HighFlyer174 | 14.07.2010 15:58 | Okay, Combi Fix hat zwei mal neu hochgefahren und hat den Computer durchgerödelt. Dabei hats wohl auch einige infizierte Dateien gefunden. Es ist festzustellen das jetz zumindest die Meldungen unterbleiben und die Programme wieder funktionieren!
Die Meldung "Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!" beunruhigt mich schon etwas. Was ist das, kann ich mir diese Konsole irgendwo laden? Wie gehts jetzt weiter?
Hier das Log-File:
Combofix Logfile: Code:
ComboFix 10-07-13.08 - Maddin 14.07.2010 16:48:49.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3582.3071 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Maddin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Maddin\Anwendungsdaten\PnkBstrK.sys
c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa
c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe
C:\Install.exe
Infizierte Kopie von c:\windows\system32\drivers\i8042prt.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-14 bis 2010-07-14 ))))))))))))))))))))))))))))))
.
2010-07-14 12:58 . 2010-07-14 12:58 -------- d-s---w- c:\dokumente und einstellungen\NetworkService\UserData
2010-07-02 14:40 . 2010-07-02 14:40 -------- d-----w- c:\programme\Conduit
2010-07-02 14:40 . 2010-07-02 14:40 -------- d-----w- c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\DVDVideoSoftTB
2010-07-02 14:40 . 2010-07-02 14:40 -------- d-----w- c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-07-02 14:40 . 2010-07-02 14:40 -------- d-----w- c:\programme\DVDVideoSoftTB
2010-07-02 14:40 . 2010-07-02 14:40 52224 ----a-w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
2010-07-02 14:40 . 2010-07-02 14:40 101376 ----a-w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
2010-07-02 14:34 . 2010-07-02 14:34 -------- d-----w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-06-19 09:39 . 2010-06-19 09:39 -------- d--h--w- c:\windows\PIF
2010-06-16 17:23 . 2010-07-14 14:53 -------- d-----w- c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2010-06-16 17:23 . 2010-07-14 14:48 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\LogMeIn Hamachi
2010-06-16 17:23 . 2010-06-16 17:23 -------- d-----w- c:\programme\LogMeIn Hamachi
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-14 14:49 . 2009-12-19 00:08 -------- d-----w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Skype
2010-07-14 14:48 . 2009-12-19 00:09 -------- d-----w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\skypePM
2010-07-14 14:12 . 2010-01-19 16:08 -------- d-----w- c:\programme\CCleaner
2010-07-14 13:04 . 2010-01-20 19:31 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-11 18:29 . 2009-12-21 13:51 218808 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-07-11 17:33 . 2009-12-21 13:52 137256 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-07-11 15:59 . 2009-12-18 23:39 -------- d-----w- c:\programme\ICQ6.5
2010-07-02 14:34 . 2009-12-30 19:24 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-06-19 09:38 . 2009-12-19 12:19 -------- d-----w- c:\dokumente und einstellungen\Maddin\Anwendungsdaten\U3
2010-06-14 16:17 . 2010-02-02 12:18 -------- d-----w- c:\programme\Guitar Pro 5
2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe\Reader\9.2\ARM\16346\AcrobatUpdater.exe
2010-05-24 14:01 . 2010-01-06 16:51 -------- d-----w- c:\programme\Google
2010-04-29 10:19 . 2010-01-20 19:31 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 10:19 . 2010-01-20 19:31 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-19 01:21 . 2009-12-19 01:21 61 --sh--w- c:\windows\cnerolf.bin
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-04-27 08:08 2393184 ----a-w- c:\programme\DVDVideoSoftTB\tbDVDV.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVDV.dll" [2010-04-27 2393184]
[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-10-09 25623336]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"LogMeIn Hamachi Ui"="c:\programme\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\GameSpy Arcade\\Aphex.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\GIGABYTE\\GEST\\run.exe"=
"c:\\Programme\\sixteen tons entertainment\\Emergency 4 Deluxe\\Em4Deluxe.exe"=
"c:\\Programme\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Programme\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\THQ\\Pandemic Studios\\Full Spectrum Warrior\\Launcher.locked"=
"c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Game.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [30.07.2008 07:51 277736]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.01.2010 17:57 108289]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\programme\LogMeIn Hamachi\hamachi-2.exe [30.03.2010 11:16 1107336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [19.12.2009 01:40 222968]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [25.02.2010 11:03 1047880]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [24.02.2010 14:41 10064]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.01.2010 18:51 135664]
S3 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [19.12.2009 01:06 47624]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.01.2010 21:02 691696]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 16:51]
2010-07-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-06 16:51]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyServer = http=127.0.0.1:5643
uInternet Settings,ProxyOverride = <local>
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Maddin\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL -
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\components\RadioWMPCore.dll
FF - component: c:\dokumente und einstellungen\Maddin\Anwendungsdaten\Mozilla\Firefox\Profiles\3o4vs74u.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKCU-Run-ciebrqgh - c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe
HKLM-Run-ciebrqgh - c:\dokumente und einstellungen\Maddin\Lokale Einstellungen\Anwendungsdaten\qgkkksbwa\nndvowktssd.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-14 16:53
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1202660629-1801674531-2142462750-1004\Software\SecuROM\License information*]
"datasecu"=hex:4c,76,c7,be,99,ab,bd,54,fe,c7,5b,8c,1b,c6,15,7f,a2,e3,f9,ef,1e,
eb,3f,51,eb,f1,77,07,e1,a9,54,e4,37,8a,69,ce,1b,e8,cd,3b,65,c1,0b,50,81,1b,\
"rkeysecu"=hex:10,42,7d,4a,95,0f,44,ac,8f,03,f9,13,04,e2,e4,f9
.
Zeit der Fertigstellung: 2010-07-14 16:54:10
ComboFix-quarantined-files.txt 2010-07-14 14:54
Vor Suchlauf: 10 Verzeichnis(se), 105.345.212.416 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 109.693.808.640 Bytes frei
- - End Of File - - 2DA54BAC2F9CD7C8CC20D28D18C4B3F0 --- --- --- |