| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bewertung eine ComboFix-LogsWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
14.10.2010, 22:57
| #1 |
| |  Bewertung eine ComboFix-Logs Vorweg: ich habe leider zu spät gelesen, dass man combofix als Laie nicht einfach auf verdacht heraus ausführen sollte. Soweit scheint aber aber zum Glück alles gut genagnen zu sein, allerdings interessiert mich, was combofix eigentlich gemacht hat, was ich da hatte bzw. ob ich was hatte und ob jetzt alles weg ist. Auf die Idee, dass ich Probleme habe, kam ich übrigens, als Nero meinte, ich hätte keine Rechte, einen Brenner zu verwenden. Hier das Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-10-12.03 - ***** 23.04.2009 0:13.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.700 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\****\Lokale Einstellungen\Temporary Internet Files\udRemove.exe
c:\windows\system32\Data
.
((((((((((((((((((((((( Dateien erstellt von 2009-03-22 bis 2009-04-22 ))))))))))))))))))))))))))))))
.
2010-09-26 22:08 . 2010-09-26 22:08 -------- d-----w- C:\Heart On
2010-04-20 20:29 . 2010-04-20 20:30 16529184 ----a-w- C:\jre-6u20-windows-i586-s.exe
2010-04-13 16:06 . 2010-04-13 16:06 -------- d-----w- C:\Downloads
2010-03-06 09:17 . 2010-03-06 09:17 -------- d-----w- C:\Program Files
2010-02-22 21:44 . 2010-02-22 21:44 -------- d-----w- C:\WESTWOOD
2009-11-29 15:13 . 2009-11-29 15:13 -------- d-----r- C:\MSOCache
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-04-16 202256]
"nwiz"="nwiz.exe" [2006-11-17 1622016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WPN311 Smart Wizard.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WPN311 Smart Wizard.lnk
backup=c:\windows\pss\NETGEAR WPN311 Smart Wizard.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-08-20 19:45 1164584 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
2010-08-22 11:02 133432 ----a-w- c:\programme\ICQ7.2\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 06:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 15:44 3883840 ----a-w- c:\programme\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-11-17 16:29 1622016 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 09:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-04-16 13:04 202256 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\programme\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"YahooAUService"=2 (0x2)
"gupdate"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"idsvc"=3 (0x3)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\USArmy\\America's Army 2\\System\\ArmyOps.exe"=
"c:\\Programme\\Wolfram Research\\Mathematica\\7.0\\Mathematica.exe"=
"c:\\Programme\\Wolfram Research\\Mathematica\\7.0\\MathKernel.exe"=
"c:\\Programme\\Wolfram Research\\Mathematica\\7.0\\math.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.11.2009 19:45 108289]
S4 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.01.2010 22:53 135664]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.11.2009 14:22 691696]
.
Inhalt des "geplante Tasks" Ordners
2009-04-22 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1220945662-1284227242-1801674531-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
2010-10-11 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1220945662-1284227242-1801674531-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
TCP: {7B67FF27-88B0-4DE9-A122-493E94B3960F} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\dma1l1iz.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprjplug.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2009-04-23 00:20:58
ComboFix-quarantined-files.txt 2009-04-22 22:20
Vor Suchlauf: 10 Verzeichnis(se), 19.817.730.048 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.559.535.104 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - B03BB818EB8D651BB663349660BF71CF
|
| Themen zu Bewertung eine ComboFix-Logs |
| adobe, alles weg, antivir, avg, avgnt, avira, combofix, dateien, desktop, einstellungen, firefox, google, google earth, icq, internet, log, messenger, mozilla, netgear, opera, opera.exe, programme, richtlinie, scan, software, sptd.sys, system, system32, windows, windows recovery, windows xp, wmp |
Baum-Darstellung