Blackpit | 07.11.2014 11:36 | Liste der Anhänge anzeigen (Anzahl: 1) Hallo,
ich habe die Reste von "kB70007" nun aus dem System entfernt und ComboFix laufen lassen.
Hier das Ergebnis: Code:
ComboFix 14-10-29.01 - Andreas 07.11.2014 10:36:19.1.4 - x86
Microsoft® Windows Vista™ Ultimate 6.0.6002.2.1252.49.1031.18.3326.1335 [GMT 1:00]
ausgeführt von:: c:\temp\Downtest\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {4F35CFC4-45A3-FC37-EF17-759A02E39AB1}
SP: Microsoft Security Essentials *Disabled/Updated* {F4542E20-6399-F3B9-D5A7-4EE87964D00C}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\INSTALL.LOG
c:\programdata\DragToDiscUserNameD.txt
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\PGPtray.exe.lnk
c:\users\Andreas\ncftp
c:\users\Andreas\ncftp\firewall.txt
c:\users\Public\TopAufmass.exe
c:\windows\Fonts\M4.FON
c:\windows\IsUn0407.exe
c:\windows\MICROSOFT
c:\windows\unin0407.exe
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_System_Update_kb70007
-------\Service_System Update kb70007
.
.
((((((((((((((((((((((( Dateien erstellt von 2014-10-07 bis 2014-11-07 ))))))))))))))))))))))))))))))
.
.
2014-11-06 12:20 . 2014-11-06 14:06 -------- d-----w- C:\FRST
2014-11-06 07:31 . 2014-10-14 20:13 8901368 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{5AC79E1D-0FE9-4206-AA1C-D637DBA8688E}\mpengine.dll
2014-11-05 12:35 . 2014-11-05 12:35 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-11-05 12:35 . 2014-11-05 12:35 701104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-11-05 07:35 . 2014-09-17 08:16 908840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{96C79D94-ED49-43FA-ACD1-E8955C794A05}\gapaengine.dll
2014-11-05 07:33 . 2014-10-14 20:13 8901368 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-10-17 05:57 . 2014-10-17 05:57 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-10-16 04:25 . 2014-06-15 22:18 1131664 ----a-w- c:\windows\system32\dfshim.dll
2014-10-16 04:25 . 2014-06-13 18:22 81560 ----a-w- c:\windows\system32\mscories.dll
2014-10-16 04:25 . 2014-06-13 18:22 156824 ----a-w- c:\windows\system32\mscorier.dll
2014-10-16 04:23 . 2014-09-27 23:29 2054656 ----a-w- c:\windows\system32\win32k.sys
2014-10-16 04:16 . 2014-09-04 23:27 143360 ----a-w- c:\windows\system32\drivers\fastfat.sys
2014-10-16 04:14 . 2014-09-16 16:56 66560 ----a-w- c:\windows\system32\packager.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-10-30 11:24 . 2012-06-08 16:02 229000 ------w- c:\windows\system32\MpSigStub.exe
2014-09-17 08:16 . 2013-03-12 09:44 908840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2014-08-23 01:03 . 2014-08-31 08:08 297984 ----a-w- c:\windows\system32\gdi32.dll
1998-02-10 17:34 . 2010-02-21 15:22 128000 ----a-w- c:\program files\UNWISE.EXE
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2011-06-13 08:20 64792 ----a-w- c:\program files\Common Files\TortoiseOverlays\TortoiseOverlays.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\program files\Fingerprint Sensor\ATSwpNav -run" [X]
"SMB50StarMoneyRunEntry"="c:\program files\StarMoney Business 5.0\app\oflagent.exe" [2014-02-21 56976]
"RtHDVCpl"="RtHDVCpl.exe" [2007-01-09 4186112]
"OmniPass"="c:\program files\Softex\OmniPass\scureapp.exe" [2006-12-20 2519040]
"FreePDF Assistant"="c:\program files\FreePDF_XP\fpassist.exe" [2011-02-23 371200]
"DMXLauncher"="c:\program files\Roxio\Media Experience\DMXLauncher.exe" [2007-02-12 109304]
"Windows Mobile Device Center"="c:\windows\WindowsMobile\wmdc.exe" [2007-05-31 648072]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-08-22 974432]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-01-22 106496]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2014-09-26 271744]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Scanner File Utility.lnk - c:\program files\Kyocera Mita\FileUtility\NsCatCom.exe [2010-11-29 315392]
VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico -user_logon [2012-6-13 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\google\google~2\goec62~1.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
hpdevmgmt REG_MULTI_SZ hpqddsvc hpqcxs08
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyServer = http=127.0.0.1:8118;https=127.0.0.1:8118
IE: {{1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - {0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C} - c:\program files\Common Files\WebSpeech20\LgxIEBar.dll
