Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Conficer-A in Globalroot ? ? ? (https://www.trojaner-board.de/78967-conficer-a-globalroot.html)

guetz 01.11.2009 22:34
Servus

also Ccleaner ist wunderbar gelaufen, dann cofi, verlangte einen neustart (Vorher systemwiederherstellungspunkte hat wohl geklappt), beim runterfahren kam ne meldung dass ein dienst (konnte nicht schnell genug lesen was genau) nicht gestartet werden konnte

auf jeden fall war nach dem Aufstarten keine Aktivität von Combofix auszumachen???

nochmals Combofix starten? oder doch :killpc:???

Larusso 01.11.2009 22:43
Lösche bitte die Cofi.exe händisch :)

Führe bitte den Schritt mit Combofix von Hier nocheinmal aus.
Bitte die Anweisungen genau lesen.
Ohne CCleaner

guetz 01.11.2009 23:01
hat geklappt, hier die logdatei
Code:
ComboFix 09-10-30.01 - Guetz 01.11.2009 22:51.1.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.41.1031.18.1022.410 [GMT 1:00]
ausgeführt von:: c:\users\Guetz\Desktop\cofi.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((  Dateien erstellt von 2009-10-01 bis 2009-11-01  ))))))))))))))))))))))))))))))
.

2009-11-01 21:58 . 2009-11-01 21:58        --------        d-----w-        c:\users\IUSR_NMPR\AppData\Local\temp
2009-11-01 21:58 . 2009-11-01 21:58        --------        d-----w-        c:\users\Default\AppData\Local\temp
2009-11-01 21:58 . 2009-11-01 21:58        --------        d-----w-        c:\users\Daniela\AppData\Local\temp
2009-11-01 21:51 . 2009-04-11 06:32        19944        ----a-w-        c:\windows\system32\drivers\atapi.sys
2009-11-01 21:51 . 2006-10-31 13:46        250368        ----a-w-        c:\windows\system32\drivers\iastor.sys
2009-10-31 08:33 . 2009-10-31 08:33        11264        ----a-w-        c:\windows\system32\drivers\uzi2mzmx.sys
2009-10-30 13:27 . 2009-11-01 16:01        --------        d-----w-        c:\program files\trend micro
2009-10-30 13:27 . 2009-11-01 16:01        --------        d-----w-        C:\rsit
2009-10-30 11:39 . 2009-10-30 11:39        --------        d-----w-        c:\users\Guetz\AppData\Roaming\Malwarebytes
2009-10-30 11:39 . 2009-09-10 13:54        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 11:39 . 2009-10-30 11:39        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
2009-10-30 11:39 . 2009-10-30 11:39        --------        d-----w-        c:\programdata\Malwarebytes
2009-10-30 11:39 . 2009-09-10 13:53        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-10-30 11:31 . 2009-10-30 11:31        --------        d-----w-        c:\program files\CCleaner
2009-10-30 11:01 . 2009-10-30 11:01        26624        ----a-w-        c:\windows\system32\drivers\fsbts.sys
2009-10-29 16:02 . 2009-10-29 16:02        --------        d-----w-        c:\users\Daniela\AppData\Local\SupportSoft
2009-10-29 09:35 . 1998-06-17 23:00        89360        ----a-w-        c:\windows\system32\VB5DB.DLL
2009-10-29 09:35 . 2002-02-04 01:43        44544        ----a-w-        c:\windows\system32\msxml4a.dll
2009-10-29 09:35 . 2009-10-29 09:35        --------        d-----w-        c:\program files\Convar
2009-10-29 09:35 . 2003-07-18 12:58        516784        ----a-r-        c:\windows\system32\XceedCry.dll
2009-10-29 09:35 . 2002-02-28 08:46        217088        ----a-w-        c:\windows\system32\DartSock.dll
2009-10-29 09:35 . 2002-02-21 09:12        118784        ----a-w-        c:\windows\system32\DartWeb.dll
2009-10-29 09:35 . 1998-06-13 21:53        44544        ----a-w-        c:\windows\system32\Gif89.dll
