Trojaner oder defekte Festplatte?

cosinus · 25.04.2011, 13:59

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

File::
c:\dokume~1\Tesa\LOKALE~1\Temp\gsplittm.sys

Driver::
gsplittm

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Sheherasade · 25.04.2011, 20:49

hier nun die neue Log-Datei.
allerdings habe ich das Anti-Viren-Sytem nur bis zum Neustart deaktiviert und es ist eben nach diesem wieder angesprungen. Ich habe es dan gleich wieder deaktiviert, ich hoffe das hat nichts geändert.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-25.01 - Tesa 25.04.2011  21:33:04.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3199.2726 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Tesa\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Tesa\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
FILE ::
"c:\dokume~1\Tesa\LOKALE~1\Temp\gsplittm.sys"
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_GSPLITTM
-------\Service_gsplittm
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-25 bis 2011-04-25  ))))))))))))))))))))))))))))))
.
.
2011-04-23 23:39 . 2011-04-23 23:39	--------	d-----w-	c:\dokumente und einstellungen\Tesa\Anwendungsdaten\The Games Company
2011-04-23 23:31 . 2011-04-23 23:31	--------	d-----w-	c:\programme\The Games Company
2011-04-21 21:44 . 2011-04-21 21:44	--------	d-----w-	C:\_OTL
2011-04-21 18:14 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-21 18:14 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-21 15:58 . 2011-04-21 15:58	40960	----a-r-	c:\dokumente und einstellungen\Tesa\Anwendungsdaten\Microsoft\Installer\{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}\WinDlg.exe_0AB76F69E7614CFAB9B0A1906B4E9E4B_3.exe
2011-04-21 15:58 . 2011-04-21 15:58	--------	d-----w-	c:\programme\Western Digital Technologies
2011-04-21 08:17 . 2011-04-21 08:17	--------	d-----w-	c:\windows\system32\wbem\Repository
2011-04-21 08:13 . 2011-04-21 08:13	--------	d-----w-	c:\programme\PaintStar
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 17:25 . 2010-11-17 11:35	40112	----a-w-	c:\windows\avastSS.scr
2011-04-18 17:25 . 2010-01-22 16:31	199304	----a-w-	c:\windows\system32\aswBoot.exe
2011-03-07 05:33 . 2009-06-21 14:32	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2006-02-28 12:00	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2006-02-28 12:00	1858048	----a-w-	c:\windows\system32\win32k.sys
2011-02-23 14:56 . 2011-02-23 23:23	371544	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-02-23 14:56 . 2010-01-22 16:31	301528	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2010-01-22 16:32	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2010-01-22 16:31	102232	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-02-23 14:55 . 2010-01-22 16:31	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-02-23 14:55 . 2010-01-22 16:32	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:54 . 2010-01-22 16:32	30680	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-02-23 14:54 . 2010-01-22 16:31	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-02-17 13:51 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2011-02-17 13:51 . 2006-02-28 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2011-02-17 13:51 . 2006-02-28 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2011-02-17 13:50 . 2006-02-28 12:00	371200	----a-w-	c:\windows\system32\html.iec
2011-02-17 13:18 . 2006-02-28 12:00	455936	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2006-02-28 12:00	357888	----a-w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2006-02-28 12:00	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2006-02-28 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2006-02-28 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2006-02-28 12:00	978944	----a-w-	c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2006-02-28 12:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2011-02-02 07:58 . 2009-06-21 14:31	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2009-06-21 14:31	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-27 11:35 . 2009-06-24 15:44	43520	----a-w-	c:\windows\system32\CmdLineExt03.dll
.
.
(((((((((((((((((((((((((((((   SnapShot@2011-04-24_18.11.56   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-04-25 19:41 . 2011-04-25 19:41	16384              c:\windows\Temp\Perflib_Perfdata_7ec.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04	122512	------w-	c:\programme\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkinClock"="c:\programme\Free Desktop Clock\DesktopClock.exe" [2006-10-01 334848]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P17Helper"="P17.dll" [2005-05-03 64512]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-17 18789408]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"avast5"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
"PDFPrint"="c:\programme\PDF24\pdf24.exe" [2010-12-14 216456]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main.exe"=
"c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=
"c:\\Programme\\Atari\\Neverwinter Nights 2\\nwupdate.exe"=
"c:\\Programme\\Atari\\Neverwinter Nights 2\\nwn2server.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [24.02.2011 01:23 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [22.01.2010 18:31 301528]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22.01.2010 18:31 19544]
R2 NAUpdate;@c:\programme\Nero\Update\NASvc.exe,-200;c:\programme\Nero\Update\NASvc.exe [04.05.2010 13:07 503080]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [07.11.2007 21:55 332928]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21.01.2010 22:31 1684736]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\dokumente und einstellungen\Tesa\Anwendungsdaten\Mozilla\Firefox\Profiles\wq4r8qzl.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BetterPrivacy: {d40f5e7b-d2cf-4856-b441-cc613eeffbe3} - %profile%\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-25 21:43
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1844237615-1844823847-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-1844237615-1844823847-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:f0,a6,e6,dc,dd,11,4b,c5,0e,c8,3c,d3,31,dc,55,d8,ca,4f,39,ac,88,d0,65,
   dc,54,ef,ef,3b,bd,a6,5f,5f,38,4d,03,f6,4e,c1,a6,9a,65,aa,34,00,1d,bb,4f,a0,\
"??"=hex:c2,e0,f3,a5,39,30,28,dd,54,d7,87,01,64,75,82,cd
.
[HKEY_USERS\S-1-5-21-1844237615-1844823847-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:3b,76,47,2b,a9,99,db,21,ce,2a,ab,d0,97,70,20,5a,8a,dd,ca,d7,eb,
   10,06,5a,75,b3,9a,7e,58,c1,4f,17,1a,90,70,7e,cf,33,21,2f,d0,af,b2,d0,5a,fb,\
"rkeysecu"=hex:41,a1,86,bc,96,01,87,95,c0,ab,4f,26,8d,07,39,b4
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1124)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3600)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Alwil Software\Avast5\AvastSvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\Rundll32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-25  21:46:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-25 19:45
ComboFix2.txt  2011-04-24 18:14
.
Vor Suchlauf: 10 Verzeichnis(se), 209.750.728.704 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 209.546.641.408 Bytes frei
.
Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
- - End Of File - - 564FD4C4A50C0B15E834C4851D871B5C

--- --- ---

Trojaner oder defekte Festplatte?

Plagegeister aller Art und deren Bekämpfung: Trojaner oder defekte Festplatte?

Trojaner oder defekte Festplatte?

Trojaner oder defekte Festplatte?

Ähnliche Themen: Trojaner oder defekte Festplatte?