Hi Arne,
ja, die Sache mit den Torrents seh ich genauso, deswegen mach ichs ja auch nicht mehr ;)
Ich glaube, mein System ist auf dem Weg der Besserung nach den ganzen Tools, durch die du mich jetzt durchgejagt hast. Abgesehen von der csrss.exe (ist die überhaupt gefährlich?) tauchen die genannten fragwürdigen Prozesse nicht mehr auf. Den IE mit der Werbung habe ich auch schon eine Weile nicht mehr gesehen (wobei ich das noch ein Weilchen beobachten muss, lange war der Rechner seit den Tools nicht an). Wie steht es denn um meinen Rechner?
Gruß
Thomas
Hier das Log von Combofix: Code:
ComboFix 09-11-22.08 - ToBa 23.11.2009 21:23.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ToBa\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\tmp84.tmp
c:\windows\system32\tmp85.tmp
.
((((((((((((((((((((((( Dateien erstellt von 2009-10-23 bis 2009-11-23 ))))))))))))))))))))))))))))))
.
2009-11-23 08:21 . 2009-11-23 08:24 -------- d-----w- C:\Lop SD
2009-11-22 23:40 . 2009-11-22 23:40 -------- d-----w- C:\rsit
2009-11-22 19:59 . 2009-11-22 19:59 -------- d-----w- c:\dokumente und einstellungen\ToBa\Anwendungsdaten\Malwarebytes
2009-11-22 19:59 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-22 19:59 . 2009-11-22 19:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-22 19:59 . 2009-11-22 19:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-22 19:59 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 19:43 . 2009-11-22 19:43 -------- d-----w- c:\programme\CCleaner
2009-11-21 22:34 . 2009-11-21 22:34 -------- d-----w- c:\programme\TC Electronic
2009-11-15 14:15 . 2009-11-15 14:15 -------- d-----w- c:\programme\Trend Micro
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-22 13:30 . 2008-11-25 15:33 1 ----a-w- c:\dokumente und einstellungen\ToBa\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-21 22:40 . 2007-02-24 15:24 -------- d-----w- c:\programme\VSTPlugins
2009-11-21 16:01 . 2007-02-08 19:19 -------- d-----w- c:\dokumente und einstellungen\ToBa\Anwendungsdaten\Ableton
2009-11-21 15:57 . 2007-02-08 19:19 -------- d-----w- c:\programme\Ableton
2009-11-14 17:13 . 2009-09-10 21:59 48 ----a-w- c:\windows\popcinfot.dat
2009-11-11 23:54 . 2009-02-24 11:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-11-08 17:50 . 2007-01-29 19:49 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-11-08 13:47 . 2009-05-22 22:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Team MediaPortal
2009-11-08 13:47 . 2009-05-22 22:17 -------- d-----w- c:\programme\Team MediaPortal
2009-11-08 13:27 . 2006-12-17 14:07 -------- d-----w- c:\programme\WinAce
2009-10-17 12:41 . 2001-08-18 12:00 99674 ----a-w- c:\windows\system32\perfc007.dat
2009-10-17 12:41 . 2001-08-18 12:00 498730 ----a-w- c:\windows\system32\perfh007.dat
2009-10-17 12:37 . 2009-05-22 22:17 -------- d-----w- c:\programme\Microsoft SQL Server
2009-10-08 17:22 . 2006-12-17 16:39 -------- d-----w- c:\programme\Java
2009-10-08 17:21 . 2009-10-08 17:21 152576 ----a-w- c:\dokumente und einstellungen\ToBa\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2009-10-07 17:10 . 2006-12-30 22:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Teleca
2009-10-07 17:10 . 2006-12-30 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Teleca Shared
2009-10-05 19:27 . 2009-10-05 19:27 -------- d-----w- c:\programme\Atari
2009-10-04 21:50 . 2006-12-16 23:42 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-10-04 21:46 . 2009-10-04 21:46 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2009-10-02 11:54 . 2009-10-02 11:54 -------- d-----w- c:\programme\Microsoft
2009-10-02 11:54 . 2009-10-02 11:53 -------- d-----w- c:\programme\Windows Live
2009-10-02 11:54 . 2009-10-02 11:54 -------- d-----w- c:\programme\Windows Live SkyDrive
2009-10-02 11:52 . 2009-10-02 11:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live
2009-09-23 17:46 . 2009-09-23 17:46 35748 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-11 14:17 . 2004-08-03 22:57 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-08 19:43 . 2009-09-08 19:43 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.0.70\SetupAdmin.exe
2009-09-04 21:03 . 2004-08-03 22:57 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:54 . 2004-08-03 22:57 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-28 17:42 . 2009-09-22 17:27 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-28 17:42 . 2009-09-22 17:27 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-26 08:00 . 2004-08-03 22:57 247326 ----a-w- c:\windows\system32\strmdll.dll
2008-09-30 16:09 . 2008-09-30 16:09 135427055 ----a-w- c:\programme\openofficeorg1.cab
2008-09-30 15:48 . 2008-09-30 15:48 217 ----a-w- c:\programme\setup.ini
2008-09-30 15:48 . 2008-09-30 15:48 9776640 ----a-w- c:\programme\openofficeorg30.msi
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\programme\instmsia.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\ToBa\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Start WingMan Profiler"="c:\programme\Logitech\Gaming Software\LWEMon.exe" [2007-09-25 93208]
"M-Audio Taskbar Icon"="c:\windows\System32\M-AudioTaskBarIcon.exe" [2008-05-15 356864]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-11-14 16270848]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
c:\dokumente und einstellungen\ToBa\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AVer HID Receiver.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe [2009-4-20 159744]
AVerQuick.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerQuick.exe [2009-4-20 663552]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\webserver\\apache\\bin\\httpd.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Codemasters\\GRID\\GRID.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Programme\\Ubisoft\\Funatics\\Die Siedler II - Die nächste Generation\\bin\\s2dng_addon.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Steam\\steamapps\\common\\peggle extreme\\PeggleExtreme.exe"=
"d:\\Programme\\Steam\\steamapps\\common\\world of goo\\WorldOfGoo.exe"=
"d:\\Programme\\Steam\\steamapps\\common\\plants vs zombies\\PlantsVsZombies.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 17:15 108289]
R2 AVerRemote;AVerRemote;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerRemote.exe [20.04.2009 20:36 352256]
R2 AVerScheduleService;AVerScheduleService;c:\programme\Gemeinsame Dateien\AVerMedia\Service\AVerScheduleService.exe [20.04.2009 20:36 409600]
R3 MAUSBFT;Service for M-Audio Fast Track USB (WDM);c:\windows\system32\drivers\mausbft.sys [28.06.2009 14:51 132096]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.12.2006 23:56 664064]
S3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys --> c:\windows\system32\Drivers\androidusb.sys [?]
