CombofixLog - Was hatte ich eingefangen?

#0
24.08.2009, 21:25
...neu hier

Beiträge: 2
#1 Hallo zusammen,
ich möchte Euch bitten, den weiter untenstehenden Log von COMBOFIX mir zu analysieren ob
a) Die Kiste nun sauber ist
b) welches Untier da seine Werke trieb oder hoffentlich nicht noch treibt

Vorgeschichte:
Systray + Popup von "Total Security 4.52" - ist nach Recherche irgendein sch... krummes Ding.
Der bisherhiger AV eine Uraltversion von KAV (aber mit aktuellen Signaturen)
schlägt zwar Alarm konnte aber nix weiteres zu tun- ich hab den in meiner Verzweiflung installiert und gegen Avira getausch.

Behandlungen ohne Erfolg:
Booten von CD mit PartPe: Der Ornder C:\Windows\Temp konnte gelöscht werden

Nach erneuten Neustart auf der Platte machte die Kiste binnen kürzeste Zeit via services.exe unzählige smtp-Connects auf => heftiges Blinken der Netzwerkstatus-Anzeige im Systray, der Popup von "Total Security 4.52" war weg.
Siehe dazu der Log von tcpview:

alg.exe:2052 TCP mein_pc:1028 mein_pc:0 LISTENING
AppleMobileDeviceService.exe:1836 TCP mein_pc:27015 mein_pc:0 LISTENING
lsass.exe:500 UDP mein_pc:isakmp *:*
lsass.exe:500 UDP mein_pc:4500 *:*
services.exe:488 TCP mein_pc:2224 mrwint.netstream.net:smtp SYN_SENT
services.exe:488 TCP mein_pc:2264 hknpx2.hknet.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2280 hknpx2.hknet.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2263 s65.xrea.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2320 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2297 195.55.224.71:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2321 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2317 cluster-g.mailcontrol.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2289 msa-mx1.hinet.net:smtp SYN_SENT
services.exe:488 TCP mein_pc:2299 p2.nsm.ctmail.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2282 hknpx2.hknet.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2283 hknpx2.hknet.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2291 msa-mx1.hinet.net:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2344 217.126.86.104:smtp SYN_SENT
services.exe:488 TCP mein_pc:2343 203.171.31.104:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2340 213.75.3.30:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2333 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2345 217.126.86.104:smtp SYN_SENT
services.exe:488 TCP mein_pc:2355 216.82.248.45:smtp CLOSE_WAIT
services.exe:488 TCP mein_pc:2322 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2360 209.85.135.27:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2359 budatin.imass.uunet.co.za:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2323 cluster-g.mailcontrol.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2327 cluster-g.mailcontrol.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2324 216.163.188.54:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2361 209.85.135.27:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2346 194.8.213.130:smtp SYN_SENT
services.exe:488 TCP mein_pc:2351 203.59.24.23:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2397 64.191.223.39:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2388 89.96.160.179:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2372 msa-mx1.hinet.net:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2368 cluster-e.mailcontrol.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2393 66.43.27.44:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2394 64.191.223.39:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2389 msa-mx1.hinet.net:smtp SYN_SENT
services.exe:488 TCP mein_pc:2373 193.194.133.20:smtp SYN_SENT
services.exe:488 TCP mein_pc:2398 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2386 217.172.76.51:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2399 208.65.144.2:smtp SYN_SENT
services.exe:488 TCP mein_pc:2390 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2395 64.191.223.39:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2374 193.194.133.20:smtp SYN_SENT
services.exe:488 TCP mein_pc:2387 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2370 193.218.153.38:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2391 66.43.27.44:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2396 64.191.223.39:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2385 210.249.92.248:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2392 66.43.27.44:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2408 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2420 208.87.234.190:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2401 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2405 209.85.220.27:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2418 203.50.40.137:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2429 hknpx2.hknet.com:smtp SYN_SENT
services.exe:488 TCP mein_pc:2432 220.111.41.238:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2436 64.59.134.8:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2439 193.252.22.185:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2434 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2438 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2426 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2402 mail-bw0-f36.google.com:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2400 65.100.51.196:smtp SYN_SENT
services.exe:488 TCP mein_pc:2433 220.111.41.238:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2427 88.79.237.77:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2413 89.216.2.3:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2435 budatin.imass.uunet.co.za:smtp SYN_SENT
services.exe:488 TCP mein_pc:2403 66.43.23.60:smtp SYN_SENT
services.exe:488 TCP mein_pc:2430 216.203.30.55:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2419 208.87.234.190:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2417 64.38.50.26:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2428 88.79.237.77:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2431 85.115.60.190:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2437 193.252.22.185:smtp ESTABLISHED
services.exe:488 TCP mein_pc:2440 budatin.imass.uunet.co.za:smtp SYN_SENT
svchost.exe:720 TCP mein_pc:epmap mein_pc:0 LISTENING
svchost.exe:760 UDP mein_pc:ntp *:*
svchost.exe:760 UDP mein_pc:ntp *:*
svchost.exe:832 UDP mein_pc:59227 *:*
svchost.exe:832 UDP mein_pc:50335 *:*
svchost.exe:832 UDP mein_pc:63389 *:*
svchost.exe:832 UDP mein_pc:60408 *:*
svchost.exe:832 UDP mein_pc:57427 *:*
svchost.exe:928 UDP mein_pc:1900 *:*
svchost.exe:928 UDP mein_pc:1900 *:*
System:4 TCP mein_pc:microsoft-ds mein_pc:0 LISTENING
System:4 TCP mein_pc:netbios-ssn mein_pc:0 LISTENING
System:4 UDP mein_pc:netbios-dgm *:*
System:4 UDP mein_pc:netbios-ns *:*
System:4 UDP mein_pc:microsoft-ds *:*
update.exe:3876 TCP mein_pc:2313 62.146.66.190:http SYN_SENT