2009-10-29 09:27 . 2009-10-29 09:27        --------        d-----w-        c:\program files\Bad CD DVD Reader
2009-10-29 09:19 . 2009-10-29 09:19        --------        d-----w-        c:\programdata\WinZip
2009-10-29 06:47 . 2009-09-10 14:58        310784        ----a-w-        c:\windows\system32\unregmp2.exe
2009-10-29 06:47 . 2009-09-10 14:59        8147456        ----a-w-        c:\windows\system32\wmploc.DLL
2009-10-25 13:26 . 2009-10-29 09:59        --------        d-----w-        c:\users\Guetz\09_04_01
2009-10-23 12:20 . 2009-10-25 13:26        --------        d-----w-        c:\users\Guetz\09_03_21
2009-10-23 11:44 . 2009-10-23 11:44        --------        d-----w-        c:\program files\Runtime Software
2009-10-23 07:03 . 2009-10-23 07:02        411368        ----a-w-        c:\windows\system32\deploytk.dll
2009-10-23 05:01 . 2009-10-23 05:02        --------        d-----w-        c:\windows\system32\ca-ES
2009-10-23 05:01 . 2009-10-23 05:02        --------        d-----w-        c:\windows\system32\eu-ES
2009-10-23 05:01 . 2009-10-23 05:02        --------        d-----w-        c:\windows\system32\vi-VN
2009-10-22 19:40 . 2009-10-22 19:40        --------        d-----w-        c:\windows\system32\EventProviders
2009-10-22 17:54 . 2009-10-22 17:55        --------        d-----w-        c:\users\Guetz\aXbo
2009-10-22 17:54 . 2009-10-22 17:55        --------        d-----w-        c:\program files\aXbo
2009-10-22 17:45 . 2009-10-22 17:45        --------        d-----w-        c:\program files\Silabs
2009-10-22 17:44 . 2009-10-22 17:45        --------        d-----w-        c:\windows\system32\Silabs
2009-10-22 17:43 . 2009-10-22 17:43        --------        d-----w-        C:\SiLabs
2009-10-22 17:43 . 2009-08-10 12:36        63488        ----a-w-        c:\windows\system32\drivers\silabser.sys
2009-10-22 17:43 . 2009-08-10 12:36        17920        ----a-w-        c:\windows\system32\drivers\silabenm.sys
2009-10-22 17:43 . 2009-08-10 12:36        1112288        ----a-w-        c:\windows\system32\WdfCoinstaller01007.dll
2009-10-21 19:30 . 2009-04-11 06:28        293376        ----a-w-        c:\windows\system32\photowiz.dll
2009-10-21 19:29 . 2009-04-11 06:28        1671680        ----a-w-        c:\windows\system32\wlanpref.dll
2009-10-21 19:28 . 2009-04-11 06:28        218624        ----a-w-        c:\windows\system32\wdscore.dll
2009-10-21 19:28 . 2009-04-11 06:27        130560        ----a-w-        c:\windows\system32\PkgMgr.exe
2009-10-21 19:28 . 2009-04-11 06:28        247808        ----a-w-        c:\windows\system32\drvstore.dll
2009-10-20 05:55 . 2009-10-25 13:13        --------        d-----w-        c:\users\Guetz\AppData\Roaming\PerformancePredictorPlugin
2009-10-18 09:33 . 2009-10-18 09:55        --------        d-----w-        c:\programdata\eMule
2009-10-18 09:32 . 2009-10-18 09:55        --------        d-----w-        c:\users\Guetz\AppData\Local\eMule
2009-10-18 09:07 . 2009-10-18 09:07        --------        d-----w-        c:\programdata\D392
2009-10-18 09:06 . 2009-10-18 09:06        --------        d-----w-        c:\program files\BearShareTb
2009-10-17 07:09 . 2009-10-17 07:09        --------        d-----w-        c:\users\Guetz\AppData\Local\Sophos
2009-10-17 07:06 . 2009-10-17 07:02        130104        ----a-w-        c:\windows\system32\sdccoinstaller.dll
2009-10-17 07:05 . 2009-10-17 07:05        --------        d-----w-        c:\program files\Common Files\Cisco Systems
