|
Ist mein PC noch sicher ? Hallo Ich hatte vor ein paar Tagen ein Problem mit Malware , genauer gesagt mit msa.exe . Leider weiß ich nicht wie lange das schon auf meinem PC war und woher es kam aber mit Malwarebytes' Anti-Malware konnte ich msa.exe entfernen. Nun stellt sich mir die Frage ob mein PC noch sicher ist . Ich habe die Logfiles von Malwarebytes' Anti-Malware , HiJackThis und RSIT auf File-Upload hochgeladen . Hier Link : File-Upload.net - Log-Dateien.zip Würde mich sehr freuen wenn mir Jemand helfen könnte . |
Hallo und :hallo: Lade dir Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen). |
Hab das mal gemacht .... --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ ) BIOS : Phoenix - AwardBIOS v6.00PG USER : Administrator ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:20 Go (Free:9 Go) D:\ (Local Disk) - NTFS - Total:35 Go (Free:4 Go) E:\ (CD or DVD) F:\ (CD or DVD) K:\ (CD or DVD) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 18.11.2009|14:16 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [15.11.2009|17:18] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe [31.03.2009|19:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\AdobeUM [16.06.2009|21:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\Alchemy Mindworks [16.09.2009|13:21] C:\DOKUME~1\ADMINI~1\ANWEND~1\Artweaver [19.12.2008|12:35] C:\DOKUME~1\ADMINI~1\ANWEND~1\ATI [27.04.2009|16:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Auslogics [10.11.2009|21:41] C:\DOKUME~1\ADMINI~1\ANWEND~1\AVS4YOU [09.07.2009|11:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\Clonk Rage [15.11.2009|16:18] C:\DOKUME~1\ADMINI~1\ANWEND~1\com.adobe.ExMan [30.08.2009|09:51] C:\DOKUME~1\ADMINI~1\ANWEND~1\Command & Conquer 3 Tiberium Wars [10.05.2009|12:23] C:\DOKUME~1\ADMINI~1\ANWEND~1\Crayon Physics Deluxe [15.11.2009|15:42] C:\DOKUME~1\ADMINI~1\ANWEND~1\DAEMON Tools Lite [03.10.2009|13:45] C:\DOKUME~1\ADMINI~1\ANWEND~1\DesktopPlayer [20.05.2009|15:10] C:\DOKUME~1\ADMINI~1\ANWEND~1\DivX [10.11.2009|14:30] C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss [24.07.2009|18:21] C:\DOKUME~1\ADMINI~1\ANWEND~1\FreeOrion [17.05.2009|01:15] C:\DOKUME~1\ADMINI~1\ANWEND~1\gtk-2.0 [16.06.2009|21:40] C:\DOKUME~1\ADMINI~1\ANWEND~1\Help [28.02.2009|00:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\HLSW [28.04.2009|17:40] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ [18.07.2008|17:50] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities [04.08.2009|11:00] C:\DOKUME~1\ADMINI~1\ANWEND~1\InstallShield [26.06.2009|14:22] C:\DOKUME~1\ADMINI~1\ANWEND~1\Isotope 244 [16.06.2009|21:12] C:\DOKUME~1\ADMINI~1\ANWEND~1\Jasc [18.12.2008|21:16] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia [13.11.2009|18:57] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes [04.08.2009|15:06] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [26.05.2009|15:24] C:\DOKUME~1\ADMINI~1\ANWEND~1\MilkShape 3D 1.x.x [08.08.2009|13:20] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla [10.05.2009|11:23] C:\DOKUME~1\ADMINI~1\ANWEND~1\OpenOffice.org [25.07.2009|00:13] C:\DOKUME~1\ADMINI~1\ANWEND~1\Opera [12.02.2009|22:11] C:\DOKUME~1\ADMINI~1\ANWEND~1\RadiantSettings [30.08.2009|09:49] C:\DOKUME~1\ADMINI~1\ANWEND~1\SecuROM [18.11.2009|13:56] C:\DOKUME~1\ADMINI~1\ANWEND~1\Skype [21.01.2009|15:32] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun [10.08.2009|17:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Symantec [16.11.2009|18:44] C:\DOKUME~1\ADMINI~1\ANWEND~1\teamspeak2 [16.07.2009|15:21] C:\DOKUME~1\ADMINI~1\ANWEND~1\TeamViewer [09.10.2009|16:09] C:\DOKUME~1\ADMINI~1\ANWEND~1\TubeBox [18.12.2008|20:19] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software [28.07.2009|18:25] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ubisoft [14.02.2009|19:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\uk.co.planetside [10.11.2009|19:00] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ulead Systems [15.11.2009|23:45] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc [15.02.2009|15:38] C:\DOKUME~1\ADMINI~1\ANWEND~1\WinRAR [17.11.2009|21:33] C:\DOKUME~1\ADMINI~1\ANWEND~1\Xfire [27.04.2009|16:08] C:\DOKUME~1\ADMINI~1\ANWEND~1\XnView [27.04.2009|15:58] C:\DOKUME~1\ADMINI~1\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [50|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [09.01.2009|14:23] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} [10.07.2009|12:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357} [25.08.2009|18:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{7B6BA59A-FB0E-4499-8536-A7420338BF3B} [15.11.2009|16:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [25.08.2009|18:21] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [10.11.2009|21:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AVS4YOU [15.11.2009|15:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DAEMON Tools Lite [15.11.2009|16:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet [28.04.2009|17:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ [04.08.2009|10:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd [13.11.2009|18:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [18.10.2009|16:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [25.08.2009|18:17] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Norton [10.08.2009|17:53] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NortonInstaller [03.01.2009|12:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA [30.04.2009|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\realtech VR [17.04.2009|18:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype [13.11.2009|19:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy [20.08.2009|23:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SweetIM [10.08.2009|18:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec [28.07.2009|18:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Tages [12.04.2009|15:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP [01.06.2009|20:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software [11.11.2009|14:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems [24.05.2009|14:10] C:\DOKUME~1\ALLUSE~1\ANWEND~1\VideoConverter [12.01.2009|15:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [28|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [15.11.2009|16:14] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Macromedia [18.07.2008|17:44] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [15.07.2009|21:18] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe [18.07.2008|17:44] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [10.01.2009|20:51] C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [5|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [18.07.2008|17:44] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [10.01.2009|14:40] C:\DOKUME~1\NETWOR~1\ANWEND~1\Xfire [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [13.11.2009 17:50][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job [18.11.2009 13:17][--ah-----] C:\WINDOWS\tasks\SA.DAT [11.11.2004 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [15.11.2009|15:51] C:\Programme\Adobe [11.09.2008|21:01] C:\Programme\ALCATech [20.12.2008|01:34] C:\Programme\ATI Technologies [25.08.2009|18:21] C:\Programme\Avira [13.11.2009|18:43] C:\Programme\AVS4YOU [08.11.2009|18:17] C:\Programme\Call of Duty [18.10.2009|22:41] C:\Programme\CCleaner [15.11.2009|15:36] C:\Programme\DAEMON Tools Lite [15.11.2009|15:36] C:\Programme\DAEMON Tools Toolbar [19.10.2009|20:11] C:\Programme\DivX [11.10.2009|12:10] C:\Programme\Fonts [15.11.2009|16:14] C:\Programme\Gemeinsame Dateien [28.04.2009|17:16] C:\Programme\ICQ6Toolbar [15.11.2009|16:17] C:\Programme\InstallShield Installation Information [03.01.2003|09:06] C:\Programme\Internet Explorer [04.08.2009|15:03] C:\Programme\Java [04.08.2009|15:04] C:\Programme\JRE [13.11.2009|18:57] C:\Programme\Malwarebytes' Anti-Malware [11.08.2008|14:25] C:\Programme\Messenger [18.07.2008|17:45] C:\Programme\microsoft frontpage [18.10.2009|16:29] C:\Programme\Movie Maker [18.11.2009|14:04] C:\Programme\Mozilla Firefox [04.04.2009|19:19] C:\Programme\mozilla.org [18.07.2008|17:38] C:\Programme\MSN [18.07.2008|17:39] C:\Programme\MSN Gaming Zone [01.01.2003|00:36] C:\Programme\NetMeeting [15.11.2009|16:23] C:\Programme\NVIDIA Corporation [18.07.2008|17:39] C:\Programme\Online Services [18.07.2008|17:42] C:\Programme\Online-Dienste [04.08.2009|15:04] C:\Programme\OpenOffice.org 3 [11.10.2009|17:13] C:\Programme\Outlook Express [30.04.2009|15:18] C:\Programme\realtech VR [04.08.2009|11:20] C:\Programme\Skype [04.08.2009|11:01] C:\Programme\Spybot - Search & Destroy [20.08.2009|23:10] C:\Programme\SweetIM [17.11.2009|21:08] C:\Programme\trend micro [16.12.2008|05:18] C:\Programme\Tweak-XP Pro 4 [18.07.2008|17:50] C:\Programme\Uninstall Information [11.10.2009|12:10] C:\Programme\Wallpapers [10.11.2009|17:29] C:\Programme\Windows Media Components [03.01.2003|08:50] C:\Programme\Windows Media Connect 2 [03.01.2003|08:50] C:\Programme\Windows Media Player [01.01.2003|00:36] C:\Programme\Windows NT [18.07.2008|17:42] C:\Programme\WindowsUpdate [18.07.2008|17:45] C:\Programme\xerox [11.11.2009|14:56] C:\Programme\Xfire [0|Datei(en)] C:\Programme\Bytes [48|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [15.11.2009|16:06] C:\Programme\Gemeinsame Dateien\Adobe [15.11.2009|16:14] C:\Programme\Gemeinsame Dateien\Adobe AIR [13.11.2009|18:43] C:\Programme\Gemeinsame Dateien\AVSMedia [20.05.2009|18:01] C:\Programme\Gemeinsame Dateien\DataDesign [18.07.2008|17:41] C:\Programme\Gemeinsame Dateien\Dienste [08.08.2009|16:06] C:\Programme\Gemeinsame Dateien\DirectX [19.10.2009|20:11] C:\Programme\Gemeinsame Dateien\DivX Shared [04.08.2009|11:06] C:\Programme\Gemeinsame Dateien\DVDVideoSoft [19.12.2008|22:15] C:\Programme\Gemeinsame Dateien\InstallShield [10.11.2009|17:31] C:\Programme\Gemeinsame Dateien\InterVideo [15.11.2009|15:47] C:\Programme\Gemeinsame Dateien\Macrovision Shared [19.12.2008|12:00] C:\Programme\Gemeinsame Dateien\Microsoft Shared [18.07.2008|17:41] C:\Programme\Gemeinsame Dateien\MSSoap [03.01.2003|09:43] C:\Programme\Gemeinsame Dateien\NVIDIA Shared [18.07.2008|18:30] C:\Programme\Gemeinsame Dateien\ODBC [26.05.2009|12:14] C:\Programme\Gemeinsame Dateien\Softimage [18.07.2008|18:30] C:\Programme\Gemeinsame Dateien\SpeechEngines [18.12.2008|18:54] C:\Programme\Gemeinsame Dateien\SWF Studio [25.08.2009|18:17] C:\Programme\Gemeinsame Dateien\Symantec Shared [03.01.2003|08:54] C:\Programme\Gemeinsame Dateien\System [18.10.2009|16:09] C:\Programme\Gemeinsame Dateien\Windows Live [04.08.2009|12:35] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [24|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 33 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-18 14:18:00 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 0 --------------------\\ Suche nach anderen Infektionen Kein anderen Infektionen gefunden ! [F:7][D:1]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp [F:1][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies [F:6][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 18.11.2009|14:19 - Option : [1] --------------------\\ Scan beendet um 14:19:45 |
Sieht garnicht mal schlecht aus. Bitte einen Durchlauf mit Combofix machen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
so hab das auch gemacht... ComboFix 09-11-18.06 - Administrator 18.11.2009 14:49:03.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.728 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . |
:dummguck: Kommt da noch mehr, das kann ja schlecht alles vom Log sein! |
mein pc ist vorm erstellen runtergefahren ... habs auf C:/ gefunden und das war das ... soll ich das nomma machen??? |
Vorm Erstellen des Beitrages oder während combofix lief? Wann ist der PC ausgegangen? |
mitten im erstellen der txt |
soll ich nomma machen? |
In welchem erstellen der txt? Des Logfiles? Wiederhole den Durchlauf bitte. |