Weiter:
OnlineDiagnose mit SpybotSD ohne Befund,

Booten mit Knoppicilin-CD mit Bitdefender, Avira und KAV(mit aktuelllen Signaturen!) ohne Befund!

Behandlungen mit Erfolg:
CCleaner und dann ComboFix!!! => seither ist auf dem Netzwerkstatus wieder Ruhe und tcpview zeigt IMHO keine auffällgigen Einträge mehr.

Hier nun der Log von ComboFix mit der Bitte um Analyse und Bewertung ob die Kiste nun sauber ist und was da eingefangen wurde

ComboFix 09-08-23.01 - ***XXX*** 24.08.2009 19:58.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1535.1172 [GMT 2:00]
ausgeführt von:: g:\combofix\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\19460434
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19460434\19460434
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19460434\19460434.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19460434\pc19460434ins
c:\dokumente und einstellungen\***XXX***\Anwendungsdaten\wiaserva.log
c:\programme\WinPCap
c:\programme\WinPCap\rpcapd.exe
c:\recycler\S-1-5-21-583907252-920026266-1957994488-500
c:\windows\Installer\10f74a3.msp
c:\windows\Installer\10f74a9.msp
c:\windows\Installer\1ddc4d.msp
c:\windows\Installer\1ddc53.msp
c:\windows\Installer\204c8c.msp
c:\windows\Installer\204c92.msp
c:\windows\Installer\353dd0.msp
c:\windows\Installer\353dd6.msp
c:\windows\Installer\353ddc.msp
c:\windows\Installer\353de2.msp
c:\windows\Installer\353de8.msp
c:\windows\Installer\411f07.msp
c:\windows\Installer\411f0d.msp
c:\windows\Installer\4fa79b.msp
c:\windows\Installer\4fa7a1.msp
c:\windows\Installer\4fa7a7.msp
c:\windows\Installer\4fa7ad.msp
c:\windows\Installer\5d1269.msp
c:\windows\Installer\5d126f.msp
c:\windows\Installer\5d7104.msp
c:\windows\Installer\5d710a.msp
c:\windows\Installer\7c1671.msp
c:\windows\system32\drivers\939a0667.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FILEMON
-------\Service_939a0667
-------\Service_npf


