bereinigung durch combofix+Logfile |
||
---|---|---|
#0
| ||
06.11.2009, 10:56
...neu hier
Beiträge: 4 |
||
|
||
06.11.2009, 11:06
Moderator
Beiträge: 7805 |
#2
Pruefe bitte c:\windows\system32\chg.exe bei Virustotal und poste den Link zum Ergebniss.
Und du solltest dein System etwas besser pflegen. CF hat dir auf die Schnelle ca 40 GB an temporaeren Dateien geloescht! Wird Zeit fuer eine Datentraegerbereinigung und den Einsatz von CCleaner! Eine Datentraegerdefragmentierung waere wohl auch angebracht! Aber eins nach dem anderen.. Du solltest dir auch ein AV Programm deiner Wahl installieren. Ganz ohne scheint es bei dir nicht zu gehen. Updates via www.windowsupdate.com und das deaktivieren des Autostarts sollten selbstverstaendlich sein. Ich denke einer der externen Datentraeger, die du an deinen Rechner angesteckt hast, ist noch infiziert. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2009, 14:30
...neu hier
Themenstarter Beiträge: 4 |
#3
Das ist das was VirusTotal mir ausgegeben hat.
Noch eine kurze Frage: Ich sitze hier in einer Firma in der ich als azubi... wie du vllt mitbekommen hast habe ich dort Admin rechte und kann eigentlich tuhen und lassen was ich will. Die Frage ist jetzt nur ob das Netzlaufwerk(aka server) infiziert ist und gegebennenfalls von mir verseucht ist?! zur sache mit CCleaner und co habe ich drüber laufen lassen. Und antivir sofware ist so ne sache darf man alle nicht Komerziell benutzen daher keine verfügbar. Vielen dank für die schnelle Hilfe weitere Informationen File size: 118784 bytes MD5 : a4f2f2a90c4e72b44f16f34100f76f32 SHA1 : 433607635b5e871377e8367cb2ec0a7b14a836c0 SHA256: 9c6d16f0b9dd38d428fed13216793e8060798211669ad1f81990868f28420ee8 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1A46 timedatestamp.....: 0x448ECDD5 (Tue Jun 13 16:38:13 2006) machinetype.......: 0x14C (Intel I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xD02 0x1000 5.28 e8747c67276441c1689d5f8b32e0d65a .rdata 0x2000 0x7DA 0x1000 2.89 8243463b179f26b9a277b73ee90f0f68 .data 0x3000 0x134 0x1000 0.07 71625b3e13b669e34579dbd8d67850fc .rsrc 0x4000 0x18BD0 0x19000 7.58 4e9eb75360b61350b349990d58e9b7a7 ( 4 imports ) > kernel32.dll: SizeofResource, LoadResource, FindResourceA, GetModuleFileNameA, GetModuleHandleA, GetStartupInfoA, LockResource > mfc42.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > msvcrt.dll: __dllonexit, _onexit, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _ftol, ceil, malloc, __CxxFrameHandler, _setmbcp > user32.dll: DrawIcon, GetClientRect, GetSystemMetrics, IsIconic, SendMessageA ( 0 exports ) TrID : File type identification Win32 Dynamic Link Library (generic) (65.4%) Generic Win/DOS Executable (17.2%) DOS Executable Generic (17.2%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ThreatExpert: http://www.threatexpert.com/report.aspx?md5=a4f2f2a90c4e72b44f16f34100f76f32 ssdeep: 3072:kqx6m7Np1WHvu7f5EK/jI+QTZko01HU/CmGcAt:b6mppF7hEKhQTOo01HU/Cmx PEiD : Armadillo v1.71 CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=a4f2f2a90c4e72b44f16f34100f76f32 RDS : NSRL Reference Data Set - |
|
|
||
06.11.2009, 15:04
Moderator
Beiträge: 7805 |
#4
Das haengt davon ab, welche Rechte der Lokale Benutzer auf den Netzwerklaufwerken hat. Schau, ob du auf den Netwerklaufwerken auch eine autorun.inf finden kannst...
Problem dabei ist, das du da jemanden von der IT informieren solltest, der das ganze mal genauer unter die Lupe nimmt, denn das derzeitige Sicherheitskonzept scheint nicht zu greifen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2009, 15:23
...neu hier
Themenstarter Beiträge: 4 |
#5
Ok das mach ich.
Was habe ich zu tun falls ich eine atorun.inf finde? löschen?... ich weiß ja nicht aber das netz scheint ganz normal zu Funktionieren und ich habe mich in letzter Zeit nur mit dem normalen(ohne netz adminrechte)benutzer angemeldet. Dieser Beitrag wurde am 06.11.2009 um 15:46 Uhr von Illuminat editiert.
|
|
|
||
06.11.2009, 15:45
Moderator
Beiträge: 7805 |
#6
Wenn du da eine autorun.inf findest, oeffne sie mit Noepad und schaue, was fuer ein Dateiname dort angegeben wird.
