Code:
Alles auswählen Aufklappen ATTFilter
Combofix Logfile:
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 14-12-23.01 - User 25.12.2014 10:36:53.5.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.632 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\FileZilla FTP Client\locales\sl_SI\eat_drink\handwriting.exe
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_EVENTS
-------\Service_events
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-11-27 bis 2014-12-27 ))))))))))))))))))))))))))))))
.
.
2014-12-17 22:45 . 2014-12-17 22:53 -------- d-----w- C:\TDSSKiller_Quarantine
2014-12-17 18:19 . 2014-12-17 23:55 -------- d--h--w- c:\dokumente und einstellungen\User\Anwendungsdaten\Accessdeal
2014-12-17 12:18 . 2014-12-17 16:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes' Anti-Malware (portable)
2014-12-17 00:32 . 2014-12-17 23:55 -------- d--h--w- c:\dokumente und einstellungen\User\Anwendungsdaten\Signal-forget
2014-12-16 17:50 . 2014-12-17 23:55 -------- d--h--w- c:\dokumente und einstellungen\User\Anwendungsdaten\Channel-text
2014-12-16 11:44 . 2014-12-17 00:38 -------- d--h--w- c:\dokumente und einstellungen\User\Anwendungsdaten\Phkezaain
2014-12-15 21:33 . 2014-12-17 23:55 -------- d--h--w- c:\dokumente und einstellungen\User\Anwendungsdaten\Account-weight
2014-12-15 16:29 . 2014-12-15 16:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\jxh
2014-12-05 09:56 . 2014-12-05 09:59 -------- d-----w- c:\programme\OpenOffice 4
2014-12-01 09:35 . 2014-12-01 09:35 114904 ----a-w- c:\windows\system32\drivers\6F062457.sys
2014-12-01 08:14 . 2014-12-21 01:22 -------- d-----w- C:\FRST
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-12-17 13:49 . 2014-10-19 23:37 119000 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-12-17 13:45 . 2014-10-19 23:37 55000 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-12-10 08:17 . 2013-12-06 12:20 701104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-12-10 08:17 . 2012-01-18 08:01 71344 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-11-18 13:56 . 2014-11-18 13:56 1202848 ----a-w- c:\windows\system32\FM20.DLL
2014-10-01 10:11 . 2014-10-19 23:37 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2013-11-14 20584608]
"CCleaner Monitoring"="c:\programme\CCleaner\CCleaner.exe" [2014-09-26 4811032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-05 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-05 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-05 137752]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]
"photo_gallery"="c:\programme\FileZilla FTP Client\locales\sl_SI\eat_drink\handwriting.exe" [BU]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2010-9-22 607584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-12-29 10:40 687560 -c--a-w- c:\programme\DAEMON Tools Lite\daemon.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 Mobile Broadband HL Service;Mobile Broadband HL Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\MobileBrServ\mbbService.exe [29.10.2013 12:49 239184]
R2 Skype C2C Service;Skype C2C Service;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Toolbars\Skype C2C Service\c2c_service.exe [05.07.2012 17:41 3048136]
R3 NETwLx32; Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows XP 32-Bit;c:\windows\system32\drivers\NETwLx32.sys [21.03.2011 06:48 6609920]
S2 image_stabilization;app_switching;c:\windows\assembly\GAC_MSIL\PresentationUI\3.0.0.0__31bf3856ad364e35\age_of_onset\conversation.exe [31.03.2012 17:19 189440]
S2 kit_item;menu_bar;c:\windows\assembly\GAC_MSIL\PresentationUI\3.0.0.0__31bf3856ad364e35\age_of_onset\partition.exe [14.11.2012 00:38 220672]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [23.10.2013 07:15 172192]
S2 volume_control_button;operation;c:\windows\assembly\GAC_MSIL\PresentationUI\3.0.0.0__31bf3856ad364e35\age_of_onset\audio.exe [10.10.2014 17:48 221184]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\DRIVERS\ewusbnet.sys --> c:\windows\system32\DRIVERS\ewusbnet.sys [?]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys --> c:\windows\system32\DRIVERS\ewusbdev.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.03.2011 10:09 717296]
.
Inhalt des "geplante Tasks" Ordners
.
2014-12-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-12-06 08:17]
.
2014-12-27 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Benachrichtigung – Anmeldung.job
- c:\windows\system32\xp_eos.exe [2014-03-27 23:28]
.
2014-12-08 c:\windows\Tasks\Ende des Supports für Microsoft Windows XP – Monatliche Benachrichtigung.job
- c:\windows\system32\xp_eos.exe [2014-03-27 23:28]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
uSearchAssistant = hxxp://www.google.com
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\d90tq7ym.default-1413761053703\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-account-code - c:\dokumente und einstellungen\User\Anwendungsdaten\Account-weight\account-count.exe
HKCU-Run-channel-shock - c:\dokumente und einstellungen\User\Anwendungsdaten\Channel-text\channeldraft.exe
HKCU-Run-signal-contain - c:\dokumente und einstellungen\User\Anwendungsdaten\Signal-forget\signal_live.exe
HKCU-Run-access-contain - c:\dokumente und einstellungen\User\Anwendungsdaten\Accessdeal\access-wing.exe
SafeBoot-90934020.sys
SafeBoot-98266048.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-12-27 13:45
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1547161642-1035525444-1417001333-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
@DACL=(02 0000)
"ParseAutoexec"="1"
"ExcludeProfileDirs"="Lokale Einstellungen;Temporary Internet Files;Verlauf;Temp"
"BuildNumber"=dword:00000a28
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_246_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_15_0_0_246_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2888)
c:\windows\system32\btmmhook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\programme\WinSCP\DragExt.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\Juniper Networks\Common Files\dsNcService.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-12-27 13:56:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2014-12-27 12:55
ComboFix2.txt 2014-12-02 03:02
.
Vor Suchlauf: 3.729.268.736 Bytes frei
Nach Suchlauf: 3.859.197.952 Bytes frei
.
- - End Of File - - B1BA8F53963B8DB3B3D5AA9E39497BC9
--- --- ---
72B8CE41AF0DE751C946802B3ED844B4
27.12.2014, 14:10
Baum-Darstellung