2009-10-17 07:05 . 2009-10-17 07:02        23552        ----a-w-        c:\windows\system32\sophosboottasks.exe
2009-10-17 07:02 . 2009-10-17 07:02        20288        ----a-w-        c:\windows\system32\drivers\SophosBootDriver.sys
2009-10-17 07:01 . 2009-10-17 07:01        93192        ----a-w-        c:\windows\system32\drivers\savonaccess.sys
2009-10-17 07:01 . 2009-10-17 07:04        --------        d-----w-        c:\programdata\Sophos
2009-10-17 07:01 . 2009-10-17 07:04        --------        d-----w-        c:\program files\Sophos
2009-10-16 22:01 . 2009-09-10 16:48        218624        ----a-w-        c:\windows\system32\msv1_0.dll
2009-10-16 22:00 . 2009-08-27 12:40        834048        ----a-w-        c:\windows\system32\wininet.dll
2009-10-16 22:00 . 2009-08-27 13:29        78336        ----a-w-        c:\windows\system32\ieencode.dll
2009-10-16 22:00 . 2009-08-04 12:34        3600456        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2009-10-16 22:00 . 2009-08-04 12:34        3548216        ----a-w-        c:\windows\system32\ntoskrnl.exe
2009-10-16 22:00 . 2009-09-04 11:41        60928        ----a-w-        c:\windows\system32\msasn1.dll
2009-10-16 22:00 . 2009-09-14 09:29        144896        ----a-w-        c:\windows\system32\drivers\srv2.sys
2009-10-16 21:51 . 2009-05-08 12:53        604672        ----a-w-        c:\windows\system32\WMSPDMOD.DLL
2009-10-16 20:35 . 2009-10-16 20:36        --------        d-----w-        c:\program files\Ask.com
2009-10-16 20:35 . 2009-10-16 20:35        --------        d-----w-        c:\program files\Smart Projects
2009-10-16 20:21 . 2009-07-28 14:33        55656        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-10-16 18:56 . 2009-06-15 14:52        1259008        ----a-w-        c:\windows\system32\lsasrv.dll
2009-10-16 18:56 . 2009-06-15 14:52        499712        ----a-w-        c:\windows\system32\kerberos.dll
2009-10-16 18:56 . 2009-06-15 23:15        439864        ----a-w-        c:\windows\system32\drivers\ksecdd.sys
2009-10-16 18:56 . 2009-06-15 14:54        175104        ----a-w-        c:\windows\system32\wdigest.dll
2009-10-16 18:56 . 2009-06-15 14:53        72704        ----a-w-        c:\windows\system32\secur32.dll
2009-10-16 18:56 . 2009-06-15 14:53        270848        ----a-w-        c:\windows\system32\schannel.dll
2009-10-16 18:56 . 2009-06-15 12:48        9728        ----a-w-        c:\windows\system32\lsass.exe
2009-10-16 17:14 . 2009-10-16 17:14        --------        d-----w-        c:\programdata\WindowsSearch
2009-10-08 22:06 . 2009-06-22 10:09        2048        ----a-w-        c:\windows\system32\tzres.dll
2009-10-08 21:52 . 2008-05-27 04:59        18904        ----a-w-        c:\windows\system32\StructuredQuerySchemaTrivial.bin
2009-10-08 21:24 . 2008-07-27 18:03        41984        ----a-w-        c:\windows\system32\netfxperf.dll
2009-10-08 20:16 . 2009-06-15 14:53        156672        ----a-w-        c:\windows\system32\t2embed.dll
2009-10-08 20:16 . 2009-06-15 12:42        289792        ----a-w-        c:\windows\system32\atmfd.dll
2009-10-08 20:16 . 2009-06-15 14:52        23552        ----a-w-        c:\windows\system32\lpk.dll
2009-10-08 20:16 . 2009-06-15 14:52        72704        ----a-w-        c:\windows\system32\fontsub.dll
2009-10-08 20:16 . 2009-06-15 14:51        10240        ----a-w-        c:\windows\system32\dciman32.dll
2009-10-08 20:16 . 2009-04-11 06:28        34304        ----a-w-        c:\windows\system32\atmlib.dll
