Hallo schrauber,
soll das ganze im Abgesicherten Modus gemacht werden? oder im normalen?
Hallo schrauber,
habe es jetzt im abgesicherten Modus gemacht.
Antivir wurde als aktiv gemeldet.
Konnte ich aber nicht beenden, da weder ein Prozess aktiv, noch Antivir überhaupt vorhanden.
Hier der log: Code:
Combofix Logfile:
Code:
ComboFix 13-11-12.01 - Ralf 13.11.2013 17:09:29.1.1 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.765 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\All Users\Dokumente\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {804FD2D8-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Outdated* {804FDC1E-FFA4-00DB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Ralf\WINDOWS
C:\Thumbs.db
c:\windows\system32\dllcache\wmpvis.dll
c:\windows\system32\drivers\Install.exe
c:\windows\system32\FlashPlayerApp.exe
c:\windows\unin0407.exe
.
Infizierte Kopie von c:\windows\system32\Version.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\version.dll wurde wiederhergestellt
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-10-13 bis 2013-11-13 ))))))))))))))))))))))))))))))
.
.
2013-11-13 09:49 . 2013-11-13 09:49 -------- d-----w- C:\FRST
2013-11-13 08:31 . 2013-11-13 08:31 -------- d-----w- c:\windows\system32\wbem\Repository
2013-11-13 08:15 . 2013-11-13 10:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2013-11-13 08:15 . 2013-11-13 10:08 -------- d-----w- c:\programme\Security Task Manager
2013-10-21 11:46 . 2013-10-21 11:48 -------- d-----w- c:\programme\WinTrack
2013-10-21 07:07 . 2013-11-13 08:31 -------- d-----w- c:\dokumente und einstellungen\ibs-i
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-09-23 17:34 . 2001-08-23 12:00 841216 ----a-w- c:\windows\system32\wininet.dll
2013-09-23 17:34 . 2006-04-10 14:14 78336 ----a-w- c:\windows\system32\ieencode.dll
2013-09-23 17:34 . 2001-08-23 12:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl
2013-09-23 17:34 . 2001-08-23 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2013-09-04 13:47 . 2006-11-17 17:54 1040384 ----a-w- c:\windows\system32\ieframe.dll.mui
2013-08-29 07:01 . 2001-08-23 12:00 1878784 ----a-w- c:\windows\system32\win32k.sys
2005-03-31 20:17 . 2006-04-11 07:02 40960 ----a-w- c:\programme\Uninstall_CDS.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Greenshot"="c:\programme\Greenshot\Greenshot.exe" [2010-07-01 540672]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
"Adobe Reader Synchronizer"="c:\programme\Adobe\Reader 10.0\Reader\AdobeCollabSync.exe" [2013-09-03 1272704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 77824]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"Lexmark 2200 Series"="c:\programme\Lexmark 2200 Series\lxbvbmgr.exe" [2004-02-13 57344]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE -b -l [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\E:\0autocheck autochk *
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
.
R0 AmdAcpi;AmdAcpi Bus Filter Driver;c:\windows\system32\drivers\amdacpi.sys [12.04.2006 15:55 13824]
R0 Jahci;Jahci;c:\windows\system32\drivers\JAHCI.sys [10.04.2006 16:16 33280]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [10.04.2006 15:56 45056]
R1 amdtools;AMD Special Tools Driver;c:\windows\system32\drivers\amdtools.sys [12.04.2006 15:55 21120]
R1 SSHDRV86;SSHDRV86;c:\windows\system32\drivers\SSHDRV86.sys [07.12.2011 14:22 81408]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [10.04.2006 15:52 28672]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.07.2010 12:55 691696]
S2 ACEDRV06;ACEDRV06;c:\windows\system32\drivers\ACEDRV06.sys [21.04.2006 08:12 99840]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
S3 CAUTILITY;CAUTILITY;\??\c:\windows\system32\drivers\CAUTILITY.sys --> c:\windows\system32\drivers\CAUTILITY.sys [?]
