Ist das ein Virus?

markusg · 25.05.2008, 11:16

evtl. noch mal neu laden. vllt ist sie bereits instaliert. wenn ja, füre combofix einfach aus. warum es verschwunden ist kann ich dir net sagen ;-)

CandyDarling · 25.05.2008, 11:29

Also die Windowskonsole ist nicht da. Soll ich dann zur Sicherheit eine Diskette erstellen (falls ich sowas noch im Haus habe)?

markusg · 25.05.2008, 11:47

hmm nein dann mach erst mal ohne konsole weiter...

CandyDarling · 25.05.2008, 19:51

Hallo Markus,
ich denke ich hab' jetzt alles zusammen. Ich poste dir sämtliche Logfiles, die du haben wolltest:

1. Combofix

ComboFix 08-05-24.1 - *** 2008-05-25 19:15:39.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.491 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-25 bis 2008-05-25 ))))))))))))))))))))))))))))))
.

2008-05-25 09:46 . 2008-05-25 09:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-25 09:46 . 2008-05-25 09:46 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-25 09:46 . 2008-05-25 09:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-25 09:46 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-25 09:46 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-23 14:40 . 2008-05-23 14:40 <DIR> d-------- C:\Deckard
2008-05-23 14:38 . 2008-05-23 14:38 <DIR> d-------- C:\Programme\Trend Micro
2008-05-23 14:38 . 2008-05-23 14:38 812,344 --a------ C:\HJTInstall.exe
2008-05-23 11:15 . 2008-05-23 11:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-23 11:15 . 2008-05-23 11:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-23 10:37 . 2008-05-23 10:37 0 --a------ C:\Dokumente und Einstellungen\***\msoft25517.exe
2008-05-22 19:41 . 2008-05-22 19:41 <DIR> d-------- C:\Programme\Avira
2008-05-22 19:41 . 2008-05-22 19:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-17 16:24 . 2008-05-21 11:01 <DIR> d-------- C:\Programme\Haufe
2008-05-16 21:39 . 2008-05-19 00:06 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-16 21:39 . 2008-05-16 21:39 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-16 18:56 . 2008-05-16 18:56 <DIR> d-------- C:\Programme\MSXML 4.0
2008-05-16 18:26 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-16 18:26 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-16 18:26 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-16 18:26 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-15 20:23 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-05-15 20:08 . 2008-05-15 20:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-05-15 20:08 . 2008-05-15 20:08 111 --a------ C:\WINDOWS\telephon.ini
2008-05-15 20:07 . 2008-05-15 20:08 <DIR> d-------- C:\Programme\Alice
2008-04-27 15:00 . 2008-04-27 15:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Risxtd
2008-04-27 14:59 . 2008-04-27 15:00 <DIR> d-------- C:\Programme\EndNote 8
2008-04-27 14:58 . 2008-04-27 14:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-22 20:27 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\U3
2008-05-21 08:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-17 15:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-17 15:24 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-04-27 13:01 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\EndNote
2008-04-27 12:56 --------- d-----w C:\Programme\EndNote
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2007-01-08 12:05 19,560 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"pdfSaver3"="C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe" [2004-09-05 18:20 380928]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10 49263]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 18:17 159744]
"MMReminderService"="C:\Programme\Mindjet\MindManager 6\MMReminderService.exe" [2006-12-14 01:16 31232]
"pdfSaver3"="" []
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-31 22:34 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=

S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 05:27]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 19:17:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-25 19:20:55
ComboFix-quarantined-files.txt 2008-05-25 17:19:53

5 Verzeichnis(se), 1,801,129,984 Bytes frei
10 Verzeichnis(se), 1,780,752,384 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

102 --- E O F --- 2008-05-17 16:35:35

markusg · 24.05.2008, 20:46

ist ok so ;-)
hiemmit gehts weiter:
installiere nun zuerst das ComboFix, bevor wir weitere Arbeiten an deinem System vornehmen. Folge dieser Anleitung, waehle die deutsche Übersetzung: Combofix Guide & Instructions, um dich dort über die Anleitung zum Combofix zu informieren, insbesondere über die Installation der Wiederherstellungs Konsole. Installiere die Wiederherstellungskonsole zuerst.

Poste anschliessend ein ComboFix Logfile und ein neues HijackThis Log.

Hinweis: klicke nicht in das Fenster vom ComboFix, während es läuft, das könnte das Programm veranlassen hängen zu bleiben.
Hinweis: das ComboFix kann einige Einstellungen des Internet Explorers zurücksetzen und ihn zu deinem Haupt-Browser machen.
Hinweis: das ComboFix verhindert das starten von CDs, Floppies, USB Geräten, um die Malware Entfernung zu unterstützen und die Sicherheit zu erhöhen.

CandyDarling · 24.05.2008, 21:03

Hey Markus, ich glaube das dauert eine Weile bis ich die Anleitung von ComboFix gelesen habe und verstehe. Hab natürlich keine Windows CD mehr, weiss nicht welches Service Pack ich heruntergeladen habe usw. Kann dabei auch was schief gehen, wenn ja was?

25.05.2008, 11:16	#1
markusg /// Malware-holic	Ist das ein Virus? evtl. noch mal neu laden. vllt ist sie bereits instaliert. wenn ja, füre combofix einfach aus. warum es verschwunden ist kann ich dir net sagen ;-)

25.05.2008, 11:47	#3
markusg /// Malware-holic	Ist das ein Virus? hmm nein dann mach erst mal ohne konsole weiter... __________________

Ist das ein Virus?

Plagegeister aller Art und deren Bekämpfung: Ist das ein Virus?

Ist das ein Virus?

Ist das ein Virus?

Ist das ein Virus?

Ist das ein Virus?

Ist das ein Virus?

Ist das ein Virus?

Ähnliche Themen: Ist das ein Virus?

25.05.2008, 11:29	#2
CandyDarling	Ist das ein Virus? Also die Windowskonsole ist nicht da. Soll ich dann zur Sicherheit eine Diskette erstellen (falls ich sowas noch im Haus habe)? __________________

24.05.2008, 21:03	#6
CandyDarling	Ist das ein Virus? Hey Markus, ich glaube das dauert eine Weile bis ich die Anleitung von ComboFix gelesen habe und verstehe. Hab natürlich keine Windows CD mehr, weiss nicht welches Service Pack ich heruntergeladen habe usw. Kann dabei auch was schief gehen, wenn ja was?