RKhit.sys zerschoss meine Sound bei Flash... nun repariert...

#0
04.10.2010, 20:15
...neu hier

Beiträge: 1
#1 Hallo zusammen,
Bin neu hier im Forum. Hatte über eine verseuchte .Exe mir die RKHit.sys-Backdoor gezogen... mein Windows zeigte es mir dadurch, dass RKHit.sys die Flash-Sounds kompromittierte: Flash 10.1 geht dann nur noch ohne Ton.

Das als Tipp: wessen Flashplugins stumm bleiben, obwohl gezogene *.flv´s im VLC funktionieren, und wo die Soundtreiber laut Systemsteuerung auch alle OK sind, der sollte mal seinen Drivers-Ordner in System32 checken... Kann an RKHit.sys liegen

Nun, habe also Combofix drübergejagt, und nun funktioniert wieder alles. Könnt ihr trotzdem mal übers Log drüberschauen, falls mir was entgangen sein sollte?

Mit besten Grüßen aus Mainz,

Michael

ComboFix 10-10-03.03 - user 04.10.2010 17:54:02.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.264 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\user\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\vlc-1.1.3-win32.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\vlc-1.1.4-win32.exe
c:\windows\system32\drivers\RKHit.sys
c:\windows\system32\vbzlib1.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT
-------\Service_RkHit


((((((((((((((((((((((( Dateien erstellt von 2010-09-04 bis 2010-10-04 ))))))))))))))))))))))))))))))
.

2010-10-04 14:56 . 2010-10-04 14:57 8146536 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\1ga241ww.exe
2010-10-03 15:04 . 2010-03-15 09:31 165376 ----a-w- c:\windows\system32\unrar.dll
2010-10-03 15:04 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-10-03 15:04 . 2010-06-08 16:10 790528 ----a-w- c:\windows\system32\xvidcore.dll
2010-10-03 15:04 . 2010-06-08 16:10 134144 ----a-w- c:\windows\system32\xvidvfw.dll
2010-10-03 15:04 . 2010-09-14 08:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-10-03 15:04 . 2010-10-03 15:05 -------- d-----w- c:\programme\K-Lite Codec Pack
2010-10-03 14:42 . 2010-09-01 13:52 35136 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
2010-10-03 14:42 . 2010-09-01 13:52 32032 ----a-w- c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe
2010-10-02 13:08 . 2010-10-02 13:38 -------- d-----w- c:\programme\Spyware Removal Toolkit
2010-09-30 21:19 . 2010-09-30 21:19 -------- d-----w- c:\programme\Traumflieger
2010-09-30 20:26 . 2010-09-30 20:26 -------- d-----w- c:\programme\FreeTime
2010-09-18 01:43 . 2010-10-01 11:20 -------- d-----w- C:\Downloads
2010-09-14 06:29 . 2010-09-14 06:29 -------- d-----w- c:\programme\Windows Media Connect 2
2010-09-14 06:26 . 2010-09-14 06:27 -------- d-----w- c:\windows\system32\drivers\UMDF
2010-09-14 06:15 . 2010-09-14 06:15 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\ratDVD
2010-09-14 06:14 . 2010-09-14 06:14 -------- d-----w- c:\programme\ratDVD
2010-09-11 14:35 . 2010-09-11 14:35 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\CheckPoint
2010-09-11 14:34 . 2010-09-11 15:20 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Conduit
2010-09-11 14:34 . 2010-09-11 14:34 -------- d-----w- c:\programme\Conduit
2010-09-11 14:34 . 2010-09-15 15:53 -------- d-----w- c:\dokumente und einstellungen\user\Lokale Einstellungen\Anwendungsdaten\ZoneAlarm-Sicherheit
2010-09-11 14:34 . 2010-09-11 14:34 -------- d-----w- c:\programme\ZoneAlarm-Sicherheit
2010-09-09 10:42 . 2010-10-01 11:37 -------- d-----w- C:\Usenext
2010-09-09 10:38 . 2010-09-09 10:41 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\founder.de Website Booster
2010-09-09 10:38 . 2010-09-09 10:38 -------- d-----w- c:\programme\WebsiteBooster 2.0
2010-09-09 10:35 . 2010-09-09 10:35 -------- d-----w- c:\programme\WebsiteBooster2_0
2010-09-08 18:39 . 2010-09-08 18:57 -------- d-----w- c:\programme\Mixxx
2010-09-07 08:44 . 2010-09-07 08:44 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Firelab
2010-09-07 08:43 . 2010-09-07 08:44 -------- d-----w- c:\programme\Firelab