S3 PCORE;PCORE;\??\c:\windows\system32\drivers\PCORE.sys --> c:\windows\system32\drivers\PCORE.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-11-12 c:\windows\Tasks\User_Feed_Synchronization-{F1B75312-1798-434B-A811-9A7F57710E54}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 10:58]
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: microsoft.com\*.update
Trusted Zone: microsoft.com\*.windowsupdate
Trusted Zone: microsoft.com\update
Trusted Zone: microsoft.com\v5.windowsupdate
Trusted Zone: microsoft.com\windowsupdate
Trusted Zone: windowsupdate.com
TCP: DhcpNameServer = 192.168.0.1
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Ralf\Anwendungsdaten\Mozilla\Firefox\Profiles\gmr0popa.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.simfy.de
FF - ExtSQL: !HIDDEN! 2010-07-13 19:20; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-ApnTBMon - c:\programme\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-11-13 17:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-20cb-54f7-dec1facaf59f}\InprocServer32*]
"Class"=hex:ff,8e,73,74,51,f6,36,26,05,eb,1e,eb,0d,76,5f,8d,8e,9d,f5,d2,e5,0f,
9d,1f,8e,9d,f5,d2,e5,0f,9d,1f,8e,9d,f5,d2,e5,0f,9d,1f,8e,9d,f5,d2,e5,0f,9d,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-3237-1636-521bfacaf59f}\InprocServer32*]
"Class"=hex:cc,f2,0d,77,1f,e3,22,11,3e,85,7b,33,68,df,89,17,3b,ea,eb,d5,fe,4d,
de,0c,3b,ea,eb,d5,fe,4d,de,0c,3b,ea,eb,d5,fe,4d,de,0c,3b,ea,eb,d5,fe,4d,de,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-4a98-d12f-afd4facaf59f}\InprocServer32*]
"Class"=hex:a5,02,d9,48,e4,ea,f9,c3,ad,bd,5c,0a,9e,d8,a5,6f,e3,a9,94,b6,d4,96,
cf,77,e3,a9,94,b6,d4,96,cf,77,e3,a9,94,b6,d4,96,cf,77,e3,a9,94,b6,d4,96,cf,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-4d4f-31f5-5ba5facaf59f}\InprocServer32*]
"Class"=hex:35,8c,9b,57,05,6b,e6,7b,95,2e,1f,17,ff,66,39,91,fd,fa,ab,2c,1e,07,
22,40,fd,fa,ab,2c,1e,07,22,40,fd,fa,ab,2c,1e,07,22,40,fd,fa,ab,2c,1e,07,22,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-90cd-b021-b8eafacaf59f}\InprocServer32*]
"Class"=hex:fa,00,6f,0c,55,3b,90,49,d9,18,da,29,98,d6,9d,99,a3,a0,f8,79,a5,d8,
65,6a,a3,a0,f8,79,a5,d8,65,6a,a3,a0,f8,79,a5,d8,65,6a,a3,a0,f8,79,a5,d8,65,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-a70c-d639-fd0afacaf59f}\InprocServer32*]
"Class"=hex:8a,cb,c3,98,9c,a0,e8,1a,6c,93,01,60,c4,81,d5,1e,17,6e,24,cc,5c,88,
06,00,17,6e,24,cc,5c,88,06,00,17,6e,24,cc,5c,88,06,00,17,6e,24,cc,5c,88,06,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5AAC1CAC-3D87-cb6f-1230-929dfacaf59f}\InprocServer32*]
"Class"=hex:53,68,bd,66,ff,58,3d,8e,2c,30,41,e4,7d,b6,42,b6,ed,a9,12,02,e8,d0,
bc,62,ed,a9,12,02,e8,d0,bc,62,ed,a9,12,02,e8,d0,bc,62,ed,a9,12,02,e8,d0,bc,\
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
.
Zeit der Fertigstellung: 2013-11-13 17:17:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2013-11-13 16:17
.
Vor Suchlauf: 8.071.225.344 Bytes frei
Nach Suchlauf: 8.755.073.024 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /FASTDETECT /NOEXECUTE=OPTIN
.
- - End Of File - - 766431AE51F70611E147D7808165ED77 --- --- ---
5C616939100B85E558DA92B899A0FC36 Soll ich jetzt wieder einen normalen Start versuchen?
lg
Ralf |