwie mein Startmenü wieder? Habe ich eventuell noch einen versteckten Trojaner irgendwo? Vielen Dank schonmal im Vorraus |
19.05.2011, 14:56 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht?Zitat:
__________________ |
19.05.2011, 15:06 | #3 |
| Windows XP Recovery, habe ich alles richtig gemacht? Ja da war ich mir nicht sicher, aber ist Bestandteil von den PHP 5.3 Sourcen ausm SVN da ich es nicht brauchte lieber weg damit
__________________Weißt du denn wie ich mein Startmenü retten kann oder ob sonst noch was zu beachten ist? |
19.05.2011, 15:16 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht? Evtl. mit unhide: Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
19.05.2011, 15:25 | #5 |
| Windows XP Recovery, habe ich alles richtig gemacht? Danke für deine schnelle Antwort. unhide habe ich bereits ausgeführt. Danach sind die Ordner im Startmenü wieder aufgetaucht aber die Verknüpfungen zu den Anwendungen sind immer noch weg |
19.05.2011, 15:27 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht? Hast durch irgendwas den Tempordner geleert? Manche Schädlingsvarianten verschieben den Inahtldes Startmenüs nach %tmp%\smtmp
__________________ --> Windows XP Recovery, habe ich alles richtig gemacht? |
19.05.2011, 15:35 | #7 |
| Windows XP Recovery, habe ich alles richtig gemacht? Haha vielen Dank, da habe ich die Startmenüeinträge gefunden. Muss ich denn Sorgen haben dass noch irgendwo ein Trojaner oder ähnliches versteckt ist oder sonst was fehlt was ich derzeit noch nicht entdeckt habe? Ist der erste Virus/Trojaner den ich mir in den letzten 10 Jahren eingefangen habe ... |
19.05.2011, 15:52 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht? Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL FF - prefs.js..network.proxy.ftp: "127.0.0.1" FF - prefs.js..network.proxy.ftp_port: 8888 FF - prefs.js..network.proxy.gopher: "127.0.0.1" FF - prefs.js..network.proxy.gopher_port: 8888 FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 8888 FF - prefs.js..network.proxy.no_proxies_on: "localhost,127.0.0.1" FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "127.0.0.1" FF - prefs.js..network.proxy.socks_port: 8888 FF - prefs.js..network.proxy.ssl: "127.0.0.1" FF - prefs.js..network.proxy.ssl_port: 8888 FF - prefs.js..network.proxy.type: 0 O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.02.07 16:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{24986436-053d-11dd-aa3a-0018f3f47e7a}\Shell\AutoRun\command - "" = H:\setupSNK.exe O33 - MountPoints2\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\Shell\AutoRun\command - "" = H:\Menu.exe [2011.05.19 09:59:57 | 000,000,472 | ---- | M] () -- C:\WINDOWS\tasks\SDMsgUpdate (TE).job @Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1955FF3 :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.05.2011, 15:59 | #9 |
| Windows XP Recovery, habe ich alles richtig gemacht? Okay habe ich gemacht, was hat er jetzt gelöscht? Mount Points und meine Host Datei? ========== OTL ========== Prefs.js: "127.0.0.1" removed from network.proxy.ftp Prefs.js: 8888 removed from network.proxy.ftp_port Prefs.js: "127.0.0.1" removed from network.proxy.gopher Prefs.js: 8888 removed from network.proxy.gopher_port Prefs.js: "127.0.0.1" removed from network.proxy.http Prefs.js: 8888 removed from network.proxy.http_port Prefs.js: "localhost,127.0.0.1" removed from network.proxy.no_proxies_on Prefs.js: true removed from network.proxy.share_proxy_settings Prefs.js: "127.0.0.1" removed from network.proxy.socks Prefs.js: 8888 removed from network.proxy.socks_port Prefs.js: "127.0.0.1" removed from network.proxy.ssl Prefs.js: 8888 removed from network.proxy.ssl_port Prefs.js: 0 removed from network.proxy.type HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{24986436-053d-11dd-aa3a-0018f3f47e7a}\ not found. File H:\setupSNK.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bcdc23ae-072a-11df-abfe-0018f3f47e7a}\ not found. File H:\Menu.exe not found. C:\WINDOWS\tasks\SDMsgUpdate (TE).job moved successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E1955FF3 deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.22.3 log created on 05192011_165805 |
19.05.2011, 18:45 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht?Zitat:
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.05.2011, 08:15 | #11 |