((((((((((((((((((((((( Dateien erstellt von 2009-07-24 bis 2009-08-24 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2028-07-28 21:38 . 2028-07-28 21:38 -------- d-----w- c:\dokumente und einstellungen\***XXX***\Anwendungsdaten\InterTrust
2028-07-28 21:11 . 2028-07-28 21:11 -------- d-----w- c:\programme\microsoft frontpage
2028-07-28 21:09 . 2028-07-28 21:09 -------- d-----w- c:\programme\Online-Dienste
2028-07-28 21:08 . 2028-07-28 21:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2028-07-28 21:08 . 2028-07-28 21:08 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2024-03-21 11:44 . 2008-08-09 08:25 246272 ----a-w- c:\windows\UNINST16.EXE
2009-08-24 17:52 . 2009-02-23 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-24 17:51 . 2009-08-24 17:51 -------- d-----w- c:\programme\CCleaner
2009-08-23 17:05 . 2009-08-23 17:05 -------- d-----w- c:\programme\Avira
2009-08-23 17:05 . 2009-08-23 17:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-08-23 10:12 . 2009-02-23 19:06 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-08-22 14:44 . 2009-07-23 18:41 30 ----a-w- c:\programme\Exiferupdate.ini
2009-08-14 15:42 . 2008-04-10 18:11 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2009-07-29 20:21 . 2009-07-29 20:10 -------- d-----w- c:\programme\Replay Media Catcher
2009-07-29 20:11 . 2009-07-29 20:11 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe
2009-07-29 20:11 . 2009-07-29 20:11 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll
2009-07-29 20:11 . 2009-07-29 20:11 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL
2009-07-28 14:33 . 2009-08-23 17:05 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-26 11:56 . 2008-03-30 19:40 -------- d-----w- c:\programme\Password Safe
2009-07-25 21:25 . 2009-07-25 21:25 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Apple Computer
2009-07-25 21:24 . 2008-03-30 17:52 83232 ----a-w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-23 18:31 . 2009-07-23 18:30 -------- d-----w- c:\programme\Exifer
2009-07-23 18:24 . 2009-07-23 18:24 -------- d-----w- c:\programme\IrfanView
2009-07-09 17:35 . 2008-03-30 12:51 2516 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-01 13:40 . 1979-12-31 23:00 50244 ----a-w- c:\windows\system32\perfc007.dat
2009-06-01 13:40 . 1979-12-31 23:00 321936 ----a-w- c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OnlineFestplatte"="c:\programme\aon\Onlinefestplatte\OnlineFestplatte.exe" [2008-01-25 253976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"pdfFactory Pro Dispatcher v2"="c:\windows\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2004-04-12 425984]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"AudioDeck"="c:\programme\VIAudioi\SBADeck\ADeck.exe" [2006-03-20 516096]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"Hofer_FotoSuite_Download"="c:\programme\Hofer Foto Service\Hofer_Foto_Service\FotoSuite.exe" [2008-11-13 1257472]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-12-10 1519616]
"Tweak UI"="TWEAKUI.CPL" - c:\windows\system32\TWEAKUI.CPL [2000-06-18 106544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-3-30 25214]
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office2003\OFFICE11\ONENOTEM.EXE [2005-3-17 59080]
PGPtray.lnk - c:\programme\PGP\PGP602i\PGPtray.exe [2008-3-30 37888]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:vnc5900

R2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.08.2009 19:05 108289]
R2 PGPdisk;PGPdisk;c:\windows\system32\drivers\PGPdisk.sys [30.03.2008 23:14 171424]
R2 PGPmemlock;PGPmemlock;c:\windows\system32\drivers\PGPmemlock.sys [30.03.2008 23:14 8384]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [21.12.2002 14:30 37568]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [21.12.2002 14:30 444416]
S3 fsbl-standalone;F-Secure BlackLight Beta Engine Driver;\??\c:\dokume~1\***XXX***\LOKALE~1\Temp\F-Secure\BlackLight\fsbldrv.sys --> c:\dokume~1\***XXX***\LOKALE~1\Temp\F-Secure\BlackLight\fsbldrv.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\h:\ntglm7x.sys --> h:\NTGLM7X.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {E533386F-D265-4466-B7CB-AFD94BF9F466} = 195.3.96.67,195.3.96.68
FF - ProfilePath - c:\dokumente und einstellungen\***XXX***\Anwendungsdaten\Mozilla\Firefox\Profiles\97d6vwjf.default\
FF - prefs.js: browser.startup.homepage -

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-24 20:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\programme\VIAudioi\SBADeck\ADeck.exe 1???????\ ?|????f:\tempinstall\V???|???|??