2009-10-08 20:16 . 2009-06-10 11:41        2868224        ----a-w-        c:\windows\system32\mf.dll
2009-10-08 20:16 . 2009-04-11 06:28        98816        ----a-w-        c:\windows\system32\mfps.dll
2009-10-08 20:16 . 2009-04-11 06:27        53248        ----a-w-        c:\windows\system32\rrinstaller.exe
2009-10-08 20:16 . 2009-04-11 06:27        24576        ----a-w-        c:\windows\system32\mfpmp.exe
2009-10-08 20:16 . 2009-04-11 04:54        2048        ----a-w-        c:\windows\system32\mferror.dll
2009-10-08 20:16 . 2009-07-17 13:54        71680        ----a-w-        c:\windows\system32\atl.dll
2009-10-08 20:15 . 2009-06-10 11:42        160256        ----a-w-        c:\windows\system32\wkssvc.dll
2009-10-08 20:15 . 2009-06-04 12:07        2066432        ----a-w-        c:\windows\system32\mstscax.dll
2009-10-08 20:15 . 2009-04-11 06:28        53248        ----a-w-        c:\windows\system32\tsgqec.dll
2009-10-08 20:15 . 2009-04-11 06:28        136192        ----a-w-        c:\windows\system32\aaclient.dll
2009-10-08 20:15 . 2009-04-23 12:14        623616        ----a-w-        c:\windows\system32\localspl.dll
2009-10-08 20:15 . 2009-06-10 11:38        91136        ----a-w-        c:\windows\system32\avifil32.dll
2009-10-08 20:13 . 2009-07-15 12:39        313344        ----a-w-        c:\windows\system32\wmpdxm.dll
2009-10-08 20:13 . 2009-07-15 12:39        4096        ----a-w-        c:\windows\system32\dxmasf.dll
2009-10-08 20:13 . 2009-07-15 12:39        7680        ----a-w-        c:\windows\system32\spwmp.dll
2009-10-08 20:13 . 2009-04-11 06:28        1696768        ----a-w-        c:\windows\system32\gameux.dll
2009-10-08 20:13 . 2009-08-29 00:14        28672        ----a-w-        c:\windows\system32\Apphlpdm.dll
2009-10-08 20:13 . 2009-08-29 00:27        4240384        ----a-w-        c:\windows\system32\GameUXLegacyGDFs.dll
2009-10-08 20:13 . 2009-04-23 12:15        784896        ----a-w-        c:\windows\system32\rpcrt4.dll
2009-10-08 20:01 . 2009-10-01 09:29        195440        ------w-        c:\windows\system32\MpSigStub.exe
2009-10-08 19:58 . 2009-10-08 19:58        --------        d-----w-        c:\programdata\SupportSoft
2009-10-08 19:48 . 2008-10-16 21:09        51224        ----a-w-        c:\windows\system32\wuauclt.exe
2009-10-08 19:48 . 2008-10-16 21:09        43544        ----a-w-        c:\windows\system32\wups2.dll
2009-10-08 19:48 . 2008-10-16 20:56        1524736        ----a-w-        c:\windows\system32\wucltux.dll
2009-10-08 19:48 . 2008-10-16 21:13        1809944        ----a-w-        c:\windows\system32\wuaueng.dll
2009-10-08 19:48 . 2009-10-16 18:40        --------        d-----w-        c:\program files\Sunrise
2009-10-08 19:47 . 2008-10-16 21:12        561688        ----a-w-        c:\windows\system32\wuapi.dll
2009-10-08 19:47 . 2008-10-16 21:08        34328        ----a-w-        c:\windows\system32\wups.dll
2009-10-08 19:47 . 2008-10-16 20:55        83456        ----a-w-        c:\windows\system32\wudriver.dll
2009-10-08 19:47 . 2008-10-16 12:08        162064        ----a-w-        c:\windows\system32\wuwebv.dll
2009-10-08 19:47 . 2008-10-16 11:56        31232        ----a-w-        c:\windows\system32\wuapp.exe
2009-10-08 19:38 . 2009-10-08 19:49        --------        d-----w-        c:\users\Guetz\AppData\Local\SupportSoft
2009-10-08 19:38 . 2009-10-08 19:49        --------        d-----w-        c:\program files\Common Files\SupportSoft

