explorer.exe hängt beim Herunterfahren Hi
Es geht um den PC meines Onkels, folgendes Verhalten:
Beim Klicken auf Start -> Ausschalten dauert es erstmal 5 bis 10 Sekunden, bis das Fenster mit den Ausschaltoptionen erscheint. Nach dem Betätigen von "Ausschalten" kommt die Meldung, dass explorer.exe gerade beendet wird - und das dauert.
Was ich bisher so gemacht habe:
Ursprünglich war auf dem PC Avira installiert, vollständiger Scan brachte nichts. Da ich Avira ehe nicht mag, hab ich das Ding runtergeschmissen und Avast installiert. Mein Freund und Helfer Avast hat auch promt ein bisschen was gefunden und weggeschafft. Hat nur nichts genützt.
Also ließ ich mbam und SAS ran. Die zwei Kollegen schafften schon einiges an Trojanern weg, laufen mittlerweile ohne Funde durch. Genützt hat es aber auch nichts.
Ab und zu ließ ich auch immer mal ccleaner arbeiten.
Dann ließ ich gmer ran - ohne Funde.
Mutig wie ich nun mal bin, konnte auch combofix sein glück versuchen. Da es keinen Neustart nach dem Suchlauf gab, hat combofix wohl auch nichts gefunden. Da ich aus dem Log nicht schlau werde, poste ich diesen hier, vllt. kann sich das jemand ankucken? Nach Auffälligkeiten schauen... Code:
ComboFix 09-07-29.04 - *** 31.07.2009 12:00.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.583 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}
AV: avast! antivirus 4.8.1335 [VPS 090730-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Installer\2771a.msp
c:\windows\Installer\28bdb.msp
c:\windows\Installer\3081f.msp
c:\windows\Installer\33e6a6.msp
c:\windows\Installer\3af0de.msp
c:\windows\Installer\58295.msp
c:\windows\Installer\6ae53.msp
.
((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-31 ))))))))))))))))))))))))))))))
.
2009-07-29 05:35 . 2009-07-03 16:55 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-29 05:35 . 2009-07-03 16:55 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-07-27 13:13 . 2009-07-27 13:13 3775176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-07-13 09:08 . 2009-07-23 12:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent
2009-07-12 10:42 . 2009-07-12 12:58 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Download Manager
2009-07-08 11:15 . 2009-07-30 13:30 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc
2009-07-08 11:14 . 2009-07-08 11:15 -------- d-----w- c:\programme\VLC
2009-07-06 10:58 . 2009-07-06 10:58 -------- d-----w- c:\programme\PDF Compress
2009-07-04 10:04 . 2009-07-29 18:25 -------- d-----w- c:\windows\ie8updates
2009-07-04 05:08 . 2009-07-03 16:55 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-04 05:08 . 2009-07-03 16:55 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-04 05:08 . 2009-07-03 16:55 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-07-04 05:08 . 2009-07-19 16:41 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-07-03 15:31 . 2009-07-03 15:31 -------- d-sh--w- c:\dokumente und einstellungen\***\PrivacIE
2009-07-03 11:05 . 2009-07-03 11:05 -------- d-sh--w- c:\dokumente und einstellungen\***\IETldCache
2009-07-03 10:12 . 2009-07-03 10:14 -------- dc-h--w- c:\windows\ie8
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-31 06:31 . 2007-03-22 08:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2009-07-31 06:31 . 2008-01-04 07:48 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2009-07-27 13:14 . 2009-06-27 10:06 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-27 12:59 . 2009-06-26 21:20 117760 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-07-13 11:36 . 2009-06-27 10:06 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-13 11:36 . 2009-06-27 10:06 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-03 16:55 . 2004-08-03 22:57 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-01 12:58 . 2009-06-16 09:21 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Desktopicon
2009-07-01 12:09 . 2007-07-04 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\espionServerData
2009-06-27 14:12 . 2009-06-27 14:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-06-27 10:06 . 2009-06-27 10:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2009-06-27 10:06 . 2009-06-27 10:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-26 23:31 . 2009-06-26 23:31 84560 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-26 23:31 . 2009-06-26 23:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\T-Online
2009-06-26 23:29 . 2009-06-26 23:29 117760 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-06-26 23:28 . 2009-06-26 23:28 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-26 21:19 . 2009-06-26 21:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-26 21:19 . 2009-06-26 21:19 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-06-26 21:19 . 2009-06-26 21:19 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-06-26 21:19 . 2004-11-14 10:25 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-06-26 21:09 . 2009-06-21 11:43 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Chess Tutor
