ComboFix lässt sich nicht starten

mr_pink · 19.10.2008, 17:08

Hallo,

ich habe - wie schon einige Nutzer dieses Forums vor mir - das Problem mit dem Roten Kreis mit dem weißen Kreuz, XP Antispyware 2009.

Ich habe diesen Thread hier gefunden
http://www.trojaner-board.de/61720-kp-das-ist.html
und das problem schien mir das gleiche zu sein. Allerdings kann ich die Anweisungen zum reparieren nicht befolgen, weil mein Laptop nicht mehr viel macht.

Firefox hat sich zwar starten lassen aber einfach keine Google Suche ausgeführt, weshalb ich das ComboFix zuerst nicht runterladen konnte. Hab es dann auf meinen zweiten Laptop geladen (von dem ich jetzt auch schreibe) und per USB stick auf den infizierten Laptop gespielt (auf den Desktop).

Aber das Programm lässt sich nicht ausführen. Wenn ich es anklicke passiert einfach garnichts. Im Task Manager laufen auch kein Prozesse, die nach ComboFix aussehen.

Jetzt bin ich mit meinem Latein am Ende. Ich wäre für eure Hilfe SEEHR dankbar und sitze hier bereit um weitere Informationen zu liefern falls welche fehlen.

Anne

raman · 19.10.2008, 17:13

Lade dir eine neue Version von combofix herunter, aber speichere diese Version gleich als combo-fix.exe auf den Desktop. Dann sollte es funktionieren.

mr_pink · 19.10.2008, 18:22

Vielen Dank Raman, so hat das tatsächlich funktioniert.

das log file, das KomboFix erstell hat lautet:

ComboFix 08-10-18.03 - sami 2008-10-19 19:09:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.653 [GMT 2:00]
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.695 [GMT 2:00]

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\sami\Cookies\imak.lib
C:\Dokumente und Einstellungen\sami\Cookies\izebakakad.db
C:\Dokumente und Einstellungen\sami\Cookies\uqakatin.dat
C:\Dokumente und Einstellungen\sami\Cookies\utufipylos.inf
C:\Dokumente und Einstellungen\sami\Startmenü\Programme\XP_AntiSpyware
C:\Dokumente und Einstellungen\sami\Startmenü\Programme\XP_AntiSpyware\Uninstall.lnk
C:\Dokumente und Einstellungen\sami\Startmenü\Programme\XP_AntiSpyware\XP_AntiSpyware.lnk
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\AVEngn.dll
C:\Programme\XP_AntiSpyware\data\daily.cvd
C:\Programme\XP_AntiSpyware\htmlayout.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcm80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcp80.dll
C:\Programme\XP_AntiSpyware\Microsoft.VC80.CRT\msvcr80.dll
C:\Programme\XP_AntiSpyware\pthreadVC2.dll
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\Programme\XP_AntiSpyware\wscui.cpl
C:\Programme\XP_AntiSpyware\XP_Antispyware.cfg
C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\karna.dat
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\DelSelf.bat
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\karna.dat
C:\WINDOWS\system32\wini10801.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-19 bis 2008-10-19 ))))))))))))))))))))))))))))))
.

2008-10-19 19:02 . 2008-10-19 19:02 <DIR> d-------- C:\Programme\CCleaner
2008-10-19 17:39 . 2008-10-19 17:39 19,937 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\eluva.bat
2008-10-19 17:39 . 2008-10-19 17:39 17,061 --a------ C:\WINDOWS\watuf.dl
2008-10-19 17:39 . 2008-10-19 17:39 15,359 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\egawupa.com
2008-10-19 17:39 . 2008-10-19 17:39 12,717 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\jiqa.exe
2008-10-19 17:39 . 2008-10-19 17:39 11,482 --a------ C:\Programme\Gemeinsame Dateien\dukyfad.exe
2008-10-19 17:38 . 2008-10-14 23:14 211,984 --a------ C:\WINDOWS\system32\_scui.cpl
2008-10-19 17:27 . 2008-10-19 17:35 77,824 --a------ C:\WINDOWS\system32\TDSSogon.dll
2008-10-19 17:27 . 2008-10-19 17:35 61,952 --a------ C:\WINDOWS\system32\drivers\TDSSqaxi.sys
2008-10-19 17:27 . 2008-10-19 17:35 45,056 --a------ C:\WINDOWS\system32\av.dat
2008-10-19 17:27 . 2008-10-19 17:35 36,864 --a------ C:\WINDOWS\system32\TDSSkvcj.dll
2008-10-19 17:27 . 2008-10-19 17:35 31,232 --a------ C:\WINDOWS\system32\TDSSpcpc.dll
2008-10-19 17:27 . 2008-10-19 17:35 29,696 --a------ C:\WINDOWS\system32\TDSSkrtj.dll
2008-10-19 17:27 . 2008-10-19 17:35 12,288 --a------ C:\WINDOWS\system32\TDSSkhqd.dll
2008-10-19 17:27 . 2008-10-19 17:42 3,530 --a------ C:\WINDOWS\system32\TDSSqjsa.dll
2008-10-19 17:27 . 2008-10-19 17:35 164 --a------ C:\WINDOWS\system32\TDSSwhct.dat
2008-10-19 14:01 . 2008-10-19 14:01 <DIR> d-------- C:\Programme\MSECache
2008-10-10 01:18 . 2008-10-10 01:19 <DIR> d-------- C:\Programme\iTunes
2008-10-10 01:18 . 2008-10-10 01:18 <DIR> d-------- C:\Programme\iPod
2008-10-10 01:18 . 2008-10-10 01:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-29 18:18 . 2007-07-12 12:58 49,904 -ra------ C:\WINDOWS\system32\drivers\BVRPMPR5.SYS
2008-09-29 18:17 . 2008-09-29 18:58 <DIR> d-------- C:\Netgear
2008-09-25 23:35 . 2008-09-25 23:35 <DIR> d-------- C:\Programme\Bonjour
2008-09-25 23:34 . 2008-09-25 23:34 <DIR> d-------- C:\Programme\QuickTime