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-01 21:51 . 2007-06-17 07:44        618204        ----a-w-        c:\windows\system32\perfh007.dat
2009-11-01 21:51 . 2007-06-17 07:44        122442        ----a-w-        c:\windows\system32\perfc007.dat
2009-11-01 21:31 . 2007-10-23 14:13        --------        d-----w-        c:\users\Guetz\AppData\Roaming\Skype
2009-10-29 16:02 . 2007-12-23 10:00        106208        ----a-w-        c:\users\Daniela\AppData\Local\GDIPFONTCACHEV1.DAT
2009-10-29 09:35 . 2007-06-16 22:13        --------        d--h--w-        c:\program files\InstallShield Installation Information
2009-10-23 07:02 . 2007-12-28 18:52        --------        d-----w-        c:\program files\Java
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Calendar
2009-10-23 05:02 . 2006-11-02 11:18        --------        d-----w-        c:\program files\Windows Mail
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Sidebar
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Collaboration
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Journal
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Photo Gallery
2009-10-23 05:02 . 2006-11-02 12:37        --------        d-----w-        c:\program files\Windows Defender
2009-10-23 04:59 . 2009-10-23 04:59        0        ---ha-w-        c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-10-22 17:46 . 2009-10-22 17:46        0        ---ha-w-        c:\windows\system32\drivers\Msft_Kernel_silabser_01007.Wdf
2009-10-17 01:12 . 2007-10-22 16:59        --------        d-----w-        c:\programdata\Microsoft Help
2009-10-17 01:09 . 2007-06-16 22:32        --------        d-----w-        c:\program files\Microsoft Works
2009-10-16 19:10 . 2007-10-22 16:00        106208        ----a-w-        c:\users\Guetz\AppData\Local\GDIPFONTCACHEV1.DAT
2009-08-17 21:33 . 2009-08-17 21:33        1193832        ----a-w-        c:\windows\system32\FM20.DLL
2009-08-14 16:27 . 2009-10-08 20:17        904776        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2009-08-14 15:53 . 2009-10-08 20:17        17920        ----a-w-        c:\windows\system32\netevent.dll
2009-08-14 13:49 . 2009-10-08 20:17        9728        ----a-w-        c:\windows\system32\TCPSVCS.EXE
2009-08-14 13:49 . 2009-10-08 20:17        17920        ----a-w-        c:\windows\system32\ROUTE.EXE
2009-08-14 13:49 . 2009-10-08 20:17        11264        ----a-w-        c:\windows\system32\MRINFO.EXE
2009-08-14 13:49 . 2009-10-08 20:17        27136        ----a-w-        c:\windows\system32\NETSTAT.EXE
2009-08-14 13:49 . 2009-10-08 20:17        8704        ----a-w-        c:\windows\system32\HOSTNAME.EXE
2009-08-14 13:49 . 2009-10-08 20:17        19968        ----a-w-        c:\windows\system32\ARP.EXE
2009-08-14 13:49 . 2009-10-08 20:17        10240        ----a-w-        c:\windows\system32\finger.exe
2009-08-14 13:48 . 2009-10-08 20:17        30720        ----a-w-        c:\windows\system32\drivers\tcpipreg.sys
2009-08-14 13:48 . 2009-10-08 20:17        105984        ----a-w-        c:\windows\system32\netiohlp.dll
2009-10-22 19:39 . 2007-10-22 17:39        67688        ----a-w-        c:\program files\mozilla firefox\components\jar50.dll
2009-10-22 19:39 . 2007-10-22 17:39        54368        ----a-w-        c:\program files\mozilla firefox\components\jsd3250.dll
2009-10-22 19:39 . 2007-10-22 17:39        34944        ----a-w-        c:\program files\mozilla firefox\components\myspell.dll
2009-10-22 19:39 . 2007-10-22 17:39        46712        ----a-w-        c:\program files\mozilla firefox\components\spellchk.dll
2009-10-22 19:39 . 2007-10-22 17:39        172136        ----a-w-        c:\program files\mozilla firefox\components\xpinstal.dll
2007-10-22 18:48 . 2007-10-22 18:48        22        --sha-w-        c:\windows\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0974BA1E-64EC-11DE-B2A5-E43756D89593}]
2009-08-10 14:06        91576        ----a-w-        c:\program files\BearShareTb\BearShareDx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-07-08 18:29        1174920        ----a-w-        c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-07-08 1174920]
"{0974BA1E-64EC-11DE-B2A5-E43756D89593}"= "c:\program files\BearShareTb\BearShareDx.dll" [2009-08-10 91576]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CLASSES_ROOT\clsid\{0974ba1e-64ec-11de-b2a5-e43756d89593}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-07-08 1174920]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-09-13 22880040]
"gStart"="c:\garmin\gStart.exe" [2008-08-13 1891416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCUTRAYICON"="FactoryMode" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-04-19 151552]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-22 282624]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-23 149280]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-08-28 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-28 8473120]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-28 81920]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Sunrise"="c:\program files\Sunrise\bin\sprtcmd.exe" [2008-06-27 202016]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2008-01-15 4874240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\windows\SMINST\launcher.exe" [2007-03-07 44168]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
AutoUpdate Monitor.lnk - c:\program files\Sophos\AutoUpdate\ALMon.exe [2009-10-17 245760]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-1-2 210520]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2007-10-22 118784]
PDFCreator.lnk - c:\program files\PDFCreator\PDFCreator.exe [2008-2-12 2641920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Sophos\SOPHOS~1\sophos_detoured.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService]
@="service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):76,01,a9,ec,9e,53,ca,01

