so hier der txt. von cofi.exe ich glaube der hat den virus vernichtet :-)
Code:
Alles auswählen Aufklappen ATTFilter
ComboFix 10-10-04.02 - user 05.10.2010 20:37:47.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3063.2651 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\Cofi.exe
AV: Norton AntiVirus Kompakt *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\system volume information\Microsoft
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-05 bis 2010-10-05 ))))))))))))))))))))))))))))))
.
2010-10-03 14:42 . 2010-10-03 14:43 -------- d-----w- c:\programme\ERUNT
2010-10-03 14:33 . 2010-10-03 14:33 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Malwarebytes
2010-10-03 14:33 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-03 14:32 . 2010-10-03 14:33 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-03 14:32 . 2010-10-03 14:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-03 14:32 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-03 13:57 . 2010-10-03 13:57 388096 ----a-r- c:\dokumente und einstellungen\user\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-10-03 13:57 . 2010-10-03 13:57 -------- d-----w- c:\programme\Trend Micro
2010-09-28 20:00 . 2010-09-28 20:42 -------- d-----w- c:\programme\vShare
2010-09-11 11:28 . 2010-09-11 11:26 185640 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-09-11 11:28 . 2010-09-11 11:28 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-09-11 11:28 . 2010-09-11 11:28 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-09-11 11:28 . 2010-09-11 11:28 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-09-11 11:28 . 2010-09-11 11:28 57691 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-09-11 11:27 . 2010-09-11 11:27 84063 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-09-11 11:27 . 2010-09-11 11:27 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-09-11 11:26 . 2010-09-11 11:26 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-05 18:28 . 2010-10-05 18:28 -------- d-----w- c:\programme\CCleaner
2010-10-04 19:07 . 2010-06-30 17:08 1 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-28 17:58 . 2010-07-28 12:14 -------- d-----w- c:\programme\PokerStars.NET
2010-09-15 22:10 . 2010-08-30 08:30 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2010-09-15 22:10 . 2010-08-30 08:30 -------- d-----w- c:\programme\Real
2010-09-14 08:44 . 2008-04-14 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2010-09-14 08:44 . 2008-04-14 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2010-09-12 18:41 . 2010-07-23 11:54 -------- d-----w- c:\programme\Vodafone
2010-09-11 11:28 . 2010-06-20 10:55 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-11 11:28 . 2010-06-20 10:50 -------- d-----w- c:\programme\DivX
2010-09-11 11:28 . 2010-06-20 10:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-09-11 11:26 . 2010-07-27 16:43 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-09-11 11:26 . 2010-07-27 16:43 850200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-08-30 08:30 . 2010-08-30 08:30 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-08-30 08:30 . 2010-08-30 08:30 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-08-21 22:39 . 2010-08-21 22:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-21 22:39 . 2010-06-23 22:16 -------- d-----w- c:\programme\Java
2010-08-17 13:17 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 17:01 . 2010-08-16 16:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-08-14 18:33 . 2010-08-14 18:33 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Tific
2010-08-14 18:24 . 2010-08-14 18:24 5125664 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Uniblue\RegistryBooster\_temp\ub.exe
2010-08-09 16:04 . 2010-08-09 16:04 827368 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\MSNInstaller\msnauins.exe
2010-08-09 16:04 . 2010-08-09 16:04 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\MSNInstaller
2010-08-09 13:08 . 2010-07-09 14:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2010-08-03 18:01 . 2010-08-03 18:01 503808 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-32f5768b-n\msvcp71.dll
2010-08-03 18:01 . 2010-08-03 18:01 499712 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-32f5768b-n\jmc.dll
2010-08-03 18:01 . 2010-08-03 18:01 348160 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-32f5768b-n\msvcr71.dll
2010-08-03 18:01 . 2010-08-03 18:01 61440 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6d66ccc8-n\decora-sse.dll
2010-08-03 18:01 . 2010-08-03 18:01 12800 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6d66ccc8-n\decora-d3d.dll
2010-07-27 16:43 . 2010-07-27 16:43 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-27 16:43 . 2010-07-27 16:43 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-27 16:42 . 2010-07-27 16:42 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-07-22 15:48 . 2008-04-14 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-06-23 22:16 423656 ----a-w- c:\windows\system32\deployJava1.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{2136E952-826A-440D-A56F-BF568930D5EA}"="c:\programme\Vodafone\HighPerformance Client\bmoc -d" [X]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-10 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-10 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-10 137752]
"Adobe Reader Speed Launcher"="e:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2010-03-24 2499584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\user\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
R0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [11.03.2010 09:36 13184]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1108000.005\symds.sys [24.09.2010 18:26 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1108000.005\symefa.sys [24.09.2010 18:26 173104]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1108000.005\cchpx86.sys [24.09.2010 18:26 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1108000.005\ironx86.sys [24.09.2010 18:26 116784]
R2 NAV;Norton AntiVirus Kompakt;c:\programme\Norton AntiVirus\Engine\17.8.0.5\ccsvchst.exe [24.09.2010 18:26 126392]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [25.03.2010 01:32 9216]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [19.06.2010 21:11 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20101004.002\IDSXpx86.sys [05.10.2010 19:48 331640]
R3 vodafone_K3805-z_dc_enum;vodafone_K3805-z_dc_enum;c:\windows\system32\drivers\vodafone_K3805-z_dc_enum.sys [01.03.2010 18:35 80000]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [08.06.2010 19:57 110592]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\zteusbvoice.sys [08.06.2010 19:57 105344]
S0 cerc6;cerc6; [x]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [20.06.2010 12:51 135664]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [19.06.2010 22:58 7680]
.
Inhalt des "geplante Tasks" Ordners
2010-10-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-20 10:51]
2010-10-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-06-20 10:51]
2010-09-26 c:\windows\Tasks\Norton Security Scan for user.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-07-11 07:48]
2010-10-05 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-08-14 07:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\user\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\vexl6huo.default\
FF - prefs.js: browser.startup.homepage - Google
FF - component: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll
FF - component: c:\programme\Vodafone\HighPerformance Client\addon\components\bmboc_addon3.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-RTHDCPL - RTHDCPL.EXE
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NAV]
"ImagePath"="\"c:\programme\Norton AntiVirus\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NAV\" /m \"c:\programme\Norton AntiVirus\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,2b,39,5a,5c,9d,80,59,40,83,c6,20,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,2b,39,5a,5c,9d,80,59,40,83,c6,20,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-10-05 20:44:05
ComboFix-quarantined-files.txt 2010-10-05 18:44
Vor Suchlauf: 9 Verzeichnis(se), 93.372.530.688 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 93.429.227.520 Bytes frei
- - End Of File - - A3AF753223480EEC1D0CA64D319205F9
05.10.2010, 20:02
Baum-Darstellung