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-04 15:45 . 2009-10-29 23:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2010-10-04 15:01 . 2009-01-14 22:50 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\ICQ
2010-10-04 10:50 . 2009-05-06 17:06 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-10-04 07:18 . 2009-01-10 22:17 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Skype
2010-10-04 06:08 . 2009-01-10 22:33 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\skypePM
2010-10-03 15:31 . 2008-12-30 00:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-10-03 12:35 . 2010-09-19 11:06 3859914 ----a-w- c:\windows\Internet Logs\tvDebug.Zip
2010-10-03 06:00 . 2010-10-03 12:35 1879552 ----a-w- c:\windows\Internet Logs\xDB4.tmp
2010-10-03 04:49 . 2010-10-03 12:35 1879552 ----a-w- c:\windows\Internet Logs\xDB5.tmp
2010-10-01 12:11 . 2010-01-03 12:08 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\UseNeXT
2010-09-30 08:06 . 2010-09-30 08:07 1849344 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2010-09-26 05:15 . 2010-09-26 10:47 1840128 ----a-w- c:\windows\Internet Logs\xDB2.tmp
2010-09-24 22:17 . 2009-01-03 17:06 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Media Player Classic
2010-09-18 10:14 . 2010-06-23 01:01 -------- d-----w- c:\programme\ICQ7.2
2010-09-15 16:02 . 2010-09-15 18:41 1816064 ----a-w- c:\windows\Internet Logs\xDB1.tmp
2010-09-11 15:27 . 2008-12-29 23:46 -------- d-----w- c:\programme\CCleaner
2010-09-11 15:16 . 1979-12-31 22:00 71324 ----a-w- c:\windows\system32\perfc007.dat
2010-09-11 15:16 . 1979-12-31 22:00 406024 ----a-w- c:\windows\system32\perfh007.dat
2010-09-11 14:33 . 2010-09-11 14:33 -------- d-----w- c:\programme\CheckPoint
2010-09-11 14:33 . 2008-12-29 19:38 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-09-11 14:33 . 2010-09-11 14:33 -------- d-----w- c:\programme\Zone Labs
2010-09-09 10:43 . 2010-01-03 12:07 -------- d-----w- c:\programme\UseNeXT
2010-09-04 11:34 . 2009-05-06 17:06 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\Thunderbird
2010-08-30 12:18 . 2010-01-16 16:33 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\GHISLER
2010-08-28 16:11 . 2008-12-30 21:09 -------- d-----w- c:\dokumente und einstellungen\user\Anwendungsdaten\FileZilla
2010-08-23 11:46 . 2010-08-23 11:46 -------- d-----w- c:\programme\AAALOGO2004
2010-08-16 13:55 . 2008-12-29 23:57 -------- d-----w- c:\programme\FileZilla FTP Client
2010-08-07 10:56 . 2008-12-29 23:40 -------- d-----w- c:\programme\IrfanView
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]

[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
2010-05-09 09:50 2517088 ----a-w- c:\programme\ZoneAlarm-Sicherheit\tbZone.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]

[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]

[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1TortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\2TortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\3TortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\4TortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\5TortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\6TortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\7TortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\8TortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\9TortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2008-01-16 16:52 80384 ----a-w- c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"TP4EX"="tp4ex.exe" [2002-09-03 53248]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-16 294912]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2010-06-15 738808]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2002-12-24 204800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\user\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk.disabled [2008-12-29 847]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk.disabled [2008-12-30 1815]
Adobe Gamma Loader.lnk.disabled [2008-12-30 1947]
HP Digital Imaging Monitor.lnk.disabled [2009-2-16 1799]
McAfee Security Scan.lnk.disabled [2009-10-30 679]
PalTalk.lnk.disabled [2009-11-23 1615]
TMMonitor.lnk.disabled [2009-4-3 1636]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMMLREF]
2003-01-16 23:32 20480 ----a-w- c:\programme\ThinkPad\Utilities\BMMLREF.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QCWLICON]
2003-02-24 00:06 53248 ----a-w- c:\programme\ThinkPad\ConnectUtilities\QCWLICON.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareRemovalToolkit.exe]
2010-09-30 14:31 7031808 ----a-w- c:\programme\Spyware Removal Toolkit\SpywareRemovalToolkit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SRTHelper.exe]
2010-09-30 14:32 377344 ----a-w- c:\programme\Spyware Removal Toolkit\SRTHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2003-06-24 13:33 561152 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2003-06-24 13:34 126976 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPHOTKEY]
2003-01-24 15:37 94208 ----a-w- c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPKMAPMN]
2003-02-16 22:30 32835 ----a-w- c:\programme\ThinkPad\Utilities\TpKmapMn.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ibmmessages"=c:\programme\IBM\Messages By IBM\ibmmessages.exe
"Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"WengoPhoneNG"=c:\programme\QuteCom\QuteCom.exe -b