R0 fsbts;fsbts;c:\windows\System32\drivers\fsbts.sys [30.10.2009 12:01 26624]
R1 SAVOnAccess;SAVOnAccess;c:\windows\System32\drivers\savonaccess.sys [17.10.2009 08:01 93192]
R1 uzi2mzmx;AVZ-RK Kernel Driver;c:\windows\System32\drivers\uzi2mzmx.sys [31.10.2009 09:33 11264]
R2 DQLWinService;DQLWinService;c:\program files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [03.09.2006 09:32 208896]
R2 SAVAdminService;Sophos Anti-Virus Statusreporter;c:\program files\Sophos\Sophos Anti-Virus\SAVAdminService.exe [29.10.2009 07:37 80936]
R2 SAVService;Sophos Anti-Virus;c:\program files\Sophos\Sophos Anti-Virus\SavService.exe [17.10.2009 08:02 98304]
R2 sprtsvc_sunrise;SupportSoft Sprocket Service (sunrise);c:\program files\Sunrise\bin\sprtsvc.exe [08.10.2009 20:48 202016]
S2 IntelDHSvcConf;Intel DH Service;c:\program files\Intel\IntelDH\Intel Media Server\tools\IntelDHSvcConf.exe [10.05.2006 08:13 29696]
S3 silabenm;Silicon Labs CP210x USB to UART Bridge Serial Port Enumerator Driver;c:\windows\System32\drivers\silabenm.sys [22.10.2009 18:43 17920]
S3 silabser;Silicon Labs CP210x USB to UART Bridge Driver;c:\windows\System32\drivers\silabser.sys [22.10.2009 18:43 63488]
S4 SophosBootDriver;SophosBootDriver;c:\windows\System32\drivers\SophosBootDriver.sys [17.10.2009 08:02 20288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2009-11-01 c:\windows\Tasks\User_Feed_Synchronization-{E8CAE4AA-6650-4D9F-85E7-7A1A2FD3AA1E}.job
- c:\windows\system32\msfeedssync.exe [2008-03-23 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.bearshare.com/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_CH&c=73&bd=Pavilion&pf=desktop
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://www.ifolor.ch/ORDERINGGENERAL/LowRes/app_support/_2_1_7/ActiveX/IfolorUploader_chkr.cab
FF - ProfilePath - c:\users\Guetz\AppData\Roaming\Mozilla\Firefox\Profiles\9f2fsced.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.com
FF - prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=SP2&o=14906&locale=de_EU&q=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel",            1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad",                  false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom",  "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms",                true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "http://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "http://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "http://sb.google.com/safebrowsing/report?");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-V3.2_is1 - j:\file scavenger 3.2\unins000.exe