2009-06-26 21:00 . 2009-06-26 21:00 -------- d-----w- c:\programme\CCleaner
2009-06-26 20:43 . 2009-06-26 20:43 -------- d-----w- c:\programme\Trend Micro
2009-06-26 10:19 . 2009-06-26 10:19 -------- d-----w- c:\programme\Alwil Software
2009-06-24 17:11 . 2009-06-24 17:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\eXPert PDF 4
2009-06-24 11:46 . 2009-06-24 11:45 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\eXPert PDF Editor
2009-06-24 10:18 . 2009-06-24 10:18 -------- d-----w- c:\programme\Visagesoft
2009-06-24 10:18 . 2009-06-24 10:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\eXPert PDF Jobs
2009-06-24 10:18 . 2009-06-24 10:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\eXPert PDF
2009-06-16 14:36 . 2004-08-03 22:57 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2002-08-29 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 09:21 . 2009-06-16 09:21 -------- d-----w- c:\programme\Unlocker
2009-06-16 08:59 . 2009-06-16 08:59 -------- d-----w- c:\programme\Eusing Free Registry Cleaner
2009-06-09 12:23 . 2004-12-19 17:16 -------- d-----w- c:\programme\Java
2009-06-09 11:46 . 2009-06-09 11:46 152576 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-06-09 10:54 . 2009-06-09 10:54 -------- d-----w- c:\programme\PDFCreator
2009-06-03 19:09 . 2004-08-03 22:57 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:32 . 2004-08-03 22:57 348160 ----a-w- c:\windows\system32\localspl.dll
2007-05-26 18:39 . 2004-12-24 20:24 10646 -csha-w- c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-20 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"VX1000"="c:\windows\vVX1000.exe" [2007-04-10 709992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"InfoCockpit"="c:\programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\KEM.exe [2004-11-13 573440]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
backup=c:\windows\pss\Adobe Gamma.lnkStartup
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Windows Media Player\\wmplayer.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\T-Online\\T-Online_Software_6\\Internet-Telefon\\Phone.exe"=
"c:\\Programme\\Motorola\\Software Update\\msu.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"l:\\Programme\\uTorrent\\uTorrent.exe"=
"l:\\utorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26.06.2009 12:19 114768]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.06.2009 11:01 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.06.2009 11:01 72944]
R2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [07.01.2007 23:42 99840]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26.06.2009 12:19 20560]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\drivers\avmdsloe.sys [27.06.2003 02:00 39552]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmndsl.sys [27.06.2003 02:00 38992]
R3 FDSSBASE;AVM FRITZ!Card DSL SL (WinXP/2000);c:\windows\system32\drivers\fdssbase.sys [27.06.2003 02:00 665600]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [07.08.2007 19:36 17536]
S2 gupdate1c991b7357f12c;Google Update Service (gupdate1c991b7357f12c);c:\programme\Google\Update\GoogleUpdate.exe [18.02.2009 12:52 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance; [x]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [07.08.2007 19:36 17152]
S3 motccgp;Motorola USB Composite Device Driver;c:\windows\system32\drivers\motccgp.sys [26.12.2008 14:43 18176]
S3 motccgpfl;MotCcgpFlService;c:\windows\system32\drivers\motccgpfl.sys [26.12.2008 14:43 7680]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS --> c:\windows\system32\DRIVERS\NETFWDSL.SYS [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.06.2009 11:01 7408]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners
2009-01-09 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53]
2009-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-18 10:52]
2009-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-18 10:52]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-31 12:03
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(640)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2009-07-31 12:05
ComboFix-quarantined-files.txt 2009-07-31 10:05
Vor Suchlauf: 9 Verzeichnis(se), 13.269.323.776 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 13.251.526.656 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
186 --- E O F --- 2009-07-29 18:26 Was mir selbst auffällt, ist dass Avira oben auftaucht, obwohl ich das Ding deinstalliert habe. Jetzt mag ich Avira noch weniger.
Danke! |