Hallo Swiss,
danke für die schnelle Hilfe. Hab mich an Deine Anleitung gehalten. Die Entfernung hat super funktioniert. Kannst Du mir bitte noch einen Tipp geben, wie ich einen Neuinfektion vermeiden kann?
Nachfolgend der Inhalt der Combifix.txt.
Viele Grüße & 1000 Dank
Nicole
Combofix Logfile: Code:
ComboFix 10-10-14.04 - xx 15.10.2010 17:46:28.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.548 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xx\Desktop\Combo-Fix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\etc\lmhosts
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-15 bis 2010-10-15 ))))))))))))))))))))))))))))))
.
2010-10-14 18:15 . 2010-10-14 18:15 -------- d-----w- c:\dokumente und einstellungen\xxAnwendungsdaten\Malwarebytes
2010-10-14 18:15 . 2010-10-15 15:11 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-14 18:15 . 2010-10-14 18:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 14820864]
"AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 88204]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-10 761945]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-30 57344]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2005-08-17 61440]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2005-03-16 204800]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2005-09-02 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ALDI_NORD_FotoSuite"="c:\programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2005-06-20 290816]
"RemoteControl"="c:\programme\Home Cinema\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-10-28 139264]
"InstantOn"="c:\programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-03-25 93640]
"Zone Labs Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-09-07 98304]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-10-05 2067808]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10d.exe" [2009-10-28 257440]
c:\dokumente und einstellungen\ELIAS\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-1-12 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-20 07:03 12536 ----a-w- c:\windows\system32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\H:\0autocheck autochk *
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\MSN Messenger\\msnmsgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"%ProgramFiles%\\WIDCOMM\\Bluetooth Software\\BTTray.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\fotobuch.de AG\\Designer 2.0\\Designer.exe"=
"c:\\Programme\\gnucash\\bin\\gnucash-bin.exe"=
"c:\\Programme\\gnucash\\bin\\gconfd-2.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\AVG\\AVG9\\avgemc.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [16.06.2009 13:58 216400]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [16.06.2009 13:58 243024]
R2 avg9emc;AVG Free E-mail Scanner;c:\programme\AVG\AVG9\avgemc.exe [20.07.2010 09:02 921952]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [20.07.2010 09:03 308136]
R2 E504C;Eumex 504PC USB;c:\windows\system32\drivers\E504c.sys [11.05.2000 17:16 186308]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [01.06.2008 09:13 34064]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [10.03.2008 23:02 6016]
R3 TIACXLN;TI ACX100 WLAN Adapter;c:\windows\system32\drivers\TIACXLN.sys [01.01.2007 21:53 208640]
S1 M9207;ULi M9207 USB DVB-T / TV BOX;c:\windows\system32\DRIVERS\M9207BDA.sys --> c:\windows\system32\DRIVERS\M9207BDA.sys [?]
S1 mailKmd;mailKmd; [x]
S2 AppServer9PE;SunJavaSystemAppserver9PE;c:\programme\Sun\SDK\lib\appservService.exe "\"c:\programme\Sun\SDK\bin\asadmin.bat\" start-domain --user admin domain1" "\"c:\programme\Sun\SDK\bin\asadmin.bat\" stop-domain domain1\" --> c:\programme\Sun\SDK\lib\appservService.exe \c:\programme\Sun\SDK\bin\asadmin.bat\ [?]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18.09.2005 16:18 799744]
S3 ULiM9205;TVBOX service;c:\windows\system32\Drivers\M9205.sys --> c:\windows\system32\Drivers\M9205.sys [?]
S3 ulisa;Telekom Eumex 504PC USB;c:\windows\system32\drivers\ulisa.sys [11.05.2000 11:08 12992]
S3 uxddrv;Dynamically loaded UxdDrv;\??\f:\diagnose\Wstpro\uxddrv.sys --> f:\diagnose\Wstpro\uxddrv.sys [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03.08.2007 16:21 682232]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://www.aldi.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
DPF: {48ED5A74-A5A6-4EDE-AAC5-42D697FC3F19} - hxxp://www.cyberoro.com/download/cyber.cab
DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} - hxxp://www.cyberoro.com/download/OroCheck.cab
FF - ProfilePath - c:\dokumente und einstellungen\Nicolchen\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\dokumente und einstellungen\xx\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\xx\Anwendungsdaten\Mozilla\Firefox\Profiles\7a7rw8o7.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
HKLM-Run-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
HKLM-Run-Device Detection - c:\programme\fotokasten comfort - Tchibo Edition\dd.exe
AddRemove-ShockwaveFlash - c:\windows\system32\Macromed\Flash\FlashUtil9c.exe
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1138618481-419602289-1623038075-1007\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E3F36764-9CB2-D4FA-FB2D-222037854641}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oagmloemcnbiemapbpbcnalfmgfnhd"=hex:69,61,63,64,70,6f,64,61,6c,64,6a,64,6b,64,
70,68,6d,70,00,00
"naanhappicknklnociohakkmmjie"=hex:69,61,63,64,70,6f,64,61,6c,64,6a,64,6b,64,
70,68,6d,70,00,00
"gboolghnnocmakkgkloaijcejhbokionleghiaaidcnipk"=hex:61,61,00,00
"bbiocmahgjbgfamlnpldgpjamejladkbnoef"=hex:61,61,00,00
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-10-15 18:06:50
ComboFix-quarantined-files.txt 2010-10-15 16:06
Vor Suchlauf: 9 Verzeichnis(se), 17.173.159.936 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 18.424.143.872 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 4204DCEAB23C98B59089E1D170D3203D --- --- --- |