Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hi Sunny,
nun noch mal das Log von Combofix

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:42:54.5 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1325 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:41:27 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:48 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 21:42:58 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:42 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 21:44:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:40:11 435,460 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:40:13 394,224 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:40:12 1,643,484 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:40:14 917,560 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 21:43:28 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 21:43:27 58,032 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 21:29:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 23:45:11
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 23:46:06
ComboFix-quarantined-files.txt 2008-05-03 21:46:03
ComboFix2.txt 2008-05-03 20:05:03
ComboFix3.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

245 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Sorry, da steckt schon wieder ein Fehler drin, irgendwie läuft da was schief, versuch es nochmal:



Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis:
Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hi,
das Log

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:59:52.7 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1319 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:58:30 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:01:09 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 22:00:07 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:02:03 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 22:01:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:46:31 440,372 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:46:31 398,712 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:46:31 1,658,824 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:46:31 922,240 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 22:00:38 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 22:00:38 58,244 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 22:00:00 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 00:02:12
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\Users\Maaike\AppData\Local\Temp\~DF17C6.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF2D21.tmp 32768 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40BE.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40D1.tmp 16384 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF52A9.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D89.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D9A.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DFDDC.tmp 512 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 8

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 0:03:18
ComboFix-quarantined-files.txt 2008-05-03 22:03:14
ComboFix2.txt 2008-05-03 21:46:07
ComboFix3.txt 2008-05-03 20:05:03
ComboFix4.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

254 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Ok einen noch, dann machen wir Schluss für heute.. ;)


Unhackme Rootkit Killer

• Lade dir das unhackme herunter und überprüfe dein System -> UnHackMe - Rootkits finden

• Im Anschluss wird ein Report erstellt, kopiere diesen hier in deinen Beitrag

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Hi Sunny,
das mit dem unhack me muss ich später ausprobieren. Hab es zwar schon versucht, aber der will nicht so ganz. Er sagt es ist kein Trojaner vorhanden. Bericht zeigt er keinen an. Es gibt da dann einen Testbericht an regrun selber, den wollte ich dann posten, aber der hat viel zu viele Zeichen. Müßte glaub ich dann 10 posts einstellen. Jetzt werd ich erstmal schlafen gehen.

Vielen vielen Dank für deine Geduld und Hilfe
LG Miffi

Hi Sunny,

hab jetzt nochmal unHackme drüberlaufen lassen. Dasselbe wie heute Nacht. Keinen Trojaner gefunden und dann ein ellenlanger Log (über 200000 Zeichen)

Soll ich jetzt wirklich bis zu 10 Einträge machen oder gibt es dafür einen einfacheren Weg.

LG Miffi

Mach bitte mit dem anderen weiter.. ;)

ok sunny

in den abgesicherten Modus komme ich da über F8 während des Neustartens?
LG Miffi

Richtig, d.h. noch bevor der Bootscreen mit dem Windowslogo erscheint, die Taste F8 drücken.. :)

Hi Sunny,

jetzt tritt ein neues Problem auf. Der Eingabebildschirm verschwindet sofort wieder nach dem Doppelklick (im grunde ein kurzes Blinzeln) Ich kann also gar kein Y eingeben. Und nu was jetzt?

LG Miffi

Mhhh, das könnte alles verdächtig sein, normalerweise funktioniert das.


Ok, versuchen wir es nochmal auf eine andere Weise:

Lies dir die Anleitung zum Tool 2 durch -> Einstieg für Vista User - HijackThis.de Support Board

hier VistaFind Log

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Ich kann ansonsten nichts weiter finden, zumal ich nicht glaube das die Dateien dort oben schädlich sind.

Öffnen sich denn immer noch neue Seiten mit Werbung?

Hier nun die Logs zu Virustotal

LG Miffi