Das ganze kann ganz boese enden und wie gesagt, du solltest eure IT auf das Problem aufmerksam machen.. Wer weiss, ob und welche informationen von dem/den Rechnern gestohlen wurde und was fuer Massnahmen ergriffen werden muessen... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2009, 15:48
...neu hier
Themenstarter Beiträge: 4 |
#7
ok vielen dank für die hilfe !
|
|
|
||
ausgeführt und wieder abgebrochen hat.
Dadurch war die Prozessor Auslastung immer bei 100%.
Dieses Problem ist jetz durch Combofix behoben!!
(geiles Tool )
hier das Logfile
ComboFix 09-11-05.01 - Administrator 06.11.2009 10:23.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3070.2567 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.CONTINUUM\Desktop\cf.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\recycler\S-1-5-21-2154859581-1619786043-2546940371-500
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2009-10-06 bis 2009-11-06 ))))))))))))))))))))))))))))))
.
2009-11-06 09:18 . 2009-11-06 09:20 -------- d-----w- C:\cf
2009-11-06 08:54 . 2009-11-06 08:54 118784 ----a-w- c:\windows\system32\chg.exe
2009-11-05 17:22 . 2009-11-06 08:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-11-05 17:22 . 2009-11-05 17:24 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-11-04 12:27 . 2009-07-28 15:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-02 08:14 . 2009-11-02 08:14 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Lokale Einstellungen\Anwendungsdaten\Apple
2009-10-30 16:25 . 2009-10-30 16:25 46 ----a-w- c:\windows\system32\DonationCoder_urlsnooper_InstallInfo.dat
2009-10-30 16:25 . 2009-10-30 16:25 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\DonationCoder
2009-10-30 16:24 . 2009-10-30 16:24 -------- d-----w- c:\programme\WinPcap
2009-10-30 16:24 . 2009-10-30 16:25 -------- d-----w- c:\programme\URLSnooper2
2009-10-30 16:24 . 2009-10-30 16:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DonationCoder
2009-10-30 15:57 . 2009-11-04 10:52 -------- d-----w- C:\downloads
2009-10-30 15:57 . 2009-10-30 15:57 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\GrabPro
2009-10-30 15:57 . 2009-11-04 10:52 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Orbit
2009-10-26 16:58 . 2009-10-26 16:58 -------- d-----w- c:\windows\SQLTools9_KB970892_ENU
2009-10-26 16:55 . 2009-10-26 16:55 -------- d-----w- c:\windows\SQL9_KB970892_ENU
2009-10-20 18:19 . 2009-10-20 18:19 281104 ----a-w- c:\windows\system32\wpcap.dll
2009-10-20 18:19 . 2009-10-20 18:19 100880 ----a-w- c:\windows\system32\Packet.dll
2009-10-20 18:19 . 2009-10-20 18:19 50704 ----a-w- c:\windows\system32\drivers\npf.sys
2009-10-20 18:19 . 2009-10-20 18:19 53299 ----a-w- c:\windows\system32\pthreadVC.dll
2009-10-14 09:02 . 2009-10-30 12:56 86016 ----a-w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\connectaddin\meetingconvertor.dll
2009-10-14 09:02 . 2009-10-30 12:56 81920 ----a-w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\connectaddin\connecthook.dll
2009-10-14 09:02 . 2009-10-30 12:56 303104 ----a-w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\connectaddin\connectsprd.dll
2009-10-14 09:02 . 2009-10-14 09:02 4736992 ----a-w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\connectaddin\connectaddin.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-05 15:57 . 2009-02-19 08:25 76088 ----a-w- c:\dokumente und einstellungen\sun\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-04 09:12 . 2009-08-25 07:10 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Skype
2009-11-04 09:09 . 2009-08-25 07:12 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\skypePM
2009-11-02 08:10 . 2009-09-28 15:25 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Apple Computer
2009-10-27 08:13 . 2006-05-04 20:53 568036 ----a-w- c:\windows\system32\perfh007.dat
2009-10-27 08:13 . 2006-05-04 20:53 128398 ----a-w- c:\windows\system32\perfc007.dat
2009-10-26 17:03 . 2008-09-22 08:24 18368 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VSA\9.0\1033\ResourceCache.dll
2009-10-26 17:03 . 2008-09-22 08:23 1241376 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\VisualStudio\9.0\1033\ResourceCache.dll
2009-10-26 17:01 . 2008-07-14 16:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-10-26 16:58 . 2008-07-14 16:27 -------- d-----w- c:\programme\Microsoft SQL Server
2009-10-26 11:24 . 2008-07-14 08:20 -------- d-----w- c:\programme\Audacity
2009-10-26 09:32 . 2008-07-23 12:58 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-10-08 14:34 . 2009-10-05 13:19 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\FileZilla
2009-10-05 13:19 . 2009-10-05 13:19 -------- d-----w- c:\programme\FileZilla FTP Client
2009-10-05 12:47 . 2009-10-05 12:47 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\LEAPS
2009-10-05 12:38 . 2009-10-05 12:38 -------- d-----w- c:\dokumente und einstellungen\Administrator.CONTINUUM\Anwendungsdaten\Pegasys Inc