**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
Zeit der Fertigstellung: 2009-11-01 22:59
ComboFix-quarantined-files.txt  2009-11-01 21:59

Vor Suchlauf: 10 Verzeichnis(se), 215'546'425'344 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 215'494'193'152 Bytes frei

- - End Of File - - 634FFF25B74FD411AC425F5672276420
Gruss

Markus

Larusso 02.11.2009 11:55
RSIT erneut das System scannen lassen
  • Schließe alle Fenster und Programme inkl. Browser.
  • Lösche C:\rsit\info.txt manuell.
  • Start => ausführen (bei Vista: im Feld "Suche starten")
  • "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
    damit die alten Logdateien von RSIT überschrieben werden.
  • Bitte poste den Inhalt folgender Logs hier in den Thread:
    C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

guetz 02.11.2009 20:37
Anbei die beiden Dateien . . .

Gruss

Markus

Larusso 02.11.2009 22:23
schritt 1

Software deinstallieren

Deinstalliere bitte folgende Programme aus der Code-Box
Code:
Ask Toolbar
Start--> Systemsteuerung--> Software
Nach der Bereinigung werden wir sehen, welche dieser Du wieder installieren kannst


schritt 2

Einträge mit HijackThis fixen

Starte HijackThis-->do a system scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Code:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/
O2 - BHO: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShareTb\BearShareDx.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: IsoBuster Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShareTb\BearShareDx.dll
Nun auf Fix checked klicken
Rechner neu starten


schritt 3

start --> suche starten --> notepad (reinschreiben) ---> OK
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument.
Code:
@echo off
cd \
rd /s /q "C:\Program Files\BearShareTb"
rd /s /q "C:\Program Files\Ask.com"
sc stop gusvc
sc delete gusvc
rd /s /q "C:\Program Files\Google\Common\Google Updater"
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks /v {AEB6717E-7E19-11d0-97EE-00C04FD91972} /f
del "%userprofile%\desktop\Larusso.bat"
Links oben auf Speichern unter
  • Dateiname: Larusso.bat (reinschreiben)
  • Dateityp: Alle Dateien (auswählen)
  • Codierung: ANSI (auswählen)
Speicher Dir die Larusso.bat auf dem Desktop (wichtig)
Rechtsklick, als Admin starten.