TCP: DhcpNameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
Toolbar-Locked - (no file)
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2014-11-07 11:09
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
@Denied: (2) (LocalSystem)
"{42DFA04F-0F16-418E-B80C-AB97A5AFAD3A}"=hex:51,66,7a,6c,4c,1d,38,12,21,a3,cc,
46,24,41,e0,04,c7,1a,e8,d7,a0,f1,e9,2e
"{18DF081C-E8AD-4283-A596-FA578C2EBDC3}"=hex:51,66,7a,6c,4c,1d,38,12,72,0b,cc,
1c,9f,a6,ed,07,da,80,b9,17,89,70,f9,d7
"{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}"=hex:51,66,7a,6c,4c,1d,38,12,d7,cb,80,
31,2a,c0,25,0e,c8,c5,88,cb,ee,44,e0,38
"{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}"=hex:51,66,7a,6c,4c,1d,38,12,d5,94,07,
72,c2,98,42,03,c9,fd,97,9a,f4,87,69,57
"{83A30C59-3A50-49E6-9DAF-4923C4EA3C23}"=hex:51,66,7a,6c,4c,1d,38,12,37,0f,b0,
87,62,74,88,0c,e2,b9,0a,63,c1,b4,78,37
"{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,38,12,2a,03,db,
df,77,ea,35,06,c3,62,df,65,c4,9b,cc,bd
"{EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7}"=hex:51,66,7a,6c,4c,1d,38,12,d8,ab,4f,
ee,ae,d5,fa,0c,d8,b7,d7,3b,69,3d,5f,f3
"{FF059E31-CC5A-4E2E-BF3B-96E929D65503}"=hex:51,66,7a,6c,4c,1d,38,12,5f,9d,16,
fb,68,82,40,0b,c0,2d,d5,a9,2c,88,11,17
"{2D9700CB-A777-4DB0-96E1-1EBEBB7D1510}"=hex:51,66,7a,6c,4c,1d,38,12,a5,03,84,
29,45,e9,de,08,e9,f7,5d,fe,be,23,51,04
"{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}"=hex:51,66,7a,6c,4c,1d,38,12,11,dd,f9,
b9,57,8c,be,54,c3,fb,43,e0,cc,54,f1,1b
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
@Denied: (2) (LocalSystem)
"Timestamp"=hex:0f,6a,45,1e,79,84,cf,01
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,53,87,c4,16,a4,3f,30,49,a1,3e,75,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,53,87,c4,16,a4,3f,30,49,a1,3e,75,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(5620)
c:\program files\Softex\OmniPass\SCUREDLL.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\windows\system32\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Softex\OmniPass\OmniServ.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\FRITZ!Fernzugang\avmike.exe
c:\program files\FRITZ!Fernzugang\certsrv.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\FRITZ!Fernzugang\nwtsrv.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\program files\StarMoney Business 5.0\ouservice\StarMoneyOnlineUpdate.exe
c:\program files\TeamViewer\Version9\TeamViewer_Service.exe
c:\program files\Common Files\VMware\USB\vmware-usbarbitrator.exe
c:\windows\system32\vmnat.exe
c:\program files\VMware\VMware Player\vmware-authd.exe
c:\windows\system32\vmnetdhcp.exe
c:\windows\System32\WUDFHost.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\Fingerprint Sensor\ATSwpNav.exe
c:\program files\TortoiseSVN\bin\TSVNCache.exe
c:\program files\Softex\OmniPass\opvapp.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\StarMoney Business 5.0\offlagent7\offlagent.exe
c:\windows\ehome\ehmsas.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2014-11-07 11:15:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2014-11-07 10:15
.
Vor Suchlauf: 50 Verzeichnis(se), 445.130.989.568 Bytes frei
Nach Suchlauf: 54 Verzeichnis(se), 445.764.489.216 Bytes frei
.
- - End Of File - - B3A3EC3D51AC784ABD9DD8DB19E5BB75
08B26729634452D0C2889C002B1BB97C Vermutlich brauchen wir jetzt einen neuen Scan mit FRST oder?
Das FF-Problem konnte ich nun weiter eingrenzen und habe das Profil gefixed.
Soweit ist mit FF scheinbar wieder alles i.O.
Trotzdem habe ich noch ein paar unerklärliche Phänomene:
Nach Neustart kommt eine Meldung bezgl. MBR
("Press any Key to load previous MBR") mit Timer
Beim Neustart startet immer wieder mal CHKDSK.
Nach Systemstart habe ich 16 "svchost.exe" Prozesse wobei ich keine mir unbekannten Prozesse in der Liste habe (könnte das normal sein?).
Was mich auch wundert, wo dieser Eintrag noch drin steckt: Code:
uInternet Settings,ProxyServer = http=127.0.0.1:8118;https=127.0.0.1:8118 Sowohl IE wie auch FF haben keinen Eintrag! (BTW privox ist nicht auf dem System)
Danke schon mal für die bisherige Hilfe, Ihr seid hier ja ganz schön eingespannt.
Gruß
BP
Update:
Oopps!
Jetzt wurden alle Einträge von Starfinanz aus der Registry gelöscht! http://www.trojaner-board.de/attachm...1&d=1415357830
Jetzt wird's brenzlig :( |