als der mir die anzeigen wollte bzw speichern das ist wirklich mehr :) ComboFix 09-11-18.07 - Administrator 19.11.2009 13:31.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.726 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Vorheriger Suchlauf ------- . c:\windows\system32\sysdm.exe c:\windows\system32\DRIVERS\si3112r.sys . . . ist infiziert!! . ((((((((((((((((((((((( Dateien erstellt von 2009-10-19 bis 2009-11-19 )))))))))))))))))))))))))))))) . 2009-11-19 12:27 . 2004-11-11 12:00 95360 -c--a-w- c:\windows\system32\dllcache\atapi.sys 2009-11-19 12:27 . 2004-11-11 12:00 95360 ----a-w- c:\windows\system32\drivers\atapi.sys 2009-11-18 19:38 . 2006-11-01 23:50 128104 ----a-w- c:\windows\system32\drivers\WimFltr.sys 2009-11-18 19:38 . 2009-11-18 21:03 -------- d-----w- c:\programme\com! Update Pack Builder 2009-11-18 13:45 . 2003-03-26 11:30 85265 ----a-r- c:\windows\system32\drivers\si3112r_2.sys 2009-11-18 13:15 . 2009-11-18 13:19 -------- d-----w- C:\Lop SD 2009-11-17 16:56 . 2009-11-17 20:08 -------- d-----w- c:\programme\trend micro 2009-11-17 16:56 . 2009-11-17 16:56 -------- d-----w- C:\rsit 2009-11-15 15:18 . 2009-11-15 15:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Library 2009-11-15 15:18 . 2009-11-15 15:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\com.adobe.ExMan 2009-11-15 15:15 . 2009-11-15 15:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet 2009-11-15 15:14 . 2009-11-15 15:13 38208 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-15 15:14 . 2009-11-15 15:13 38208 ----a-w- c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-15 15:14 . 2009-11-15 15:14 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR 2009-11-15 14:47 . 2009-11-15 14:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Macrovision Shared 2009-11-15 14:37 . 2009-11-15 14:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite 2009-11-15 14:36 . 2009-11-15 14:36 -------- d-----w- c:\programme\DAEMON Tools Toolbar 2009-11-15 14:36 . 2009-11-15 14:36 -------- d-----w- c:\programme\DAEMON Tools Lite 2009-11-15 14:33 . 2009-11-15 14:33 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-11-15 14:33 . 2009-11-15 14:42 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DAEMON Tools Lite 2009-11-13 17:57 . 2009-11-13 17:57 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-11-13 17:57 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-11-13 17:57 . 2009-11-13 17:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-11-13 17:57 . 2009-11-13 17:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-13 17:57 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-12 19:14 . 2009-11-13 17:43 -------- d-----w- c:\programme\AVS4YOU 2009-11-10 20:30 . 2009-11-10 20:41 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AVS4YOU 2009-11-10 20:30 . 2009-11-10 20:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVS4YOU 2009-11-10 20:29 . 2009-11-13 17:43 -------- d-----w- c:\programme\Gemeinsame Dateien\AVSMedia 2009-11-10 20:29 . 2008-11-17 10:40 974848 ----a-w- c:\windows\system32\mfc70.dll 2009-11-10 20:29 . 2008-11-17 10:40 487424 ----a-w- c:\windows\system32\msvcp70.dll 2009-11-10 20:29 . 2008-11-17 10:40 1700352 ----a-w- c:\windows\system32\GdiPlus.dll 2009-11-10 20:29 . 2008-11-17 10:40 24576 ----a-w- c:\windows\system32\msxml3a.dll 2009-11-10 20:29 . 2008-11-17 10:40 638976 ----a-w- c:\windows\system32\divx.dll 2009-11-10 20:29 . 2008-11-17 10:40 524288 ----a-w- c:\windows\system32\xvidcore.dll 2009-11-10 20:29 . 2008-11-17 10:40 413760 ----a-w- c:\windows\system32\mpg4c32.dll 2009-11-10 20:29 . 2008-11-17 10:40 261632 ----a-w- c:\windows\system32\mcdvd_32.dll 2009-11-10 20:29 . 2008-11-17 10:40 139264 ----a-w- c:\windows\system32\xvidvfw.dll 2009-11-10 18:01 . 2009-11-10 18:01 -------- d-----w- c:\dokumente und einstellungen\Administrator\destop 2009-11-10 17:59 . 2009-11-10 18:00 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ulead Systems 2009-11-10 17:55 . 2009-11-11 13:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems 2009-11-10 16:31 . 2009-11-10 16:31 -------- d-----w- c:\programme\Gemeinsame Dateien\InterVideo 2009-11-10 16:29 . 2009-11-10 16:29 -------- d-----w- c:\programme\Windows Media Components 2009-11-08 18:44 . 2007-12-28 10:15 172032 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\gwh3714l.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe 2009-11-08 18:44 . 2008-02-17 16:16 90112 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\gwh3714l.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll 2009-11-08 18:44 . 2007-10-08 00:57 307200 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\gwh3714l.