schritt 4

Java aktualisieren

Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
  • Schließe alle Browserfenster.
  • Doppelklicke die JavaRa.exe, um das Programm zu starten.
  • Die Sprache auswählen, nimm Englisch und klicke "Select".
  • Klicke auf Additional Task, mache Haken bei Remove Useless JRE Files und [b]Remove Sun Download Manager[b].
  • Klicke auf Go und jeweils auf Ok und schließe das Fenster "Additional Tasks" wieder.
  • Klicke auf Remove Older Versions, um alte Java-Versionen, die auf dem Rechner installiert sind, zu entfernen.
  • Klicke auf Yes wenn es verlangt wird. Wenn JavaRa fertig, erscheint eine Notiz, dass ein Logfile erstellt wurde, klicke OK.
  • Das Logfile wird im Editor geöffnet, bitte speichern und später hier posten.
  • Kontrolliere in Systemsteuerung => Programme, ob noch Java-Versionen vorhanden sind und deinstalliere diese.
  • Rechner neu starten.
Downloade nun Java (Java Runtime Environment (JRE) 6 Update 16) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Erweiterte Optionen anhaken, Sponsoren-Programm (Toolbar oder ähnliches) ggfs. abwählen.


schritt 5

Deinstalliere bitte deine aktuelle Version von Adobe Reader
Start--> Systemsteuerung--> Software--> Adobe Reader
und lade dir die neue Version von Hier herunter
Als alternative würde ich dir den schlankeren Foxit Reader empfehlen :)


schritt 6

Bitte downloade Dir den IE 8 auch wenn Du diesen nicht als Standard Browser verwendest sollte sich die aktuelle Version auf Deinem Rechner befinden.


schritt 7

RSIT erneut das System scannen lassen
  • Schließe alle Fenster und Programme inkl. Browser.
  • Lösche C:\rsit\info.txt manuell.
  • Start => ausführen (bei Vista: im Feld "Suche starten")
  • "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
    damit die alten Logdateien von RSIT überschrieben werden.
  • Bitte poste den Inhalt folgender Logs hier in den Thread:
    C:\rsit\log.txt und C:\rsit\info.txt (<= wird minimiert in der Taskleiste dargestellt).

guetz 05.11.2009 20:52
Servus

so, bin endlich wieder dazu gekommen, mich dem Patienten zu widmen:sword2:

im anhang das Logfile von JavaRa und die beiden Files von RSIT. habe sie mir mal angeschaut, aber ich versteh da weniger als bahnhof, meine Taktik in solchen Fällen wäre :killpc: ;)

noch zwei anmerkungen:
ich habe Java (TM) 6 Update 15 manuell deinstalliert, und auf der HP habe ich dann "nur" JRE 6 Update 17 gefunden und installiert.

Das wars erstmal von mir, warte auf weitere Anweisungen und vorab schonmal ein grosses :dankeschoen: ! ! !

Gruss

Markus

Larusso 05.11.2009 23:03
Ja update 17 ist gerade erst raus :)

Die Logfiles werde ich mir morgen ansehen.

Larusso 15.11.2009 12:25
Sorry, aber der Rechner scheint ja keine Probs mehr zu machen. Sonst hättest Dich sicher früher schon gemeldet :D

Wurde die ASK Toolbar deinstalliert?
Es ist ein Eintrag noch in der RSIT zu sehen :)

schritt 1

AVZ4 Antiviral-Toolkit deinstallieren
  • Öffne den Ordner avz4 und starte die avz.exe durch Doppelklick.
  • Im Menü => File => Standard Scripts => Nr.6 wählen (Delete all AVZ drivers and registry keys)
    und auf den Button "Execute selected scripts" drücken und mit Yes bestätigen => OK
  • Programmfenster schließen.
  • Den Ordner avz4 vom Desktop löschen und den Papierkorb leeren.


schritt 2

Tool-Bereinigung mit OTC

Bitte lade Dir OTC von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTC.exe, um das Programm auszuführen.
  • Klicke auf den Button CleanUp! und bestätige die Cleanup Prozedur mit Yes.
  • OTC fragt nach einem Neustart, lasse das bitte zu.
Nach dem Neustart werden OTC selbst und die meisten anderen Helferprogramme, die wir im Laufe der Bereinigung benutzt haben, nicht mehr vorhanden sein. Evtl. nun noch vorhandene Helferprogramme oder Logfiles bitte manuell löschen und den Papierkorb leeren.



schritt 3

Poste mir eine HJT Logfile


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:55 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55