| fresh569 | 07.02.2009 17:04 |
Soo, alles abgearbeitet!
ComboFix wollte dass ich die Wiederherstellungskonsole von Microsoft installiere, hab ich gemacht, war das richtig?
Jetzt ist mir noch aufgefallen, dass auf dem Desktop der Internetexplorer da ist, der vorher nicht da war! Liegt das jetzt an ComboFix, oder dass ich ihn vorher das erstmal ausm Startmenü gestartet habe?
Oder ist das eigentlich unwichtig?
So hier nun das ComboFix Log: Code:
ComboFix 09-02-06.02 - marc01 2009-02-07 16:38:31.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2047.1638 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\marc01\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\senekarrhsaltr.dat
c:\windows\system32\senekauxgxytls.dat
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_seneka
((((((((((((((((((((((( Dateien erstellt von 2009-01-07 bis 2009-02-07 ))))))))))))))))))))))))))))))
.
2009-02-04 22:17 . 2009-02-04 22:17 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-04 22:17 . 2009-02-04 22:17 <DIR> d-------- c:\dokumente und einstellungen\marc01\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 22:17 . 2009-02-04 22:17 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-04 20:11 . 2009-02-04 20:11 <DIR> d-------- C:\rsit
2009-02-04 19:44 . 2009-02-04 19:44 250 --a------ c:\windows\gmer.ini
2009-02-02 20:03 . 2008-10-16 21:04 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-02 20:03 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-02 20:03 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-02 20:03 . 2008-10-16 21:04 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-02 20:03 . 2008-10-16 21:04 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-02 20:03 . 2008-10-16 21:04 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-02 20:03 . 2008-10-16 21:04 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-02 20:03 . 2008-10-16 21:04 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-02 20:03 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-01-31 18:30 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-01-31 18:29 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-31 18:29 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-31 18:29 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-31 18:29 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-31 18:28 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-31 18:27 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-01-31 18:24 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-01-31 18:24 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-01-31 17:36 . 2009-01-31 17:39 <DIR> d-------- c:\windows\ServicePackFiles
2009-01-31 17:06 . 2004-08-04 00:38 701,952 --------- c:\windows\system32\drivers\ati2mtag.sys
2009-01-31 16:54 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-27 10:29 . 2009-01-27 10:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-24 21:15 . 2008-04-14 02:58 14,720 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-01-19 23:24 . 2009-01-19 23:24 <DIR> d-------- c:\programme\Mp3 File Editor
2009-01-19 23:24 . 2009-01-19 23:24 286,720 --a------ c:\windows\iun506.exe
2009-01-19 23:20 . 2009-01-19 23:20 <DIR> d-------- c:\dokumente und einstellungen\marc01\Anwendungsdaten\OpenOffice.org
2009-01-19 23:03 . 2009-01-19 23:03 <DIR> d-------- c:\programme\OpenOffice.org 3
2009-01-12 20:53 . 2009-01-12 20:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Common Share
2009-01-12 20:53 . 2008-12-18 13:38 719,872 --a------ c:\windows\system32\devil.dll
2009-01-12 20:53 . 2008-12-18 13:38 351,744 --a------ c:\windows\system32\avisynth.dll
2009-01-12 20:52 . 2009-01-12 20:52 <DIR> d-------- c:\programme\OJOsoft
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-07 13:11 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-04 21:17 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-04 20:51 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-04 20:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-04 19:57 --------- d-----w c:\programme\Java
2009-01-31 15:31 --------- d-----w c:\programme\CCleaner
2009-01-31 12:42 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-01-27 09:32 --------- d-----w c:\programme\Microsoft Works
2009-01-19 22:02 --------- d-----w c:\programme\OpenOffice.org 2.1
2009-01-19 21:56 --------- d-----w c:\dokumente und einstellungen\marc01\Anwendungsdaten\OpenOffice.org2
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-12 20:06 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVIDEOSOFT
2009-01-12 20:06 --------- d-----w c:\programme\DVDVideoSoft
2009-01-06 19:18 --------- d-----w c:\programme\Sony Ericsson
2009-01-06 19:18 --------- d-----w c:\programme\Sony
2009-01-06 19:08 --------- d--h--w c:\programme\InstallShield Installation Information
