Hallo Arne,
1. Beichte: Den bei mir seit Ewigkeiten installierten Ccleaner habe ich vergessen vorher anzumachen..... (schäm!)
2. Nachdem ich Kaspersky deaktiviert habe, hat Window gequakt, das der Computer nicht geschützt ist - sonst habe ich kein Programm geöffnet bzw. irgendetwas angefasst.....
3. Nach dem automatischen Neustart ist Kaspersky mit seiner "Lizenz läuft ab" automatisch aufgegangen
Hier nun ComboFix:
Combofix Logfile: Code:
ComboFix 11-03-24.06 - *** 25.03.2011 15:14:47.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.503.299 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\load.exe
.
c:\windows\system32\drivers\ntfs.sys . . . ist infiziert!!
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-25 bis 2011-03-25 ))))))))))))))))))))))))))))))
.
.
2011-03-25 12:23 . 2011-03-25 12:23 -------- d-----w- C:\_OTL
2011-03-23 12:55 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-23 12:55 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-23 12:55 . 2011-03-23 12:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-03-21 09:56 . 2011-03-21 09:56 -------- d-----w- c:\programme\ERUNT
2011-03-20 13:42 . 2010-10-05 19:26 109240 ----a-w- c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-03-20 13:42 . 2010-10-05 19:27 150200 ----a-w- c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-03-20 13:42 . 2011-03-20 18:32 114243 ----a-w- c:\windows\system32\drivers\klin.dat
2011-03-20 13:42 . 2011-03-20 18:32 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-03-20 13:40 . 2011-03-25 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-03-20 13:40 . 2011-03-20 13:40 -------- d-----w- c:\programme\Kaspersky Lab
2011-03-20 13:22 . 2011-03-20 13:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2011-03-18 15:46 . 2011-03-20 13:37 -------- d-----w- c:\programme\Spybot - Search & Destroy
2011-03-18 15:46 . 2011-03-20 13:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-03-18 14:14 . 2011-03-18 14:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-03-18 14:13 . 2011-03-18 14:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-17 11:45 . 2011-03-17 11:45 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
2011-03-17 10:21 . 2011-03-17 10:21 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-03-16 22:17 . 2011-03-16 22:17 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2011-03-16 16:27 . 2011-03-16 18:34 -------- d-----w- c:\programme\MMalwarebytes' Anti-Malware
2011-03-01 18:29 . 2011-03-01 18:29 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2004-08-04 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2005-07-11 05:29 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-07-11 05:29 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-04 12:00 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2011-01-04 19:36 . 2011-01-04 19:36 1110476 ----a-w- C:\7z920.exe
2010-12-31 14:03 . 2004-08-04 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2007-08-13 19:01 . 2007-08-13 19:01 881584 ----a-w- c:\programme\Google_Updater.exe
2006-09-10 12:00 . 2006-09-10 12:00 1980509 -c--a-w- c:\programme\mp3gain-win-full-1_3_4.exe
2006-07-18 18:43 . 2006-07-18 18:43 279752 -c--a-w- c:\programme\RHDTOOL11.EXE
2005-11-26 18:08 . 2005-11-26 18:08 726329 -c--a-w- c:\programme\sudoku_setup.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^setup_9.0.0.722_18.03.2011_00-06.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\setup_9.0.0.722_18.03.2011_00-06.lnk
backup=c:\windows\pss\setup_9.0.0.722_18.03.2011_00-06.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnk
backup=c:\windows\pss\_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-11-10 11:49 932288 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-30 15:45 35736 ----a-w- c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2010-11-02 23:09 1862456 ----a-w- c:\programme\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2005-04-25 08:29 77824 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2005-04-25 08:32 94208 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2005-04-25 08:32 114688 ----a-w- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetRefresh]
2003-11-20 16:01 525824 ----a-w- c:\programme\COMPAQ\SetRefresh\SetRefresh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-12-19 15:34 274608 ----a-w- c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
.
R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\drivers\bsstor.sys [11.07.2005 08:18 9344]
R0 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\drivers\WDMCAPI.sys [31.07.2003 09:21 774045]
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [20.10.2004 03:47 98304]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\bsudf.sys [11.07.2005 08:18 462464]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [20.10.2004 02:40 118784]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.10.2007 15:01 265088]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
R3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\drivers\wdmwanmp.sys [25.03.2003 16:31 28800]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [07.11.2007 16:39 4352]
S3 BCM42XX;Broadcom iLine10(tm)-Netzwerkadaptertreiber;c:\windows\system32\drivers\bcm42xx5.sys [12.07.2005 08:30 54271]
S3 BCM44X2;BCM 10/100-Ethernetnetwerkadapter-Treiber;c:\windows\system32\drivers\BCM4E5.SYS [12.07.2005 08:30 26568]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-25 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1417001333-1644491937-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
2011-03-20 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1417001333-1644491937-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wz1tk3v1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKU-Default-Run-Recycle.Bin.exe - c:\recycle.bin\Recycle.Bin.exe
MSConfigStartUp-A9YA3MI1CF - c:\dokume~1\***\LOKALE~1\Temp\Qg5.exe
MSConfigStartUp-Kcocotoy - c:\windows\oxanuvazij.dll
MSConfigStartUp-NtWqIVLZEWZU - c:\dokume~1\***\LOKALE~1\Temp\Qg7.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-03-25 15:26
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{945169D7-C27E-315B-97A3E6913A1C7622}\{06C63AB7-5C18-FA8E-E5D32118C99A5B59}\{F7BD6AFF-A45B-6FB8-BB91AB79C0A3DA53}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A73A7B6D-D5C7-2D01-6A3ED58A203D5FEA}\{958FE6C0-B367-4AD6-C310294BFC5DB709}\{E2E9EAF6-387C-4947-07B2C800F4ACC9F3}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BE08C2D3-409A-BA9A-CCC3BF5A93C4C5B2}\{31E0C4F5-10D2-2559-BD8FA6F8E4FD42BD}\{0C75E684-EF64-45D0-854DEF6D927DBB7D}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2600)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-25 15:32:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-03-25 14:31
.
Vor Suchlauf: 5.593.579.520 Bytes frei
Nach Suchlauf: 5.569.077.248 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F2400593115BE848B27F561E1AB0B437
--- --- ---
Gruss
sarogi |
