hallo cosinus!
habe combofix nochmal ausgeführt mit dem txt von dir.
Nach dem neustart war aber avira gard an (habe ich dann gleich wieder ausgeschaltet) und die Firewall war wahrscheinlich auch an. Aber ich denke, dass ist normal, wenn combofix dem nicht vorbeugt.
Hast du schon eine Vermutung woher das shutdown ausgeführt wird?
Danke und Gruß!
hier die LogDatei:
[CODE]
Combofix Logfile: Code:
ComboFix 10-10-01.01 - *** 03.10.2010 13:54:35.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.767.415 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00DB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00DC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00E8-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00F4-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00D3-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00E0-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00E4-0D24-347CA8A3377C}
AV: BitDefender Internet Security v10 *On-access scanning disabled* (Outdated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: BitDefender Internet Security v10 *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
* Neuer Wiederherstellungspunkt wurde erstellt
FILE ::
"c:\dokumente und einstellungen\***\Anwendungsdaten\Adobe\Update\wndset.exe"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\***\Anwendungsdaten\Adobe\Update\wndset.exe
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-03 bis 2010-10-03 ))))))))))))))))))))))))))))))
.
2010-10-01 22:29 . 2010-10-01 22:29 -------- d-----w- c:\programme\CCleaner
2010-09-26 13:13 . 2010-08-26 12:45 30528 ----a-w- c:\windows\system32\TURegOpt.exe
2010-09-26 13:13 . 2010-08-26 12:40 30016 ----a-w- c:\windows\system32\uxtuneup.dll
2010-09-26 13:12 . 2010-09-26 13:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TuneUp Software
2010-09-26 13:12 . 2010-09-26 13:14 -------- d-----w- c:\programme\TuneUp Utilities 2010
2010-09-26 13:11 . 2010-09-26 13:12 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\TuneUp Software
2010-09-26 01:14 . 2010-10-01 22:52 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Spybot - Search & Destroy
2010-09-26 01:14 . 2010-09-26 01:30 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-17 16:40 . 2010-09-17 16:40 -------- d--h--w- c:\windows\PIF
2010-09-17 16:40 . 2003-01-20 11:22 77824 ----a-w- c:\windows\system32\XCOLExt.dll
2010-09-17 16:40 . 1999-01-05 14:15 78096 ----a-w- c:\windows\system32\GAPI32.dll
2010-09-17 16:40 . 2010-09-17 16:41 -------- d-----w- c:\programme\Gemeinsame Dateien\XCPCSync
2010-09-17 16:40 . 2010-09-17 16:41 -------- d-----w- c:\programme\Siemens Data Suite
2010-09-17 16:40 . 2010-09-17 16:40 -------- d-----w- c:\programme\Gemeinsame Dateien\Siemens AG Shared
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 11:48 . 2009-01-16 20:30 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\.purple
2010-10-03 11:48 . 2006-11-18 12:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-10-02 09:17 . 2009-09-03 23:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Media Player Classic
2010-10-02 00:49 . 2006-11-22 17:57 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Winamp
2010-10-01 22:52 . 2006-11-22 17:57 -------- d-----w- c:\programme\Winamp
2010-09-17 21:15 . 2006-11-18 12:18 -------- d-----w- c:\programme\Yahoo!
