Zitat:
Zitat von
cosinus Log ist leider unvollständig
OK. Habs jetzt noch einmal gemacht. Diesmal davor Energiesparmodus deaktiviert. Hat alles geklappt, nur als er Neustarten wollte, ist er bei leerem Bildschirm hängen geblieben. Hab händisch aus- und wieder eingeschalten. Ich hoffe jetzt passt es:
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 12-06-25.03 - User 25.06.2012 16:29:53.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.959.417 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\TEMP\logishrd\LVPrcInj01.dll
.
---- Vorheriger Suchlauf -------
.
c:\windows\IsUn0407.exe
c:\windows\TEMP\logishrd\LVPrcInj01.dll
.
-- Vorheriger Suchlauf --
.
c:\windows\system32\drivers\intelppm.sys . . . fehlt!!
.
--------
.
c:\windows\system32\drivers\intelppm.sys . . . fehlt!!
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-05-25 bis 2012-06-25 ))))))))))))))))))))))))))))))
.
.
2012-06-22 22:17 . 2012-06-22 22:17 -------- d-----w- C:\_OTL
2012-06-19 14:12 . 2012-06-19 14:12 -------- d-----w- c:\programme\ESET
2012-06-19 13:52 . 2012-06-19 13:52 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\wtxpcom
2012-06-18 22:24 . 2012-06-18 22:24 -------- d-----w- c:\programme\Application Updater
2012-06-18 14:59 . 2012-06-18 15:03 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-06-14 15:45 . 2012-06-14 15:45 -------- d-----w- c:\dokumente und einstellungen\User\Anwendungsdaten\Malwarebytes
2012-06-14 15:44 . 2012-06-14 15:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-06-14 15:44 . 2012-04-04 13:56 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-06-14 15:44 . 2012-06-14 15:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-06-10 21:54 . 2012-06-10 21:54 770384 ----a-w- c:\programme\Mozilla Firefox\msvcr100.dll
2012-06-10 21:54 . 2012-06-10 21:54 421200 ----a-w- c:\programme\Mozilla Firefox\msvcp100.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-08 20:25 . 2012-05-08 20:25 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-08 20:25 . 2011-07-11 19:54 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-31 11:35 . 2012-03-31 11:34 16789176 ----a-w- c:\programme\Thunderbird Setup 11.0.1.exe
2011-11-18 20:58 . 2011-11-18 20:55 13983976 ----a-w- c:\programme\Firefox Setup 6.0.2.exe
2011-11-16 13:29 . 2011-11-13 23:16 14598944 ----a-w- c:\programme\Firefox Setup 8.0.exe
2011-02-05 21:38 . 2011-02-05 21:37 4236872 -c--a-w- c:\programme\veetle-0.9.18.exe
2010-06-03 21:27 . 2010-06-03 21:26 18499623 -c--a-w- c:\programme\vlc-1.0.5-win32.exe
2010-04-15 12:42 . 2010-04-15 12:41 10405104 -c--a-w- c:\programme\RCATSetup.exe
2010-04-15 10:57 . 2010-04-15 10:57 2577824 -c--a-w- c:\programme\OrbitDownloaderSetup.exe
2010-03-18 17:44 . 2010-03-18 17:44 4998707 -c--a-w- c:\programme\flvplayer_setup20_25.exe
2010-02-25 00:50 . 2010-02-25 00:50 568900 -c--a-w- c:\programme\DVD43_4-6-0_Setup.exe
2003-07-15 05:01 . 2010-09-03 10:02 421432 -c--a-w- c:\programme\SETUPFPG.EXE
2012-06-20 11:00 . 2012-02-28 16:28 85472 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-07 00:15 123536 ----a-w- c:\programme\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-06 64512]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-04 458752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-29 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-29 86016]
"nwiz"="nwiz.exe" [2006-06-29 1519616]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
"QPService"="c:\programme\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
"QlbCtrl"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"{1290A33C-85F5-4164-A1BE-7DD299D4986A}"="c:\programme\CyberLink\PowerBackup\PBKScheduler.exe" [2004-06-08 69721]
"dvd43"="c:\programme\dvd43\dvd43_tray.exe" [2009-10-23 827904]
"LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304]
"Ask and Record FLV Service"="c:\programme\Replay Media Catcher\FLVSrvc.exe" [2009-09-22 156672]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-03-25 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2006-03-25 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2006-03-25 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-25 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-03-25 455168]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-28 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-28 81920]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avast"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2012-03-07 4241512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2010-5-29 110592]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-5-12 581693]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
HP Photosmart Premier – Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqsudi.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqpse.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [14.04.2011 14:11 612184]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10.01.2011 23:09 337880]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [13.06.2012 17:27 792512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10.01.2011 23:09 20696]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [21.03.2012 19:45 136176]
S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [07.06.2006 05:39 61952]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [21.03.2012 19:45 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [18.06.2012 16:59 40776]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [25.04.2012 15:02 113120]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 20:19 50704]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-03-21 17:45]
.
2012-06-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-03-21 17:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
mStart Page = hxxp://www.google.com
IE: &Google-Suche - c:\programme\Google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\Google\GoogleToolbar1.dll/cmcache.html
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Verweisseiten - c:\programme\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\Google\GoogleToolbar1.dll/cmsimilar.html
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\rvy3f31m.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.uibk.ac.at/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Power2GoExpress - (no file)
HKLM-Run-hpqSRMon - (no file)
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUN0407.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-25 16:53
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????<?@????? T??????Y?@?????<?@
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"): Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2336242865-4020040816-3215356452-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*d*& ]
@Class="Shell"
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-2336242865-4020040816-3215356452-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*d*& \OpenWithList]
@Class="Shell"
"a"="PDFCreator.exe"
"MRUList"="a"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|þ»Ñw�*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1368)
c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\FLVService\lib\FLVSrvLib.dll
c:\progra~1\WINDOW~1\wmpband.dll
c:\windows\system32\MSCTF.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Alwil Software\Avast5\AvastSvc.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\ehome\mcrdsvc.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\RUNDLL32.EXE
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\Digital Imaging\Bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
c:\windows\eHome\ehmsas.exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-25 16:58:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-06-25 14:58
.
Vor Suchlauf: 8.272.285.696 Bytes frei
Nach Suchlauf: 8.291.135.488 Bytes frei
.
- - End Of File - - 360EB3429A74151CD72D5F1AD47D5191
--- --- ---
__________________
25.06.2012, 10:36
Hybrid-Darstellung