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 17:15 --------- d-----w C:\DOKUME~1\ALLUSE~1\ANWEND~1\HDD Thermometer
2008-10-19 15:51 --------- d-----w C:\Dokumente und Einstellungen\sami\Anwendungsdaten\Skype
2008-10-19 15:39 15,767 ----a-w C:\WINDOWS\system32\ozybegoka.bat
2008-10-19 15:39 13,938 ----a-w C:\WINDOWS\uwijah.vbs
2008-10-19 15:39 12,733 ----a-w C:\Programme\Gemeinsame Dateien\ozomiso._dl
2008-10-19 15:39 11,735 ----a-w C:\WINDOWS\system32\towakixyh.vbs
2008-10-19 15:39 11,411 ----a-w C:\WINDOWS\syzysezij.dll
2008-10-19 15:39 11,166 ----a-w C:\WINDOWS\inipocyxo.dll
2008-10-19 14:17 --------- d-----w C:\Dokumente und Einstellungen\sami\Anwendungsdaten\uTorrent
2008-10-17 23:55 --------- d-----w C:\Dokumente und Einstellungen\sami\Anwendungsdaten\Apple Computer
2008-09-25 21:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-15 20:45 --------- d-----w C:\Programme\IKEA HomePlanner
2008-09-15 20:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-15 15:37 1,846,144 ----a-w C:\WINDOWS\system32\win32k.sys
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-28 22:43 --------- d-----w C:\Dokumente und Einstellungen\sami\Anwendungsdaten\LimeWire
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-26 07:57 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:42 2,182,656 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:42 2,060,032 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]
"RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2005-04-01 215040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-11-02 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-11-02 126976]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-06-30 1388544]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-11-05 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-05 688218]
"MagicKeyboard"="C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]
"AVStation premium"="C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" [2005-02-25 188416]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-03-17 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-22 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2008-05-26 6144]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="logonuiSS.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSqaxi.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Maple 10\\jre\\bin\\maple.exe"=
"C:\\Programme\\Maple 10\\jre\\bin\\java.exe"=
"C:\\Programme\\FreeCall.com\\FreeCall\\FreeCall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 R592;R592;C:\WINDOWS\system32\DRIVERS\R592.sys [2004-01-18 54912]
R2 DOSMEMIO;MEMIO;C:\WINDOWS\system32\MEMIO.SYS [2000-08-23 4300]
S1 lusbaudio;Logitech USB-Mikrofon;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 25216]
S3 QCEmerald;Logitech QuickCam Web;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 31872]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
Toolbar-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe
HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\DOKUME~1\sami\ANWEND~1\Mozilla\Firefox\Profiles\0ca5qa9x.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Dokumente und Einstellungen\sami\Anwendungsdaten\Mozilla\Firefox\Profiles\0ca5qa9x.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07100121.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 19:13:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Samsung\MagicKBD\MagicKBD.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-19 19:17:21 - PC wurde neu gestartet [sami]
ComboFix-quarantined-files.txt 2008-10-19 17:17:17

Vor Suchlauf: 2,339,348,480 Bytes frei
Nach Suchlauf: 2,467,389,440 Bytes frei

198 --- E O F --- 2008-10-16 05:22:09

Muss ich jetzt noch irgend etwas tun?

Wobei holt man sich diesen Trojaner eigentlich? Ich habe nichts außergewöhnliches gemacht und würde gerne vermeiden, dass ich ihn nochmal bekomme!

Danke für die Hilfe!!
Anne

raman · 20.10.2008, 15:25

Da ist noch einiges an Malware. Du kannst mbam und Drweb den Rechner pruefen und bereinigen lassen und dann mit einer neu heruntergeladenen Combofix Version ein Report erstellen, sowie den Mbam Report posten

http://www.trojaner-board.de/51187-a...i-malware.html
http://www.trojaner-board.de/59299-a...eb-cureit.html

ComboFix lässt sich nicht starten

Plagegeister aller Art und deren Bekämpfung: ComboFix lässt sich nicht starten