2010-09-17 16:42 . 2006-11-20 18:50 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-09-17 16:35 . 2006-11-20 18:49 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-09-17 15:13 . 2008-03-19 15:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\XnView
2010-09-17 12:59 . 2006-11-19 17:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\uTorrent
2010-09-16 11:13 . 2004-08-04 12:00 49174 ----a-w- c:\windows\system32\perfc007.dat
2010-09-16 11:13 . 2004-08-04 12:00 320094 ----a-w- c:\windows\system32\perfh007.dat
2010-08-31 07:08 . 2004-08-04 12:00 96384 ----a-w- c:\windows\system32\drivers\sptddrv1.sys
2010-08-30 21:59 . 2010-08-30 21:59 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-08-30 21:59 . 2010-08-30 21:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-30 21:59 . 2010-08-30 21:59 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-17 09:11 . 2010-08-17 09:11 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Helper
2010-08-11 06:43 . 2008-12-01 21:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2007-01-19 10:12 . 2007-01-19 10:13 886592 ----a-w- c:\programme\areslite181.exe
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"UpdReg"="c:\windows\Updreg.exe" [2000-05-11 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"nwiz"="nwiz.exe" [2004-07-15 843776]
"Monitor"="c:\windows\Philips\SPC220NC\Monitor.exe" [2006-11-03 319488]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"DisplayTrayIcon"="c:\windows\system32\TrayIcon.exe" [2001-10-17 147456]
"WD Spindown Utility"="c:\programme\Western Digital Technologies\Spindown\ExSpinDn.exe" [2004-08-09 278528]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"PivotSoftware"="c:\programme\Portrait Displays\Pivot Software\wpctrl.exe" [2007-02-09 694008]
"DT ACR"="c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DT_startup.exe" [2009-08-24 81920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-9-2 82026]
TrayMin220.lnk - c:\programme\Philips\Philips SPC220NC Webcam\TrayMin220.exe [2007-10-18 278528]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Progs\\Download\\!Packer, Browser, CDsimu, Chat\\utorrent16.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:*****:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:*****:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.*****:Enabled:ActiveSync Application
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:*****:Enabled:ActiveSync Service
R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [18.11.2006 20:10 15187]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.05.2009 11:57 108289]
R2 PdiService;Portrait Displays SDK Service;c:\programme\Gemeinsame Dateien\Portrait Displays\Drivers\pdisrvc.exe [19.05.2010 21:40 109168]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [26.08.2010 14:43 1051968]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [18.11.2006 20:10 15571]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S3 DCamUSBIntel;KONICA_MINOLTA DiMAGE PC camera driver;c:\windows\system32\drivers\MLTCAP.sys [30.12.2006 22:43 150240]
S3 DTV_Capture_2X0;DVB-T Receiver;c:\windows\system32\drivers\DTV_Capture_2X0.sys [19.11.2006 21:12 18432]
S3 DTV_Loader_2X1;DVB-T Loader;c:\windows\system32\drivers\DTV_Loader_2X1.sys [19.11.2006 20:39 19328]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [18.10.2007 20:13 507136]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.11.2006 00:49 611064]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com
mWindow Title =
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*hxxp://de.search.yahoo.com
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ht78x6o8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\progra~1\Yahoo!\Common\npyaxmpb.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-10-03 14:07
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*–€|ÿÿÿÿ;•€|ù•6~�*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\ACPI\PNP0F03\4&3a9a8c3e&0\LogConf]
@DACL=(02 0000)
"BasicConfigVector"=hex(a):48,00,00,00,0f,00,00,00,00,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,01,00,01,00,01,00,00,00,00,02,\
"BootConfig"=hex(8):01,00,00,00,0f,00,00,00,00,00,00,00,01,00,01,00,01,00,00,
00,02,01,01,00,0c,00,00,00,0c,00,00,00,ff,ff,ff,ff
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2256)
c:\programme\Windows Media Player\wmpband.dll
c:\programme\Portrait Displays\Pivot Software\winphook.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\devldr32.exe
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\programme\Portrait Displays\Pivot Software\floater.exe
c:\progra~1\MICROS~4\rapimgr.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Acer Display\eDisplay Management\DTHtml.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\HookManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-03 14:12:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-03 12:12
Vor Suchlauf: 2.003.898.368 Bytes frei
Nach Suchlauf: 1.994.813.440 Bytes frei
- - End Of File - - 9186FFCA1BDBAFE584F630F900272896
--- --- --- |
Bei Internetverbindung wird der Rechner sporadisch in 30s neu gestartet (System herunterfahren)
(https://www.trojaner-board.de/91306-internetverbindung-rechner-sporadisch-30s-neu-gestartet-system-herunterfahren.html)