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1832)
c:\windows\system32\PGP60hk.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\BRSS01A.EXE
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-24 20:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-08-24 18:09

Vor Suchlauf: 5.092.978.688 Bytes frei
Nach Suchlauf: 5.214.887.936 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

240


Vielen Dank im Voraus
Seitenanfang Seitenende
25.08.2009, 18:07
Moderator

Beiträge: 7805
#2 Nach den Datei und Ordnernamen koennte das u.a. ein DNS Changer und ein Spambot gewesen sein. Sprich, dein Rechner hat waerend der Infektion laufend Spam an andere Rechner versendet! ;)
Mache bitte noch ein paar Kontrollscans mit Mbam:
http://board.protecus.de/t23188.htm

und Kasperskys avptool http://devbuilds.kaspersky-labs.com/devbuilds/9.0.0.684/avptool_setup.exe

Poste die Reporte, die es erstellt haben.

Deinstalliere aber vorher Combofix via start/ausfuehren und dort
combofix /u
eingeben und enter druecken...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.08.2009, 06:39
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo zusammen, vielen Dank vorerst.
Anbei die Logs von MBam und KAV
####################################
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2695
Windows 5.1.2600 Service Pack 3

25.08.2009 22:31:50
mbam-log-2009-08-25 (22-31-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96478
Laufzeit: 4 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\System32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
##############################################


##############################################
Scan
----
Scanned: 1094316
Detected: 1
Untreated: 0
Start time: 25.08.2009 23:12:14
Duration: 07:11:47
Finish time: 26.08.2009 06:24:01


Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.Zdoogu.fd File: C:\ProgamFiles\hickathis\backups\backup-20090823-161854-776-ikowin32.exe


