| JanHolgersen | 16.03.2012 09:58 |
Hi, ich habe das Programm durchlaufen lassen (nachdem ich alle Antivirensoftware abgeschaltet hatte) und mitten drin hat es den Laptop neu gestartet. Dummerweise ist mein AVIRA im Autostart, es kam jetzt immer mal wieder (~10x) eine AVIRA Meldung zwischendurch "... gefunden. Es ist das trojanische Pferd. Was soll gemacht werden? -...löschen -...quarantäne" ich habe dann jedesmal "ignorieren" markiert und OK.
Jetzt ist combofix fertig und hat die log Datei erstellt.
Ui, meine Windowes firewall kann ich nicht wieder starten- Fehlermeldung "es wurde versucht ein link zu einem Verzeichnis zu öffnen, das zum löschen markiert ist" (oder so ähnlich). Und jetzt nochmal als ich den USB Stick "sicher entfernen" wollte:
"C:\Windows\system32\rundll32.exe Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde." GUt oder schlecht?
Hier der Bericht
Combofix.txt
Combofix Logfile: Code:
ComboFix 12-03-15.03 - Benutzer 16.03.2012 10:09:42.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.1023.408 [GMT 1:00]
ausgeführt von:: c:\users\Benutzer\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Benutzer\AppData\Roaming\AcroIEHelpe.txt
c:\users\Benutzer\AppData\Roaming\chrtmp
c:\users\Benutzer\AppData\Roaming\e476yexdjs.exe
c:\users\Benutzer\AppData\Roaming\Qaivan\vyyf.exe
c:\users\Benutzer\g7k.exe
c:\users\Benutzer\ylxkrwhfv3.exe
c:\windows\$NtUninstallKB29917$
c:\windows\$NtUninstallKB29917$\1610810301
c:\windows\$NtUninstallKB29917$\69890295\@
c:\windows\$NtUninstallKB29917$\69890295\cfg.ini
c:\windows\$NtUninstallKB29917$\69890295\Desktop.ini
c:\windows\$NtUninstallKB29917$\69890295\keywords
c:\windows\$NtUninstallKB29917$\69890295\L\qnbwvoto
c:\windows\$NtUninstallKB29917$\69890295\U\00000001.@
c:\windows\$NtUninstallKB29917$\69890295\U\00000002.@
c:\windows\$NtUninstallKB29917$\69890295\U\00000004.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000000.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000004.@
c:\windows\$NtUninstallKB29917$\69890295\U\80000032.@
c:\windows\IsUn0407.exe
c:\windows\lgcenter.ini
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-02-16 bis 2012-03-16 ))))))))))))))))))))))))))))))
.
.
2012-03-16 09:25 . 2012-03-16 09:31 -------- d-----w- c:\users\Benutzer\AppData\Local\temp
2012-03-16 09:25 . 2012-03-16 09:25 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-16 08:49 . 2012-02-08 06:03 6552120 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{41D25CD9-F298-4280-860A-D99CE84234E6}\mpengine.dll
2012-03-15 15:13 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe
2012-03-15 15:12 . 2012-03-15 19:03 -------- d-----w- C:\_OTL
2012-03-07 11:46 . 2012-03-07 11:46 -------- d-----w- c:\program files\Common Files\Java
2012-03-07 11:45 . 2012-03-07 11:45 -------- d-----w- c:\program files\Java
2012-03-07 00:10 . 2012-03-07 00:10 -------- d-----w- c:\program files\BabylonToolbar
2012-03-07 00:10 . 2012-03-07 00:10 1710 ----a-w- C:\user.js
2012-03-07 00:09 . 2012-03-07 00:09 -------- d-----w- c:\users\Benutzer\AppData\Local\Babylon
2012-03-07 00:09 . 2012-03-07 00:09 -------- d-----w- c:\programdata\Babylon
2012-03-07 00:09 . 2012-03-07 00:09 -------- d-----w- c:\users\Benutzer\AppData\Roaming\Babylon
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-07 11:45 . 2010-07-14 17:25 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-23 08:18 . 2009-10-03 10:56 237072 ------w- c:\windows\system32\MpSigStub.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2010-03-17 14:45 2355224 ----a-w- c:\program files\Winload\tbWinl.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{40C3CC16-7269-4B32-9531-17F2950FB06F}"= "c:\program files\Winload\tbWinl.dll" [2010-03-17 2355224]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-12-05 19:17 94208 ----a-w- c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 1415824]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LG Intelligent Update"="c:\program files\lg_swupdate\giljabistart.exe" [2007-04-17 235064]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 4390912]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]