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe 2009-11-06 02:14 . 2009-11-06 02:14 41872 ----a-w- c:\windows\system32\xfcodec.dll 2009-10-22 14:21 . 2009-11-08 17:17 -------- d-----w- c:\programme\Call of Duty . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-18 22:19 . 2009-04-17 17:24 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2009-11-18 20:07 . 2009-08-19 18:28 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Xfire 2009-11-18 19:03 . 2009-08-04 15:04 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc 2009-11-18 15:26 . 2009-08-04 10:24 138376 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-11-18 15:26 . 2009-08-04 10:19 202448 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-11-18 14:26 . 2009-08-19 18:27 -------- d-----w- c:\programme\Xfire 2009-11-16 17:44 . 2008-12-18 19:05 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\teamspeak2 2009-11-15 15:28 . 2009-05-10 10:24 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-11-15 15:23 . 2003-01-03 08:43 -------- d-----w- c:\programme\NVIDIA Corporation 2009-11-15 15:17 . 2008-12-18 21:33 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-15 15:15 . 2008-12-19 11:36 41296 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-15 15:06 . 2009-01-25 16:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-11-13 18:24 . 2008-12-31 11:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-11-10 17:18 . 2009-11-10 17:18 941 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\mclip.dat 2009-11-10 17:18 . 2009-11-10 17:18 378 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\hexplorer.dat 2009-11-10 17:10 . 2008-07-18 17:12 720896 ----a-w- c:\windows\iun6002.exe 2009-11-10 13:30 . 2008-12-20 12:58 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss 2009-11-08 15:48 . 2009-07-02 11:27 952 ----a-w- c:\windows\eReg.dat 2009-10-25 11:25 . 2004-11-11 12:00 74988 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 11:25 . 2004-11-11 12:00 415124 ----a-w- c:\windows\system32\perfh007.dat 2009-10-19 19:11 . 2009-10-19 19:07 -------- d-----w- c:\programme\DivX 2009-10-19 19:11 . 2009-10-19 19:11 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-10-18 21:41 . 2009-10-18 21:41 -------- d-----w- c:\programme\CCleaner 2009-10-18 15:09 . 2009-10-18 15:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2009-10-11 11:22 . 2004-11-11 12:00 219136 ----a-w- c:\windows\system32\uxtheme.dll 2009-10-11 11:10 . 2009-10-11 11:10 -------- d-----w- c:\programme\Wallpapers 2009-10-11 11:10 . 2009-10-11 11:10 -------- d-----w- c:\programme\Fonts 2009-10-09 15:09 . 2009-10-09 15:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TubeBox 2009-10-03 12:45 . 2009-10-03 12:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DesktopPlayer 2009-09-16 12:20 . 2009-09-16 12:20 152576 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll 2009-08-26 20:08 . 2009-07-15 19:39 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll . ------- Sigcheck ------- [-] 2008-04-13 21:09 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys [7] 2006-02-15 00:22 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\$hf_mig$\KB900485\SP2QFE\aec.sys [7] 2006-02-15 00:22 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\Driver Cache\i386\aec.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2009-05-20 177464] [HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}] [HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1] [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}] [HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}] 2009-05-20 12:36 1258808 ----a-w- c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808] [HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}] [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1] [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}] [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808] [HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}] [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1] [HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}] [HKEY_CLASSES_ROOT\SWEETIE.IEToolbar] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848] "NVMixerTray"="c:\programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 131072] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-08-04 148888] "Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-11 1519616] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-8-4 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"="c:\windows\system32\logonui.