Nur Combofix zeigt rootkit an löscht aber nichts

maumau

Einen schönen guten Tag,

habe heute morgen meinen morgen mit dem schnöden beseitigen von zeroAccess verbracht, und das wie ich inzwischen auch herausgefunden habe wohl dummerweise auf eigene Faust.

Der Stand der Dinge ist Momentan, dass ich alles wieder normal nutzen kann.

Der Heilungsprozess begann, als ich die intelppm.sys wenn auch im TDSKiller nur *verdächtig* markiert mutig gelöscht habe. Daraufhin hat besagter Killer auch mal das rootkit gecured, andere über aswmbr gefundenen infizierten systemdateien cdrom.sys und wulclt.sys oder so ähnlich hat als letztes auch der Combofix vernichtet. Soweit läuft alles wieder wie gewohnt.

Nur zeigt mir ComboF immer noch das vorhandensein von zeroA. an.
kann jemand aus der Log was schließen ? Welche anderen werden noch benötigt ?

hier erstmal aber die jüngste Combof - und vielen Dank für Eure Hilfe
grüße maumau

ComboFix 11-07-19.01 - Besitzer 19.07.2011 14:56:20.6.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1917.1390 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-19 bis 2011-07-19 ))))))))))))))))))))))))))))))
.
.
2011-07-19 08:33 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-19 08:33 . 2011-07-19 08:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-19 08:33 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-19 08:04 . 2011-07-19 08:04 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2011-07-19 07:46 . 2011-07-19 07:46 -------- d-----w- c:\windows\system32\LogFiles
2011-07-19 05:34 . 2011-07-19 05:34 -------- d-----w- c:\programme\CCleaner
2011-07-19 05:27 . 2011-07-19 05:27 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2011-07-19 05:27 . 2011-07-19 05:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-18 22:38 . 2011-07-19 04:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2011-07-18 22:38 . 2011-07-18 22:38 -------- d-----w- c:\programme\AVAST Software
2011-07-18 16:58 . 2011-07-19 03:47 0 ----a-w- c:\windows\Ycolec.bin
2011-07-10 13:49 . 2011-07-19 05:49 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Udvuan
2011-06-29 09:11 . 2011-06-29 09:11 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-29 09:11 . 2011-06-29 09:11 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-19 07:57 . 2006-02-28 12:00 51328 ----a-w- c:\windows\system32\drivers\rasl2tp.sys
2004-10-01 14:00 . 2010-01-07 14:23 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2011-06-29 09:11 . 2011-06-10 10:06 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dradio-RecorderTimer"="c:\programme\dradio-Recorder\phonostarTimer.exe" [2010-11-23 39936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2007-06-24 53248]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-21 630784]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-08-07 761946]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-14 17881088]
"lxdnmon.exe"="c:\programme\Lexmark 2600 Series\lxdnmon.exe" [2008-03-27 660136]
"lxdnamon"="c:\programme\Lexmark 2600 Series\lxdnamon.exe" [2008-03-27 16040]
"FaxCenterServer"="c:\programme\Lexmark Fax Solutions\fm3032.exe" [2008-03-27 320168]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-07-12 74752]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2011-04-28 220552]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
.
c:\dokumente und einstellungen\Besitzer\Startmen�\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
HotKeyDriver.lnk - c:\programme\HotKey_Driver\HotKeyDriver.exe [2009-5-23 3596288]
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Utility Tray.lnk - c:\windows\system32\sistray.exe [2009-5-23 262144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
"c:\\Programme\\Lexmark Fax Solutions\\FaxCtr.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnjswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdntime.exe"=
"c:\\Programme\\Lexmark 2600 Series\\lxdnamon.exe"=
"c:\\Programme\\Lexmark 2600 Series\\frun.exe"=
"c:\\Programme\\Lexmark 2600 Series\\lxdnmon.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdnpswx.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
.
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [19.07.2011 10:33 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19.07.2011 10:33 22712]
R3 RTL8187B;Realtek RTL8187B Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [22.05.2009 23:56 270720]
S2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]
S2 lxdnCATSCustConnectService;lxdnCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdnserv.exe [20.11.2009 11:38 98984]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [27.05.2009 19:17 1684736]
S3 DRWDMD;DRWDMD;c:\dokume~1\Besitzer\LOKALE~1\Temp\DRWDMD.exe --> c:\dokume~1\Besitzer\LOKALE~1\Temp\DRWDMD.exe [?]
S3 EUUDFM;EUUDFM;c:\dokume~1\Besitzer\LOKALE~1\Temp\EUUDFM.exe --> c:\dokume~1\Besitzer\LOKALE~1\Temp\EUUDFM.exe [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 14:49 227232]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://profiles/
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\vgyb3zor.default\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-19 14:59
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
.
c:\windows\$NtUninstallKB34985$:SummaryInformation 0 bytes hidden from API
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-07-19 15:00:54
ComboFix-quarantined-files.txt 2011-07-19 13:00
ComboFix2.txt 2011-07-19 09:36
ComboFix3.txt 2011-07-19 09:01
ComboFix4.txt 2011-07-19 08:30
ComboFix5.txt 2011-07-19 12:52
.
Vor Suchlauf: 11 Verzeichnis(se), 49.590.681.600 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 49.625.772.032 Bytes frei
.
- - End Of File - - 9CFF3C32474A53DF28870631E6D6293F