Events
------
Time Name Status Reason
---- ---- ------ ------
25.08.2009 23:12:24 Running module: smss.exe\smss.exe ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\System32\smss.exe ok scanned
25.08.2009 23:12:25 Running module: smss.exe\ntdll.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\ntdll.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\csrss.exe ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\csrss.exe ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\ntdll.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\ntdll.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\CSRSRV.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\CSRSRV.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\basesrv.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\basesrv.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\winsrv.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\winsrv.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\GDI32.dll ok scanned
25.08.2009 23:12:25 File: C:\WINDOWS\system32\GDI32.dll ok scanned
25.08.2009 23:12:25 Running module: csrss.exe\KERNEL32.dll ok scanned
25.08.2009 23:12:26 File: C:\WINDOWS\system32\KERNEL32.dll ok scanned
25.08.2009 23:12:26 Running module: csrss.exe\USER32.dll ok scanned
25.08.2009 23:12:26 File: C:\WINDOWS\system32\USER32.dll ok scanned
25.08.2009 23:12:26 Running module: csrss.exe\sxs.dll ok scanned
25.08.2009 23:12:26 File: C:\WINDOWS\system32\sxs.dll ok scanned
25.08.2009 23:12:26 Running module: csrss.exe\ADVAPI32.dll ok scanned
25.08.2009 23:12:27 File: C:\WINDOWS\system32\ADVAPI32.dll ok scanned
25.08.2009 23:12:27 Running module: csrss.exe\RPCRT4.dll ok scanned
25.08.2009 23:12:27 File: C:\WINDOWS\system32\RPCRT4.dll ok scanned
25.08.2009 23:12:27 Running module: csrss.exe\Secur32.dll ok scanned
25.08.2009 23:12:27 File: C:\WINDOWS\system32\Secur32.dll ok scanned
25.08.2009 23:12:27 Running module: winlogon.exe\winlogon.exe ok scanned
25.08.2009 23:12:27 File: C:\WINDOWS\system32\winlogon.exe ok scanned
25.08.2009 23:12:27 Running module: winlogon.exe\ntdll.dll ok scanned
25.08.2009 23:12:27 File: C:\WINDOWS\system32\ntdll.dll ok scanned
25.08.2009 23:12:27 Running module: winlogon.exe\kernel32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\kernel32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\ADVAPI32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\ADVAPI32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\RPCRT4.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\RPCRT4.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\Secur32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\Secur32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\AUTHZ.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\AUTHZ.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\msvcrt.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\msvcrt.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\CRYPT32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\CRYPT32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\MSASN1.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\MSASN1.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\USER32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\USER32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\GDI32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\GDI32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\NDdeApi.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\NDdeApi.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\PROFMAP.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\PROFMAP.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\NETAPI32.dll ok scanned
25.08.2009 23:12:28 File: C:\WINDOWS\system32\NETAPI32.dll ok scanned
25.08.2009 23:12:28 Running module: winlogon.exe\USERENV.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\USERENV.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\PSAPI.DLL ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\PSAPI.DLL ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\REGAPI.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\REGAPI.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\SETUPAPI.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\SETUPAPI.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\VERSION.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\VERSION.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\WINSTA.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\WINSTA.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\WINTRUST.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\WINTRUST.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\IMAGEHLP.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\IMAGEHLP.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\WS2_32.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\WS2_32.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\WS2HELP.dll ok scanned
25.08.2009 23:12:29 File: C:\WINDOWS\system32\WS2HELP.dll ok scanned
25.08.2009 23:12:29 Running module: winlogon.exe\IMM32.DLL ok scanned
25.08.2009 23:12:30 File: C:\WINDOWS\system32\IMM32.DLL ok scanned
25.08.2009 23:12:30 Running module: winlogon.exe\MSGINA.dll ok scanned
25.08.2009 23:12:30 File: C:\WINDOWS\system32\MSGINA.dll ok scanned
25.08.2009 23:12:30 Running module: winlogon.exe\COMCTL32.dll ok scanned
25.08.2009 23:12:30 File: C:\WINDOWS\system32\COMCTL32.dll ok scanned
25.08.2009 23:12:30 Running module: winlogon.exe\ODBC32.dll ok scanned
25.08.2009 23:12:30 File: C:\WINDOWS\system32\ODBC32.dll ok scanned
25.08.2009 23:12:30 Running module: winlogon.exe\comdlg32.dll ok scanned
25.08.2009 23:12:31 File: C:\WINDOWS\system32\comdlg32.dll ok scanned
25.08.2009 23:12:31 Running module: winlogon.exe\SHELL32.dll ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 81 0 0 0 0 0 0 0 0
System memory 81 0 0 0 0 0 0 0 0
Startup objects 0 0 0 0 0 0 0 0 0
Disk boot sectors 0 0 0 0 0 0 0 0 0
Eigene Dateien 0 0 0 0 0 0 0 0 0
Mail databases 0 0 0 0 0 0 0 0 0
Arbeitsplatz 0 0 0 0 0 0 0 0 0
3.5-Diskette (A;) 0 0 0 0 0 0 0 0 0
WXP_PRI (C;) 0 0 0 0 0 0 0 0 0
LW1 (D;) 0 0 0 0 0 0 0 0 0
LW2 (E;) 0 0 0 0 0 0 0 0 0
LW3 (F;) 0 0 0 0 0 0 0 0 0


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----
##################################################


Anmerkung: WIndowsupdate funktioniert nicht mehr - daher der Eintrag von Mbam.
Auf der WindowsupdateHomepage wird der Fehler 0x80070002 ausgegeben, händisch lassen sich die Dienste wuauserv und BITS auch nicht starten da kommt der Fehler 2 die Datei konnte nicht gefunden werden.
Die Office-Update mache den gleichen Mist.
Weiss da jemand weiter?

Danke + Gruss sausewind
Seitenanfang Seitenende