| Windows XP Recovery, habe ich alles richtig gemacht? Hi, hatte das Tool schonmal ausgeführt (siehe oben), er meldet jetzt das selbe wie damals, Infection not found, mehr nicht. Er meldet lediglich eine gesperrte Datei die hab ich aber mal mit unlocker freigegeben und dann findet er auch nichtsDie gesperrte Datei ist diese hier Service name: sptd Service type: Kernel driver (0x1) Service start: Boot(0x0) File: C:\WINDOWS\system32\Drivers\sptd.sys MD5: cdddec541bc3c96f91ecb48759673505 Wenn ich nach dem Scan auf report klicke kommt allerdings Auf das Dokument C:\TDSSKI~2.TXT kann nicht zugegriffen werden, da es von einer anderen Anwendung verwendet wird |
20.05.2011, 09:38 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht? Die Datei kannste ignorieren, die ist ok. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.05.2011, 09:41 | #13 |
| Windows XP Recovery, habe ich alles richtig gemacht? Ich kann den Leitfaden zu ComboFix nicht öffnen. Mal interessehalber: Was macht den Einsatz von Combofix so riskant und wann kann man es einsetzen? Ich will mir den Rechner nicht zerstören. |
20.05.2011, 09:53 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows XP Recovery, habe ich alles richtig gemacht? Dann wende CF einfach nur wie in meiner Anleitung an. Wird schon schiefegehen
__________________ Logfiles bitte immer in CODE-Tags posten |
20.05.2011, 10:45 | #15 |
| Windows XP Recovery, habe ich alles richtig gemacht? Okay ging recht flott Combofix Logfile: Code:
ATTFilter ComboFix 11-05-19.01 - sebastian 20.05.2011 11:34:57.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2014.1480 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\sebastian\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Outdated* {B02B524A-0C22-45DD-A6D1-70C7010CE58E} FW: ActiveArmor Firewall *Disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D} * Neuer Wiederherstellungspunkt wurde erstellt . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dieseltest\Dieseltest.exe c:\dokumente und einstellungen\sebastian\System c:\dokumente und einstellungen\sebastian\System\win_qs8.jqx c:\dokumente und einstellungen\sebastian\WINDOWS . . ((((((((((((((((((((((( Dateien erstellt von 2011-04-20 bis 2011-05-20 )))))))))))))))))))))))))))))) . . 2011-05-19 14:58 . 2011-05-19 14:58 -------- d-----w- C:\_OTL 2011-05-18 15:55 . 2011-05-18 15:55 -------- d-----w- c:\dokumente und einstellungen\sebastian\Anwendungsdaten\Malwarebytes 2011-05-18 15:55 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-05-18 15:55 . 2011-05-18 15:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-05-18 15:55 . 2011-05-18 15:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-05-18 15:55 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-05-18 11:14 . 2004-08-04 12:00 4224 ----a-w- c:\windows\system32\beep.sys 2011-05-17 07:46 . 2011-05-17 07:46 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-04-27 15:12 . 2011-04-27 15:12 2832544 ----a-w- C:\install_flash_player.exe 2011-04-27 08:06 . 2011-04-27 08:14 -------- d-----w- C:\backup_magento 2011-04-21 07:23 . 2011-04-21 07:23 -------- d-----w- c:\dokumente und einstellungen\sebastian\.eclipse 2011-04-21 07:18 . 2011-04-21 07:18 -------- d-----w- c:\dokumente und einstellungen\sebastian\.ZendStudio 2011-04-21 07:17 . 2011-04-21 07:17 -------- d-----w- c:\dokumente und einstellungen\sebastian\Zend . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-03-16 10:26 . 2009-03-19 08:28 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys 2011-03-07 05:33 . 2007-02-07 14:24 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-03-04 06:36 . 2004-08-04 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll 2011-03-03 13:53 . 2004-08-04 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys 2011-02-22 23:05 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2011-02-22 23:05 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2011-02-22 23:05 . 2004-08-04 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 2011-02-22 11:41 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal] @="{C5994560-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified] @="{C5994561-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict] @="{C5994562-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked] @="{C5994563-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly] @="{C5994564-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted] @="{C5994565-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded] @="{C5994566-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored] @="{C5994567-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned] @="{C5994568-53D9-4125-87C9-F193FC689CB2}" [HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}] 2010-04-23 17:50 66312 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 68856] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 270336] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-24 7311360] "nwiz"="nwiz.exe" [2006-01-24 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-24 86016] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696] "UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-15 281768] "ZSSnp211"="c:\windows\ZSSnp211.exe" [2007-04-06 57344] "Domino"="c:\windows\Domino.exe" [2006-08-18 49152] "TortoiseHgOverlayIconServer"="c:\programme\TortoiseHg\TortoiseHgOverlayServer.exe" [2010-11-16 43424] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-10-29 249064] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\sebastian\Startmen\Programme\Autostart\ netzlaufwerke.bat [2011-5-6 1179] Stickies.lnk - c:\programme\stickies\stickies.exe [2007-3-9 700416] Verknpfung mit MultiMon.lnk - c:\programme\MMTaskbar\MultiMon.exe [2009-6-15 294912] Verknpfung mit SwyxIt!.lnk - c:\programme\SwyxIt!\SwyxIt!.exe [2009-2-13 1402672] . c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] MultiMon Taskbar.lnk - c:\programme\MMTaskbar\MultiMon.exe [2009-6-15 294912] SwyxIt!.lnk - c:\programme\SwyxIt!\SwyxIt!.exe [2009-2-13 1402672] Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904] . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-10-15 00:04 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2010-04-01 09:16 357696 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] 2008-09-03 06:42 133104 ----atw- c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2007-08-15 18:15 271672 ----a-w- c:\programme\iTunes\iTunesHelper.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2008-05-27 08:50 413696 ----a-w- c:\programme\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2007-06-19 07:03 68856 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMware hqtray] 2008-09-18 21:05 64048 ----a-w- c:\programme\VMware\VMware Player\hqtray.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wampmysqld"=3 (0x3) "wampapache"=3 (0x3) "iPod Service"=3 (0x3) "VMware NAT Service"=2 (0x2) "VMnetDHCP"=2 (0x2) "VMAuthdService"=2 (0x2) "ose"=3 (0x3) "odserv"=3 (0x3) "JavaQuickStarterService"=2 (0x2) "Irmon"=2 (0x2) "helpsvc"=2 (0x2) "gupdate"=2 (0x2) "gusvc"=3 (0x3) "Bonjour Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\VMware\\VMware Player\\vmware-authd.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\HP\\HP Color LaserJet CM2320 MFP Series\\hppfsu_cm2320.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Opera\\opera.exe"= "c:\\Programme\\SwyxIt!\\CLMgr.exe"= "c:\\Programme\\NetMeeting\\conf.exe"= "c:\\Programme\\MirandaFusion\\miranda32.exe"= "c:\\Programme\\MirandaFusion\\fusiontools\\updater.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung . R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.12.2009 12:34 691696] R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [20.11.2009 18:08 116560] R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [20.11.2009 18:08 41424] R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [19.03.2009 10:28 339624] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 10:28 136360] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [19.03.2009 10:28 421032] R2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [18.09.2008 23:06 54960] R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [20.11.2009 18:08 95568] R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [10.11.2009 15:53 104016] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384] S3 ElsaCapiCtl;ELSA CAPI Control;c:\windows\system32\rcapi.exe [06.12.2000 15:17 172032] S3 ElsaCapiDrv;ELSA CAPI Driver;c:\windows\system32\drivers\rcapi.sys [06.12.2000 10:09 244224] S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 00:10 135664] S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?] S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [04.08.2004 14:00 14336] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504] S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [11.08.2010 00:10 135664] . --- Andere Dienste/Treiber im Speicher --- . *Deregistered* - klmd25 . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc WINRM REG_MULTI_SZ WINRM . Inhalt des "geplante Tasks" Ordners . 2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-08-10 22:10] . 2011-05-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-08-10 22:10] . 2011-05-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4167904640-169653539-2607701351-1005Core.job - c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:42] . 2011-05-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4167904640-169653539-2607701351-1005UA.job - c:\dokumente und einstellungen\sebastian\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 06:42] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://tool.***.de/index/index.php uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Settings,ProxyServer = 192.168.2.200:8080 uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html IE: Markierte Rufnummer/URI wählen - c:\programme\SwyxIt!\IEDial.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Zend Studio - Debug current page - c:\programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugCurrent.html IE: Zend Studio - Debug next page - c:\programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugNext.html IE: {{F8E553C6-4C00-11D3-80BC-00105A653379} - c:\programme\SwyxIt!\IEDial.htm LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll LSP: c:\programme\VMware\VMware Player\vsocklib.dll FF - ProfilePath - c:\dokumente und einstellungen\sebastian\Anwendungsdaten\Mozilla\Firefox\Profiles\28qn4m48.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://sd.eldev.de.beta.prod-***.de/index/view.php FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com FF - Ext: InspectThis: inspectthis@mackay.dyndns.info - %profile%\extensions\inspectthis@mackay.dyndns.info FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} FF - Ext: Live HTTP Headers: {8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} - %profile%\extensions\{8f8fe09b-0bd3-4470-bc1b-8cad42b8203a} FF - Ext: Web Developer: {c45c406e-ab73-11d8-be73-000a95be3b12} - %profile%\extensions\{c45c406e-ab73-11d8-be73-000a95be3b12} FF - Ext: DOM Inspector: inspector@mozilla.org - %profile%\extensions\inspector@mozilla.org FF - Ext: YSlow: yslow@yahoo-inc.com - %profile%\extensions\yslow@yahoo-inc.com FF - Ext: FireShot: {0b457cAA-602d-484a-8fe7-c1d894a011ba} - %profile%\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba} FF - Ext: Html Validator: {3b56bcc7-54e5-44a2-9b44-66c3ef58c13e} - %profile%\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e} FF - Ext: CodeBurner for Firebug: firebug@tools.sitepoint.com - %profile%\extensions\firebug@tools.sitepoint.com FF - Ext: Sxipper: sxipper@sxip.com - %profile%\extensions\sxipper@sxip.com FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3} FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Ext: Page Speed: {e3f6c2cc-d8db-498c-af6c-499fb211db97} - %profile%\extensions\{e3f6c2cc-d8db-498c-af6c-499fb211db97} FF - Ext: HTTPS-Everywhere: https-everywhere@eff.org - %profile%\extensions\https-everywhere@eff.org FF - Ext: User Agent Switcher: {e968fc70-8f95-4ab9-9e79-304de2a71ee1} - %profile%\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} FF - Ext: SearchStatus: {d57c9ff1-6389-48fc-b770-f78bd89b6e8a} - %profile%\extensions\{d57c9ff1-6389-48fc-b770-f78bd89b6e8a} FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff FF - Ext: FiddlerHook: fiddlerhook@fiddler2.com - c:\programme\Fiddler2\FiddlerHook FF - Ext: Zend Studio Toolbar: {3c9761ad-a43d-4447-b924-f5d83cb48063} - c:\programme\Zend\Zend Studio - 8.0.0\toolbars\firefox . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file) HKCU-Run-IBP - (no file) Notify-ssqqpmk - ssqqpmk.dll Notify-winpdc32 - winpdc32.dll MSConfigStartUp-CTDrive - c:\windows\system32\drvras.dll MSConfigStartUp-InternetPal - c:\programme\BySoft InternetPal\InternetPal.exe AddRemove-Panda ActiveScan - c:\windows\system32\ASUninst.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2011-05-20 11:42 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'lsass.exe'(1284) c:\programme\Avira\AntiVir Desktop\avsda.dll . Zeit der Fertigstellung: 2011-05-20 11:44:36 ComboFix-quarantined-files.txt 2011-05-20 09:44 . Vor Suchlauf: 14 Verzeichnis(se), 91.266.252.800 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 93.789.159.424 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer . - - End Of File - - 328D7C44B302426DB7C93C1C1A4B8310 |
Themen zu Windows XP Recovery, habe ich alles richtig gemacht? |
antivir, dateien, desktop, detected, einstellungen, error, fake, firefox, frage, log, malwarebytes, microsoft, neu, ordner, problem, programm, programme, registry, schwarzer desktop, software, system, system neu, tdss, trojaner, trojaner eingefangen, warnung, windows, windows xp |