schritt1:
keine dateien von defogger mehr gefunden.
combofix.exe auf dem desktop > umbenannt in uninstall.exe > start > läuft normal durch
logfil:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 14-01-13.01 - Administrator 14.01.2014 10:14:47.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1790.1156 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.FSC521213073107\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-12-14 bis 2014-01-14 ))))))))))))))))))))))))))))))
.
.
2014-01-12 09:59 . 2014-01-12 10:05 -------- dc-h--w- c:\windows\ie8
2014-01-11 19:02 . 2014-01-11 19:02 -------- d-sh--w- c:\dokumente und einstellungen\Surfer\IETldCache
2014-01-07 18:14 . 2014-01-07 18:16 -------- d-----w- C:\AdwCleaner
2014-01-06 16:59 . 2014-01-06 16:59 -------- d-----w- c:\dokumente und einstellungen\Administrator.FSC521213073107\Lokale Einstellungen\Anwendungsdaten\Scansoft
2014-01-06 07:54 . 2014-01-06 07:54 -------- d-----w- c:\dokumente und einstellungen\Surfer\Lokale Einstellungen\Anwendungsdaten\Scansoft
2014-01-05 12:11 . 2014-01-05 12:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.FSC521213073107\Anwendungsdaten\ScanSoft
2014-01-05 11:38 . 2007-01-26 14:06 34816 ------w- c:\windows\system32\BrWiaNCp.dll
2014-01-05 11:38 . 2007-02-06 18:50 61952 ------w- c:\windows\system32\BrNetSti.dll
2014-01-05 11:38 . 2007-01-18 12:51 163840 ------w- c:\windows\system32\NSSearch.dll
2014-01-05 11:38 . 2006-12-26 18:39 37376 ------w- c:\windows\system32\Brnsplg.dll
2014-01-05 11:38 . 2007-01-26 14:05 18944 ------w- c:\windows\system32\BrnStiCp.cpl
2014-01-05 11:38 . 2002-11-26 12:43 106496 ------w- c:\windows\system32\BrMuSNMP.dll
2014-01-05 11:38 . 2006-11-20 19:48 9728 ------w- c:\windows\system32\BrSti07a.dll
2014-01-05 11:34 . 2014-01-05 11:34 -------- d-----w- c:\programme\Nuance
2014-01-05 11:31 . 2014-01-05 11:31 -------- d-----w- c:\programme\Gemeinsame Dateien\ScanSoft Shared
2014-01-05 11:29 . 2014-01-05 11:29 -------- d-----w- c:\programme\ScanSoft
2013-12-20 17:35 . 2014-01-13 09:28 -------- d-----w- C:\FRST
2013-12-16 10:02 . 2013-12-16 10:03 -------- d-----w- c:\dokumente und einstellungen\Administrator.FSC521213073107\Anwendungsdaten\driveridentifier
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-31 15:04 . 2013-02-19 12:29 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-12-31 15:04 . 2013-02-19 12:29 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-12-09 10:37 . 2013-02-19 11:26 90400 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-12-09 10:37 . 2013-02-19 11:26 135648 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-11-16 20:24 . 2013-11-16 20:24 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-11-16 20:24 . 2013-11-16 20:25 145408 ----a-w- c:\windows\system32\javacpl.cpl
2013-11-15 16:04 . 2013-11-15 16:04 12872 ----a-w- c:\windows\system32\bootdelete.exe
2013-11-13 02:59 . 2004-08-04 12:00 150528 ----a-w- c:\windows\system32\imagehlp.dll
2013-11-07 05:38 . 2004-08-04 12:00 591360 ----a-w- c:\windows\system32\rpcrt4.dll
2013-11-06 01:36 . 2008-05-05 05:25 8192 ----a-w- c:\windows\system32\xpsp4res.dll
2013-10-30 02:51 . 2005-10-06 03:08 1879168 ----a-w- c:\windows\system32\win32k.sys
2013-10-29 07:57 . 2004-08-04 12:00 920064 ----a-w- c:\windows\system32\wininet.dll
2013-10-29 07:57 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2013-10-29 07:57 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-10-29 07:57 . 2004-08-04 12:00 18944 ------w- c:\windows\system32\corpol.dll
2013-10-29 00:45 . 2004-08-04 12:00 385024 ------w- c:\windows\system32\html.iec
2013-10-23 23:45 . 2004-08-04 12:00 172032 ----a-w- c:\windows\system32\scrrun.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2006-09-21 53248]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2005-04-16 172032]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-12-09 684600]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2013-04-21 59720]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2013-05-01 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2013-07-02 254336]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0bootdelete
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro37CrusaderBoot]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\Administrator\\Lokale Einstellungen\\Temp\\jivexviewer\\jre\\bin\\JiveX[dv] light"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [19.2.2013 12:26 37352]
R2 AntiVirMailService;Avira Email-Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [19.2.2013 12:26 896056]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.2.2013 12:26 440376]
R2 AntiVirWebService;Avira Browser-Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [19.2.2013 12:26 1011768]
R2 serviceIEConfig;IEConfig 1und1/WEB.DE/GMX Edition;c:\windows\system32\ieconfig_1und1_svc.exe [12.4.2011 10:04 1404008]
S3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\drivers\nx6000.sys [13.4.2012 15:51 30576]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys --> c:\windows\system32\drivers\PDNMp50.sys [?]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys --> c:\windows\system32\drivers\PDNSp50.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-12-23 c:\windows\Tasks\Festplatte C defragmentieren.job
- c:\windows\system32\defrag.exe [2004-08-04 02:22]
.
2013-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-03-18 15:11]
.
2013-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2013-03-18 15:11]
.
2014-01-13 c:\windows\Tasks\Windows Update.job
- c:\windows\system32\wupdmgr.exe [2004-08-04 12:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://https://produkte.web.de/browser/?mc=extern@browser@legacy@xml.produkte@browser
uSearchAssistant = hxxp://www.google.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\Administrator.FSC521213073107\Anwendungsdaten\Mozilla\Firefox\Profiles\4xznhiku.default\
FF - prefs.js: browser.search.selectedEngine -
FF - ExtSQL: 2013-12-13 18:53; firefox@splashurl.com; c:\dokumente und einstellungen\Administrator.FSC521213073107\Anwendungsdaten\Mozilla\Firefox\Profiles\4xznhiku.default\extensions\firefox@splashurl.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-01-14 10:22
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\serviceIEConfig]
"ImagePath"="c:\windows\system32\ieconfig_1und1_svc.exe /startedbyscm:016FE01B-40E31F2D-serviceIEConfig"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~�*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(788)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(2096)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
- - - - - - - > 'explorer.exe'(2384)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2014-01-14 10:25:13
ComboFix-quarantined-files.txt 2014-01-14 09:25
ComboFix2.txt 2014-01-11 17:01
.
Vor Suchlauf: 13 Verzeichnis(se), 73.897.975.808 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 73.817.030.656 Bytes frei
.
- - End Of File - - C957F0A8BC36C1F2B58DF236308C9ACA
72B8CE41AF0DE751C946802B3ED844B4
jedoch deinstalliert hat sich nichts.
versuch mit
Zitat:
Windowstaste + R > Combofix /Uninstall (eingeben) > OK
datei kann nicht gefunden werden.
da Du schreibst, die reihenfolge ist wichtig,
warte ich hier erstmal.............
Baum-Darstellung