| turningdog | 08.04.2012 14:53 |
Hallo,
sry für meine lange abstinenz. Im abgesicherten Modus hats tatsächlich funktioniert mit ComboFix. Ich muss aber dazu sagen, trotz deaktiviertem AntiVir kam eine Meldung, dass noch Echtzeitscanner laufen würden.
Hier jedenfalls mal das Log: Code:
ComboFix 12-04-06.03 - Mitarbeiterinnen 06.04.2012 15:03:19.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2037.1565 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\$NtUninstallKB64535$
c:\windows\$NtUninstallKB64535$\1688739603
c:\windows\$NtUninstallKB64535$\304016905\@
c:\windows\$NtUninstallKB64535$\304016905\cfg.ini
c:\windows\$NtUninstallKB64535$\304016905\Desktop.ini
c:\windows\$NtUninstallKB64535$\304016905\L\epaqrqou
c:\windows\system32\dds_trash_log.cmd
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\SET56.tmp
c:\windows\system32\SET5A.tmp
c:\windows\system32\SET5B.tmp
c:\windows\system32\SET62.tmp
.
c:\windows\system32\drivers\Serial.sys fehlte
Kopie von - c:\system volume information\_restore{DBEF6E60-C5C5-47E2-8E78-49320D8CFCDD}\RP250\A0106105.sys wurde wiederhergestellt
.
c:\windows\system32\drivers\i8042prt.sys . . . fehlt!!
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-06 bis 2012-04-06 ))))))))))))))))))))))))))))))
.
.
2012-04-07 01:21 . 2012-04-07 01:21 -------- d-----w- C:\_OTL
2012-04-06 13:18 . 2008-04-14 12:00 65536 -c--a-w- c:\windows\system32\dllcache\serial.sys
2012-04-06 13:18 . 2008-04-14 12:00 65536 ----a-w- c:\windows\system32\drivers\Serial.sys
2012-04-06 12:50 . 2012-04-06 12:50 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira
2012-04-04 23:12 . 2012-01-31 06:56 74640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-04-04 23:12 . 2012-01-31 06:56 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-04-04 23:12 . 2011-09-16 14:08 36000 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-04-04 23:12 . 2012-04-04 23:12 -------- d-----w- c:\programme\Avira
2012-04-04 23:12 . 2012-04-04 23:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2012-04-04 09:43 . 2012-04-04 10:17 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-04-03 16:35 . 2012-04-03 16:35 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2012-03-29 12:39 . 2012-03-29 12:39 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2012-03-27 07:53 . 2012-03-27 07:53 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\PrivacIE
2012-03-27 02:18 . 2012-03-27 02:18 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-26 21:06 . 2012-03-27 07:52 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2012-03-26 21:05 . 2012-03-26 21:05 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2012-03-26 20:49 . 2012-03-26 20:49 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2012-03-19 10:24 . 2012-03-19 10:24 592824 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-19 10:24 . 2012-03-19 10:24 44472 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-06 19:28 . 2012-04-06 19:28 484331 ----a-w- C:\_OTL.zip
2012-02-03 09:56 . 2008-04-25 09:46 1869312 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:06 . 2012-02-15 12:11 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2008-04-25 14:56 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-19 10:24 . 2011-03-22 15:00 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
2010-08-04 13:59 . 2010-06-12 19:13 119808 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2008-07-16 1044480]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-16 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-16 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-16 141848]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2009-02-04 128232]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-08-04 30192]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2009-02-10 745472]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-10-30 77824]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-01-31 258512]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\xampp\\mysql\\bin\\mysqld.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
.
R0 SFAUDIO;Sonic Focus DSP Driver;c:\windows\system32\drivers\sfaudio.sys [10.06.2009 19:46 24064]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [05.04.2012 01:12 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [05.04.2012 01:12 86224]
R2 BBSvc;Bing Bar Update Service;c:\programme\Microsoft\BingBar\BBSvc.EXE [21.10.2011 16:23 196176]
R2 BBUpdate;BBUpdate;c:\programme\Microsoft\BingBar\SeaPort.EXE [13.10.2011 18:21 249648]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [09.10.2007 13:13 38144]
R3 k57w2k;Broadcom NetLink (TM) Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [10.06.2009 19:46 176640]
S2 gupdate1c9fe742702f91c;Google Update Service (gupdate1c9fe742702f91c);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2009 21:58 133104]
S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [12.06.2010 21:13 30192]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.07.2009 21:58 133104]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\system32\drivers\wg111v3.sys [28.12.2007 15:02 287232]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
IJPLMSVC
kservice
KS0108
LVCap138
remoterecord
ddxgb
server
oracle_load_balancer_60_server-forms6ip9
ipodsrv
risdptsk
smservaz
tangoservice
AMDPCI
vpcvmm
mssqlserveradhelper
portmapper
PciBus
ivscheduler
.
Inhalt des "geplante Tasks" Ordners
.
2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-09-09 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-06 20:47]
.
2012-03-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cd0b8ef6535872.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-06 19:58]
.
2010-01-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-06 19:58]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{A749DD10-C267-46C3-8F88-5FEF3188A1DA}: NameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\
FF - prefs.js: browser.startup.homepage - file:///C:/Dokumente%20und%20Einstellungen/Mitarbeiterinnen/Eigene%20Dateien/Verwaltung/Sonstiges/System/bwb-menu.htm
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-06 15:29
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\dokume~1\MITARB~1\LOKALE~1\Temp\~DF6A86.tmp 16384 bytes
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\parent.lock
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\places.sqlite-shm
c:\dokumente und einstellungen\Mitarbeiterinnen\Anwendungsdaten\Mozilla\Firefox\Profiles\tozkhtj5.default\places.sqlite-wal
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 4
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,93,e1,8f,82,81,10,10,49,93,c7,9e,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,93,e1,8f,82,81,10,10,49,93,c7,9e,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3968)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Google\Update\1.3.21.111\GoogleCrashHandler.exe
c:\windows\system32\SearchIndexer.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\programme\Brother\ControlCenter3\brccMCtl.exe
c:\programme\Brother\Brmfcmon\BrMfcmon.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-04-06 15:36:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-04-06 13:36
.
Vor Suchlauf: 14 Verzeichnis(se), 97.032.343.552 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 98.071.433.216 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 0750CC4E53D02BAF58819D88F4262D93
lg
edit: und seit dem combofix-durchlauf geht die rechte Maustaste wieder ganz normal... |