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe
"ibmmessages"=c:\programme\IBM\Messages By IBM\ibmmessages.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ArcSoft Connection Service"=c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe
"fssui"="c:\programme\Windows Live\Family Safety\fsui.exe" -autorun
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\philips\\Philips SNU5600 Wireless USB Adapter Utility\\PHUSBBGMonitor.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [22.05.2007 15:04 15360]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.11.2009 22:25 135336]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [15.06.2010 17:49 26872]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [15.06.2010 17:49 493048]
S1 SBRE;SBRE;\??\c:\windows\system32\drivers\SBREdrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [10.01.2010 14:05 264704]
S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [01.10.2002 09:44 802683]
S3 nosGetPlusHelper;getPlus(R) Helper 3004;c:\windows\System32\svchost.exe -k nosGetPlusHelper [01.01.1980 14336]
S3 PCDRDRV;Pcdr Helper Driver;\??\c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys --> c:\progra~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys [?]
S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [01.01.1980 88064]
S3 WN4501HLFZZ;802.11g Wireless USB Adapter;c:\windows\system32\drivers\O4501U.sys [17.12.2005 21:07 408064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
nosGetPlusHelper REG_MULTI_SZ nosGetPlusHelper
.
Inhalt des "geplante Tasks" Ordners

2009-01-11 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2007-05-22 23:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: Alles mit Net Transport herunterladen - c:\programme\Xi\NetTransport 2\NTAddList.html
IE: Mit Net Transport herunterladen - c:\programme\Xi\NetTransport 2\NTAddLink.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {842F2CA0-612A-45F6-83C9-D36D5C6597B1} = 0.0.0.0
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - component: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext\components\nprpffbrowserrecordext.dll
FF - component: c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\extensions\afomfortwitterdesktopapplications@idevfh\components\npAFOM.dll
FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - plugin: c:\dokumente und einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\nfetqwem.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)


.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(776)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'lsass.exe'(832)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll

- - - - - - - > 'explorer.exe'(2996)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\programme\Gemeinsame Dateien\TortoiseOverlays\TortoiseOverlays.dll
c:\programme\TortoiseSVN\bin\TortoiseStub.dll
c:\programme\TortoiseSVN\bin\TortoiseSVN.dll
c:\programme\TortoiseSVN\bin\intl3_tsvn.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\Ati2evxx.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\HPZipm12.exe
c:\windows\System32\QCONSVC.EXE
c:\windows\system32\wscntfy.exe
c:\programme\TortoiseSVN\bin\TSVNCache.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-04 18:22:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-10-04 16:22
ComboFix2.txt 2010-02-04 15:02

Vor Suchlauf: 8.362.713.088 Bytes frei
Nach Suchlauf: 8.310.669.312 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - D18ACFDD635FFA043A3B664F5C86E9BC

Anhang: ComboFix.txt
Seitenanfang Seitenende
11.10.2010, 23:01
Member
Avatar Gool

Beiträge: 4730
#2 Es könnte auch noch mehr drin sein. Schließlich war es ein Backdoor-Trojaner. Allerdings sieht das Log sauber aus. Abgesehen davon hast Du offenbar nur SP2 installiert. Um (weiteren) Infektionen vorzubeugen ist es dringend notwendig, alle Sicherheitsupdates von Windows XP zu installieren. Dazu gehört auch das SP3. Und natürlich gehört auch dazu, dass man alle anderen Programme (bspw. Office, Java, Adobe Flash, Adobe Reader, Firefox, Quicktime, Thunderbird usw.) auf dem aktuellen Stand hält.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: