Guten Morgen, Zitat:
Wieso das? Hattest du die Internetverbindung gekappt? Wenn im abgesicherten Modus warum nicht in dem mit Netzwerk?
| Ich komme mit dem infizierten PC leider nicht ins Netz deswegen muss ich alles über einen USB transferieren. Warum das so ist weiss ich nicht :crazy:
Aber ich hab die Wiederherstellungskonsole installiert und hier ist das Log: Code:
ComboFix 12-03-18.04 - Dominic 21.03.2012 7:47.3.2 - x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1621 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\All Users\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: f:\combo\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
AV: Kaspersky PURE *Enabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky PURE *Enabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-21 bis 2012-03-21 ))))))))))))))))))))))))))))))
.
.
2012-03-19 20:16 . 2008-04-14 02:22 39424 ----a-w- c:\windows\system32\grpconv.exe
2012-03-13 06:05 . 2012-03-13 06:05 -------- d-----w- c:\programme\ESET
2012-03-12 17:13 . 2012-03-12 17:13 -------- d-----w- c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Malwarebytes
2012-03-12 17:13 . 2012-03-12 17:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-03-12 17:13 . 2012-03-13 06:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-03-12 17:13 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-06 07:33 . 2012-03-06 07:39 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-03-04 18:32 . 2012-03-01 14:05 133208 ----a-w- c:\windows\system32\drivers\09108938.sys
2012-03-04 18:06 . 2012-03-01 14:05 133208 ----a-w- c:\windows\system32\drivers\21125882.sys
2012-03-04 18:02 . 2012-03-01 14:05 133208 ----a-w- c:\windows\system32\drivers\81963401.sys
2012-03-04 14:44 . 2012-03-01 14:05 133208 ----a-w- c:\windows\system32\drivers\91652746.sys
2012-02-23 20:34 . 2008-04-14 03:23 20992 ----a-w- c:\windows\system32\dshowext.ax
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-13 20:49 . 2012-02-13 20:49 232512 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2012-02-01 20:55 . 2012-02-01 20:55 766208 ----a-w- c:\windows\system32\drivers\tdrpman.sys
2012-02-01 20:55 . 2012-02-01 20:55 609760 ----a-w- c:\windows\system32\drivers\timntr.sys
2012-02-01 20:55 . 2012-02-01 20:55 126112 ----a-w- c:\windows\system32\drivers\vididr.sys
2012-02-01 20:55 . 2012-02-01 20:55 84512 ----a-w- c:\windows\system32\drivers\vsflt58.sys
2012-02-01 20:55 . 2012-02-01 20:55 170496 ----a-w- c:\windows\system32\drivers\snapman.sys
2012-02-01 20:55 . 2012-02-01 20:55 76768 ----a-w- c:\windows\system32\drivers\fltsrv.sys
2012-01-11 19:06 . 2012-02-15 19:15 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-04 00:48 . 2012-01-04 00:48 354176 ----a-w- c:\windows\system32\DivXControlPanelApplet.cpl
2012-02-21 06:50 . 2011-05-02 16:39 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-01-18 18:49 94208 ----a-w- c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\KAVOverlayIcon]
@="{dd230880-495a-11d1-b064-008048ec2fc5}"
[HKEY_CLASSES_ROOT\CLSID\{dd230880-495a-11d1-b064-008048ec2fc5}]
2010-10-01 21:05 129624 ----a-w- c:\programme\Kaspersky Lab\Kaspersky PURE\shellex.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GameXN (update)"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe" [2012-02-13 347008]
"GameXN (news)"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe" [2012-02-13 347008]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 282624]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2011-10-24 421888]
"APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-03-16 1392640]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Dominic\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-1-18 24246216]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-5-24 622653]
Moveslink.lnk - c:\windows\Installer\{0DBA8BCC-EC26-467F-8208-FF74064CDCF6}\_CC2B20529D5099BFD3BE27.exe [N/A]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Dokumente und Einstellungen\\Dominic\\Anwendungsdaten\\Wuala\\Roaming\\Wuala.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Dokumente und Einstellungen\\Dominic\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 09108938;09108938;c:\windows\system32\drivers\09108938.sys [04.03.2012 19:32 133208]
R0 21125882;21125882;c:\windows\system32\drivers\21125882.sys [04.03.2012 19:06 133208]
R0 81963401;81963401;c:\windows\system32\drivers\81963401.sys [04.03.2012 19:02 133208]
R0 91652746;91652746;c:\windows\system32\drivers\91652746.sys [04.03.2012 15:44 133208]
R0 CSCrySec;InfoWatch Encrypt Sector Library driver;c:\windows\system32\drivers\CSCrySec.sys [21.10.2011 11:32 88632]
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [01.02.2012 21:55 76768]
R0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14.10.2009 20:18 36880]
R0 vidsflt58;Acronis Disk Storage Filter (58);c:\windows\system32\drivers\vsflt58.sys [01.02.2012 21:55 84512]
S1 CSVirtualDiskDrv;InfoWatch Virtual Disk driver;c:\windows\system32\drivers\CSVirtualDiskDrv.sys [21.10.2011 11:32 39352]
S2 CSObjectsSrv;Verwaltungsservice vom CryproStorage-System;c:\programme\Gemeinsame Dateien\InfoWatch\CryptoStorage\ProtectedObjectsSrv.exe [21.12.2009 17:34 743992]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 14:45 136176]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [12.03.2012 18:13 652360]
S3 05803460;05803460; [x]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [08.08.2010 14:45 136176]
S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys --> c:\windows\system32\DRIVERS\ew_jubusenum.sys [?]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 18:39 19472]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [12.03.2012 18:13 20464]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-03-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-08 13:45]
.
2012-03-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-08-08 13:45]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page =
uInternet Settings,ProxyOverride = *.local
uSearchAssistant =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 164.81.1.4 164.81.1.5
FF - ProfilePath - c:\dokumente und einstellungen\Dominic\Anwendungsdaten\Mozilla\Firefox\Profiles\na80yrlt.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - about:home
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-21 07:56
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-343818398-1897051121-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:dd,3f,d8,c0,4a,96,c8,7b,7d,77,cd,4a,37,3f,4e,af,ff,ac,19,05,bc,
81,27,33,c2,32,27,ed,d3,41,ef,22,67,76,35,88,33,92,9d,80,70,2c,8a,a4,f5,cc,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(280)
c:\windows\System32\BCMLogon.dll
c:\windows\System32\MSVCP71.dll
.
Zeit der Fertigstellung: 2012-03-21 07:59:13
ComboFix-quarantined-files.txt 2012-03-21 06:59
ComboFix2.txt 2012-03-19 20:53
.
Vor Suchlauf: 14 Verzeichnis(se), 17.847.820.288 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 17.813.995.520 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 472EC7C6C2C7098869BA54BB06FFE904 Grüße
DEWEY |