| |
| |||||||
Log-Analyse und Auswertung: Security Tool eingenistet - Auswertung Combo-Fix Log-DateiWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
05.10.2010, 22:27
| #1 |
| |  Security Tool eingenistet - Auswertung Combo-Fix Log-Datei Wer kann mir behilflich sein für die Auswertung der angehängten ComboFix Log-Datei? Auf meinen PC hatte sich das Programm "Security Tool" eingenistet, dank den Tipps auf trojaner-board unter Anwendung von rkill, Malewarebytes und ComboFix scheint das Problem gelöst zu sein, oder lässt sich aus der Log-Datei noch irgendwas verdächtiges finden? VIELEN DANK für Euere Hilfe! Combofix Logfile: Code:
ATTFilter ComboFix 10-10-05.01 - Willi01 05.10.2010 22:51:07.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.503.204 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Willi01\Desktop\ballaballa.exe.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Willi01\Anwendungsdaten\SystemProc
c:\dokumente und einstellungen\Willi01\Lokale Einstellungen\Anwendungsdaten\kebpm_navps.dat
Infizierte Kopie von c:\windows\system32\drivers\ftdisk.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-05 bis 2010-10-05 ))))))))))))))))))))))))))))))
.
2010-10-05 19:18 . 2010-10-05 19:18 -------- d-----w- c:\dokumente und einstellungen\Willi01\Anwendungsdaten\Malwarebytes
2010-10-05 17:17 . 2010-10-05 17:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-10-05 16:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-05 16:49 . 2010-10-05 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-05 16:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-05 16:49 . 2010-10-05 17:17 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-29 20:15 . 2010-09-29 20:15 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE
2010-09-29 20:14 . 2010-09-29 20:14 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-29 19:59 . 2010-09-29 19:59 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-21 16:45 . 2010-09-21 16:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-09-21 16:45 . 2010-09-21 16:45 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-09-16 21:03 . 2010-09-16 21:03 -------- d-----w- C:\spoolerlogs
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-05 20:47 . 2010-02-20 17:33 -------- d-----w- c:\dokumente und einstellungen\Willi01\Anwendungsdaten\Skype
2010-10-05 19:52 . 2006-11-23 14:55 -------- d-----w- c:\dokumente und einstellungen\Willi01\Anwendungsdaten\OpenOffice.org2
2010-10-05 16:25 . 2010-02-20 17:37 -------- d-----w- c:\dokumente und einstellungen\Willi01\Anwendungsdaten\skypePM
2010-08-17 13:17 . 2006-02-28 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2006-02-28 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2006-10-11 08:04 . 2006-11-23 14:17 61036 ----a-w- c:\programme\mozilla firefox\components\jar50.dll
2006-10-11 08:04 . 2006-11-23 14:17 48742 ----a-w- c:\programme\mozilla firefox\components\jsd3250.dll
2006-10-11 08:05 . 2006-11-23 14:17 29313 ----a-w- c:\programme\mozilla firefox\components\myspell.dll
2006-10-11 08:05 . 2006-11-23 14:17 41082 ----a-w- c:\programme\mozilla firefox\components\spellchk.dll
2006-10-11 08:04 . 2006-11-23 14:17 166510 ----a-w- c:\programme\mozilla firefox\components\xpinstal.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-10-02 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-10-02 118784]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"Windows Defender"="c:\programme\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-21 148888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-03-11 202256]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Speedport W 100 Stick WLAN Manager.lnk - c:\programme\DT\Speedport W 100 Stick\Wifiusb.exe [2006-9-11 1011712]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.12.2008 20:25 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.10.2009 15:11 108289]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
.
Inhalt des "geplante Tasks" Ordners
2010-10-05 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
2010-10-05 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1645522239-1336601894-839522115-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
2010-09-23 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1645522239-1336601894-839522115-1004.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Willi01\Anwendungsdaten\Mozilla\Firefox\Profiles\9nemplrc.default\
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-MsnMsgr - c:\programme\Windows Live\Messenger\MsnMsgr.Exe
.
Zeit der Fertigstellung: 2010-10-05 23:17:52
ComboFix-quarantined-files.txt 2010-10-05 21:17
Vor Suchlauf: 10 Verzeichnis(se), 25.345.515.520 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 27.281.502.208 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 1795DA028276F42C35AF1F587619E1AE
|
|
06.10.2010, 08:47
| #2 |
  | Security Tool eingenistet - Auswertung Combo-Fix Log-Datei Hi,
__________________sieht gut aus... Sonst ist der Rechner ok, keine weiteren Auffälligkeiten (langsames Internet, andere Ergebnisse in Google?) chris
__________________ |
|
06.10.2010, 17:37
| #3 |
| | Security Tool eingenistet - Auswertung Combo-Fix Log-Datei Hi Chris,
__________________vielen Dank für Deine Hilfe! |
|
| Themen zu Security Tool eingenistet - Auswertung Combo-Fix Log-Datei |
| 0 bytes, administrator, adobe, antivir, avg, avgnt, avira, bonjour, combofix, components, defender, desktop, einstellungen, firefox, home, jusched.exe, log-datei, mozilla, opera, problem, problem gelöst, programm, programme, scan, security, skype.exe, software, stick, trojaner-board, windows, windows recovery, windows xp, wlan |
Linear-Darstellung