2009-10-05 09:23 . 2008-06-26 19:31 76088 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-05 08:21 . 2009-02-23 08:59 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-10-05 08:19 . 2009-10-05 08:19 -------- d-----w- c:\programme\Adobe Media Player
2009-10-05 08:17 . 2009-10-05 08:17 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-10-02 12:51 . 2009-07-06 14:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-10-01 16:02 . 2009-06-25 16:02 417728 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-09-29 15:52 . 2008-10-28 08:36 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-09-29 11:26 . 2008-10-28 08:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-09-24 08:37 . 2008-10-28 08:36 -------- d-----r- c:\programme\Skype
2009-09-24 08:37 . 2009-09-24 08:37 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-09-24 08:37 . 2008-10-28 08:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-09-22 15:37 . 2009-09-22 15:37 -------- d-----w- c:\programme\GnuWin32
2009-09-22 14:37 . 2009-09-22 14:37 10134 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}\ARPPRODUCTICON.exe
2009-09-22 14:37 . 2009-09-22 14:37 -------- d-----w- c:\programme\HP
2009-09-22 13:57 . 2009-09-22 13:56 -------- d-----w- c:\programme\WinTV
2009-09-22 13:56 . 2008-07-14 16:27 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-14 08:01 . 2008-09-22 07:54 76088 ----a-w- c:\dokumente und einstellungen\raz\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-09-11 14:17 . 2006-02-28 02:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-11 01:09 . 2008-09-22 08:33 -------- d-----w- c:\programme\Microsoft Silverlight
2009-09-10 12:42 . 2009-09-10 12:42 -------- d-----w- c:\dokumente und einstellungen\sun\Anwendungsdaten\Subversion
2009-09-04 21:03 . 2006-02-28 02:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:24 . 2006-02-28 02:00 832512 ----a-w- c:\windows\system32\wininet.dll
2009-08-29 07:24 . 2006-02-28 02:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-08-29 07:24 . 2006-02-28 02:00 17408 ----a-w- c:\windows\system32\corpol.dll
2009-08-26 08:00 . 2006-02-28 02:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-17 22:33 . 2009-08-17 22:33 1193832 ----a-w- c:\windows\system32\FM20.DLL
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-06-05 16:01 85712 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-04 8466432]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-09-04 81920]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 77824]
"PDF Complete"="c:\programme\PDF Complete\pdfsty.exe" [2008-04-07 318488]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-09-04 1626112]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Verknpfung mit Start Moodle.exe.lnk - c:\programme\Moodle-v19\Start Moodle.exe [2008-7-2 25088]
c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
Verknpfung mit Start Moodle.exe.lnk - c:\programme\Moodle-v19\Start Moodle.exe [2008-7-2 25088]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Launchy.lnk - c:\programme\Launchy\Launchy.exe [2008-7-14 274432]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Moodle-v19\\server\\mysql\\bin\\mysqld.exe"=
"c:\\Programme\\Moodle-v19\\server\\apache\\bin\\apache.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R2 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\TVServer\HAUPPA~1.EXE [22.09.2009 14:56 434176]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 19:19 50704]
R2 pdfcDispatcher;PDF Document Manager;c:\programme\PDF Complete\pdfsvc.exe [26.06.2008 20:34 576024]
R3 LaCieFWFilter;Silver 1394 Filter (1394 BUS Filter Driver);c:\windows\system32\drivers\LaCieFWFilter.sys [17.07.2008 15:20 14848]
R3 LaCieUSBFilter;Silver USB Filter (USB BUS Filter Driver);c:\windows\system32\drivers\LaCieUSBFilter.sys [17.07.2008 15:20 15872]
S3 hcw47000;Hauppauge 47xxx WinTV DVBS Device;c:\windows\system32\drivers\hcw47xxx.sys [22.09.2009 14:51 192768]
S3 vga2usb;Epiphan VGA2USB/DVI2USB/KVM2USB;c:\windows\system32\drivers\vga2usb.sys [03.11.2008 14:15 1466880]
--- Andere Dienste/Treiber im Speicher ---
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Inhalt des "geplante Tasks" Ordners
2009-11-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hp.com
IE: &AOL Toolbar-Suche - c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL\ieToolbar\resources\de-DE\local\search.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-06 10:30
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
"ImagePath"="c:\programme\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\Ati2evxx.dll
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
- - - - - - - > 'lsass.exe'(784)
c:\programme\Bonjour\mdnsNSP.dll
.
Zeit der Fertigstellung: 2009-11-06 10:32
ComboFix-quarantined-files.txt 2009-11-06 09:32
Vor Suchlauf: 16 Verzeichnis(se), 80.848.285.696 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 121.454.891.008 Bytes frei
- - End Of File - - 5274F3EBCC6B3A033D4A95029CEECAA1
Falls ihr das beurteilen könnt, ist alles weg??
Danke schon einmal im vorraus
Gruß Illu