"MGSysCtrl"="c:\program files\LG Software\System Control Manager\MGSysCtrl.exe" [2007-03-30 565248]
"InstantBurn"="c:\progra~1\CYBERL~1\INSTAN~1\Win2K\IBurn.exe" [2006-12-04 589824]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-10-19 286720]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2011-03-22 74752]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-12-07 185896]
"PAC207_Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-12-03 2622104]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-12-03 911184]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-12-03 140568]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-28 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-28 81920]
"VMonitorVMUVC"="c:\program files\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-08-29 143360]
"MRT"="c:\windows\system32\MRT.exe" [2012-03-15 54215544]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
c:\users\Benutzer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Benutzer\AppData\Roaming\Dropbox\bin\Dropbox.exe [2012-2-15 24246216]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
2007-04-28 10:05 86016 ----a-w- c:\windows\System32\nvsvc.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-16 c:\windows\Tasks\User_Feed_Synchronization-{437163A0-2DC0-42A5-A563-CCE3D160DA50}.job
- c:\windows\system32\msfeedssync.exe [2009-10-21 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://isearch.babylon.com/?babsrc=HP_ss&mntrId=a8a56d4b0000000000000015af1e04ca
IE: Free YouTube to Mp3 Converter - c:\users\Benutzer\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Power2GoExpress - (no file)
HKCU-Run-Microsoft® Windows Update - c:\users\Benutzer\M-1-52-5782-8752-5245\winsvc.exe
HKCU-Run-{3B56CAA7-DF8F-6B9A-3CCF-9007D93B4507} - c:\users\Benutzer\AppData\Roaming\Qaivan\vyyf.exe
HKCU-Run-g7k - c:\users\Benutzer\g7k.exe
HKCU-Run-Regedit32 - c:\windows\system32\regedit.exe
HKCU-Run-ylxkrwhfv3 - c:\users\Benutzer\ylxkrwhfv3.exe
HKLM-Run-g7k - c:\programdata\g7k.exe
HKLM-Run-nxdmOFRWTny.exe - c:\programdata\nxdmOFRWTny.exe
HKLM-Run-ylxkrwhfv3 - c:\programdata\ylxkrwhfv3.exe
AddRemove-Need For Speed - Porsche - c:\windows\IsUn0407.exe
AddRemove-SC08-DE_PRO7 - c:\users\Benutzer\Desktop\Eigene Dateien\ski\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-16 10:31
Windows 6.0.6001 Service Pack 1 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-3545768501-3572627489-1433742203-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D5AB3080-1899-543C-7279-EA0D36EBE095}*]
"haibofbfdmpdamkm"=hex:6b,61,66,6b,6f,67,64,64,70,62,6f,6b,68,6e,66,6d,6d,6a,
6b,62,64,63,00,00
"gabelbenphblon"=hex:61,63,61,6b,70,66,6b,65,67,6c,67,67,68,6b,61,62,6a,6c,66,
63,6c,66,63,6f,64,68,6a,6b,70,6d,6e,6f,62,6e,6a,68,61,67,69,6a,70,61,68,70,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(684)
c:\windows\system32\relog_ap.dll
.
- - - - - - - > 'Explorer.exe'(3676)
c:\users\Benutzer\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\AntiVir PersonalEdition Classic\sched.exe
c:\program files\LG Software\System Control Manager\edd.exe
c:\program files\O2Micro\o2flash.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Common Files\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\system32\conime.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\RacAgent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-16 10:44:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-03-16 09:44
.
Vor Suchlauf: 9.153.482.752 Bytes frei
Nach Suchlauf: 9.136.934.912 Bytes frei
.
- - End Of File - - 1BF8117A2963C648B55E0DC8FAB4A49D
--- --- ---
Gut, dann mal sehen, was du draus liest- für mich steht da echt nur Bahnhof. Wie eine Fremdsprache. Vielen Dank auf jeden Fall! |