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SeaMonkey Quick Launch"="c:\programme\mozilla.org\SeaMonkey\SeaMonkey.exe" -turbo "SpybotSD TeaTimer"=d:\spybot - search & destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SweetIM"=c:\programme\SweetIM\Messenger\SweetIM.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiSpyWareDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\ICq\\ICQ6.5\\ICQ.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [03.01.2003 09:39 85265] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.08.2009 18:21 108289] R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [28.04.2009 17:16 222456] R2 MarxDev1;MarxDev1;c:\windows\system32\drivers\MARXDEV1.SYS [11.09.2008 21:03 8864] R2 MarxDev2;MarxDev2;c:\windows\system32\drivers\MARXDEV2.SYS [11.09.2008 21:03 8864] R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [11.09.2008 21:03 8864] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [18.12.2008 20:33 4352] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [18.12.2008 20:33 265088] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mbr *Deregistered* - PROCEXP113 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-11-13 c:\windows\Tasks\1-Klick-Wartung.job - d:\tune up\OneClick.exe [2008-01-08 10:19] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://home.sweetim.com mStart Page = hxxp://home.sweetim.com IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 TCP: {ACAF11F0-4301-4634-843E-1C8611FF076A} = 192.168.2.1,194.25.2.129 FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\gwh3714l.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.sweetim.com/search.asp?src=2&q= FF - prefs.js: browser.search.selectedEngine - DAEMON Search FF - prefs.js: browser.startup.homepage - hxxp://home.sweetim.com FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q= FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\gwh3714l.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-AdobeBridge - (no file) Notify-AtiExtEvent - (no file) Notify-dimsntfy - (no file) Notify-NavLogon - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-19 13:37 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x867DA1F8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7872fc3 \Driver\ACPI -> ACPI.sys @ 0xf76cbcb8 \Driver\atapi -> 0x867da1f8 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094 ParseProcedure -> ntoskrnl.exe @ 0x8056f08e \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094 ParseProcedure -> ntoskrnl.exe @ 0x8056f08e NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7555ba0 PacketIndicateHandler -> NDIS.sys @ 0xf7562b21 SendHandler -> NDIS.sys @ 0xf754087b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-343818398-220523388-1801674531-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:d0,f1,ef,b1,f7,54,29,a2,64,08,76,11,de,3b,2b,a8,0f,4e,da,c1,d9,a8,12, 35,83,ba,56,1e,b5,f1,3b,ab,5c,14,31,b2,39,77,a7,36,e2,df,b5,51,35,1c,4a,7d,\ "??"=hex:b7,42,9f,7e,28,c7,c9,12,79,f4,22,aa,06,86,00,94 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(724) c:\windows\system32\sfc_os.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll . Zeit der Fertigstellung: 2009-11-19 13:41 ComboFix-quarantined-files.txt 2009-11-19 12:40 Vor Suchlauf: 8.899.137.536 Bytes frei Nach Suchlauf: 9.792.622.592 Bytes frei - - End Of File - - 576643DBB09088C96848F3DB6113C5FF |
Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop 2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: Registry values to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. |
|
Sieht ok aus. Bitte ein Kontrollscan, vorher natürlich prüfen ob aktuelle Signaturen drin sind: Scannen mit AntiVir mit aggressiven Einstellungen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board