S3 Apache2.2;Apache2.2;d:\webserver\apache\bin\httpd.exe [09.01.2007 22:17 20539]
S3 AVerAF15DMBTH;AVerMedia A850 USB;c:\windows\system32\drivers\AVerAF15DMBTH.sys [20.04.2009 20:37 293120]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys --> c:\windows\system32\Drivers\ANDROIDUSB.sys [?]
S3 MA763010;M-Audio Fast Track;c:\windows\system32\drivers\MA763010.sys [16.06.2009 20:32 30848]
S3 s3017bus;Sony Ericsson Device 3017 driver (WDM);c:\windows\system32\drivers\s3017bus.sys [07.12.2008 15:52 83880]
S3 s3017mdfl;Sony Ericsson Device 3017 USB WMC Modem Filter;c:\windows\system32\drivers\s3017mdfl.sys [07.12.2008 15:53 15016]
S3 s3017mdm;Sony Ericsson Device 3017 USB WMC Modem Driver;c:\windows\system32\drivers\s3017mdm.sys [07.12.2008 15:53 110632]
S3 s3017mgmt;Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s3017mgmt.sys [07.12.2008 15:57 104616]
S3 s3017nd5;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS);c:\windows\system32\drivers\s3017nd5.sys [07.12.2008 16:01 25512]
S3 s3017obex;Sony Ericsson Device 3017 USB WMC OBEX Interface;c:\windows\system32\drivers\s3017obex.sys [07.12.2008 15:54 100648]
S3 s3017unic;Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM);c:\windows\system32\drivers\s3017unic.sys [07.12.2008 15:58 110120]
S3 zlportio;zlportio;\??\d:\eigene dateien\Downloads\ultrastar-dx-100\zlportio.sys --> d:\eigene dateien\Downloads\ultrastar-dx-100\zlportio.sys [?]
.
Inhalt des "geplante Tasks" Ordners
2009-11-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-1425521274-682003330-1003Core.job
- c:\dokumente und einstellungen\ToBa\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 00:20]
2009-11-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-1425521274-682003330-1003UA.job
- c:\dokumente und einstellungen\ToBa\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 00:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\ToBa\Anwendungsdaten\Mozilla\Firefox\Profiles\h9gzpjht.default\
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\dokumente und einstellungen\ToBa\Anwendungsdaten\Mozilla\Firefox\Profiles\h9gzpjht.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
FF - plugin: c:\dokumente und einstellungen\ToBa\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"d:\webserver\mysql\bin\mysqld-nt\" --defaults-file=\"d:\webserver\mysql\my.ini\" MySQL"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-776561741-1425521274-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:5e,d4,27,50,d7,20,3f,b9,8b,23,85,52,6e,1d,ee,05,cb,9d,85,cd,b9,c6,e0,
87,ac,a6,26,e2,15,e7,d2,e9,7b,51,41,82,e2,2a,8b,84,42,25,b0,ed,a0,c5,9d,4c,\
"??"=hex:e2,06,90,c3,a9,ab,f7,ca,1c,f7,63,d7,3e,f2,89,5d
[HKEY_USERS\S-1-5-21-776561741-1425521274-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:aa,08,40,d2,c3,da,74,15,f9,29,8d,88,82,6d,a6,f1,68,f4,4a,55,dd,
67,e7,f6,ea,55,85,75,d5,32,e8,fa,80,e6,81,53,9d,de,5d,f0,d8,37,e4,e2,cf,44,\
"rkeysecu"=hex:aa,97,81,e1,d8,5e,7c,41,07,25,69,f8,a8,2e,cf,7f
.
Zeit der Fertigstellung: 2009-11-23 21:28
ComboFix-quarantined-files.txt 2009-11-23 20:27
Vor Suchlauf: 9 Verzeichnis(se), 16.622.424.064 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.701.457.920 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 64DE4BFC29CCC5232A35B582489F3593
|