2009-01-06 19:08 --------- d-----w c:\programme\Avanquest update
2009-01-06 19:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-01-06 19:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2009-01-06 19:05 --------- d-----w c:\dokumente und einstellungen\marc01\Anwendungsdaten\InstallShield
2008-12-25 17:43 --------- d-----w c:\programme\Microsoft.NET
2008-12-22 11:20 --------- d-----w c:\programme\Microsoft ActiveSync
2008-12-22 11:19 --------- d-----w c:\programme\Windows Mobile-Ressourcen
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2007-06-27 18:05 0 ----a-w c:\dokumente und einstellungen\marc01\Anwendungsdaten\wklnhst.dat
2007-11-17 07:01 8,192 --sha-w c:\windows\o2cLicStore.bin
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-01-25 53248]
"fscp"="c:\programme\AVC Finger-sensing Pad Driver\fscp.exe" [2006-08-31 995328]
"FuncKey"="c:\programme\Hotkey Management\FuncKey.exe" [2006-09-05 139264]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7585792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-06-29 286720]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-27 136600]
"nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk.disabled [2006-09-15 1743]
Logitech SetPoint.lnk.disabled [2006-12-12 1657]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk.disabled]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.disabledCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Image Zone Schnellstart.lnk.disabled]
backup=c:\windows\pss\HP Image Zone Schnellstart.lnk.disabledCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Pml Driver HPZ12"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"Yahoo! Pager"=c:\programme\Yahoo!\Messenger\ypager.exe -quiet
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe"
"Alcmtr"=ALCMTR.EXE
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"RemoteControl"=c:\programme\CyberLink\PowerDVD\PDVDServ.exe
"SkyTel"=SkyTel.EXE
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"RTHDCPL"=RTHDCPL.EXE
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.5\\cnc3game.dat"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\Packet Tracer 5.0\\bin\\PacketTracer5.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22600:UDP"= 22600:UDP:azureus
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 FspadSvc;FspadSvc;c:\programme\AVC Finger-sensing Pad Driver\fspadsvr.exe [2006-09-15 520704]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2006-09-15 217600]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-09-15 1527900]
S3 fspad;AVC Finger-sensing Pad Driver for Windows 2000/XP;c:\windows\system32\drivers\fspad.sys [2006-09-15 22912]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\drivers\s3017bus.sys [2009-01-06 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\drivers\s3017mdfl.sys [2009-01-06 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\drivers\s3017mdm.sys [2009-01-06 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s3017mgmt.sys [2009-01-06 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\drivers\s3017nd5.sys [2009-01-06 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\drivers\s3017obex.sys [2009-01-06 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\drivers\s3017unic.sys [2009-01-06 110120]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e865bb0-8265-11dc-a9d0-003005d82c32}]
\Shell\AutoRun\command - E:\laucher.exe
.
Inhalt des "geplante Tasks" Ordners
2009-01-05 c:\windows\Tasks\fakesurfen.job
- c:\dokumente und einstellungen\marc01\Desktop\Download - Mozilla\programme\mausemu4\fakesurfen.exe [2008-08-20 09:38]
2008-08-26 c:\windows\Tasks\fakeultra.job
- c:\dokumente und einstellungen\marc01\Desktop\Download - Mozilla\mausemu4\fakeultra.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/fsc/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\marc01\Anwendungsdaten\Mozilla\Firefox\Profiles\663v4kdo.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-07 16:43:14
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:b1,28,92,44,b1,d1,88,01,27,41,bd,f3,92,14,2d,02,77,b7,2c,a4,df,32,7b,
f4,71,cf,c7,a6,b4,4f,46,d7,a2,93,54,9c,22,c6,6d,ca,9b,a2,33,3f,6e,6f,f7,64,\
"??"=hex:51,26,68,11,bc,f8,f9,83,2f,7f,08,b5,c7,73,36,4c
[HKEY_USERS\S-1-5-21-3158491442-301954164-3250943381-1007\Software\Zepter Software\RegLib*90c51fef\AnyDVD/1]
"1"=dword:46350ae2
"2"=dword:47769984
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(936)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-07 16:48:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-07 15:48:25
ComboFix2.txt 2008-09-02 18:07:16
Vor Suchlauf: 36 Verzeichnis(se), 47.473.172.480 Bytes frei
Nach Suchlauf: 36 Verzeichnis(se), 47,426,174,976 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
239 --- E O F --- 2009-02-03 21:55:35
ciao Marc |
