Wer kann Combofix Log auswerten nach Virus?

Fridolina

New member
Hallo an alle,

ich hatte mir am Freitag den Virus von Teschinkasso eingefangen, Karpensky im abgesicherten Modus drüberlaufen lassen in deaktivierter SYS-Wiederherstellung, der Trojaner wurde 5x desinfiziert.

Mein Comp. läudt völlig normal seither. Hatte anscheinend Glück gehabt.

Jetzt hab ich noch Combofix laufen lassen und kann das nicht auswerten, kann vielleicht einer von Euch mir helfen und sagen ob nun alles in Ordnung ist?

Lieben Dank Sylvia

Hier das Log
ComboFix 08-10-25.01 - Sylvia 2008-10-26 22:35:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1253.1.1031.18.197 [GMT 2:00]
Running from: D:\Dokumente und Einstellungen\Sylvia\Desktop\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-09-26 to 2008-10-26 )))))))))))))))))))))))))))))))
.
2008-10-26 21:59 . 2008-10-26 21:59 <DIR> d-------- D:\Programme\CCleaner
2008-10-26 21:59 . 2008-10-26 21:59 <DIR> d-------- D:\Dokumente und Einstellungen\Sylvia\Startmenu
2008-10-26 21:42 . 2008-10-26 21:42 <DIR> d-------- D:\Programme\Trend Micro
2008-10-25 20:41 . 2008-10-25 20:41 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-10-25 20:40 . 2008-10-25 20:40 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-10-25 15:06 . 2008-10-25 15:06 <DIR> d-------- D:\Programme\Malwarebytes' Anti-Malware
2008-10-25 15:06 . 2008-10-25 15:06 <DIR> d-------- D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-25 15:06 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-25 15:06 . 2008-10-22 15:10 38,496 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-25 15:06 . 2008-10-22 15:10 15,504 --a------ D:\WINDOWS\system32\drivers\mbam.sys
2008-10-24 21:07 . 2008-10-24 21:07 552 --a------ D:\WINDOWS\system32\d3d8caps.dat
2008-10-24 19:16 . 2008-10-24 19:56 <DIR> d-------- D:\WINDOWS\system32\CatRoot_bak
2008-10-24 17:30 . 2008-10-24 17:43 96,976 --a------ D:\WINDOWS\system32\drivers\klin.dat
2008-10-24 17:30 . 2008-10-24 17:30 87,855 --a------ D:\WINDOWS\system32\drivers\klick.dat
2008-10-24 17:29 . 2008-10-24 17:29 <DIR> d-------- D:\Programme\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 12:46 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-24 17:29 . 2008-10-26 22:37 3,591,200 --ahs---- D:\WINDOWS\system32\drivers\fidbox.dat
2008-10-24 17:29 . 2008-10-26 22:37 409,632 --ahs---- D:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-24 17:29 . 2008-10-26 22:37 31,232 --ahs---- D:\WINDOWS\system32\drivers\fidbox.idx
2008-10-24 17:29 . 2008-10-26 22:37 4,576 --ahs---- D:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-24 17:25 . 2008-10-24 17:25 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-26 20:38 --------- d-----w D:\Programme\SPAMfighter
2008-10-25 18:42 --------- d-----w D:\Programme\IncrediMail
2008-10-24 14:39 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-11 17:39 --------- d-----w D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\U3
2008-08-28 10:04 333,056 ----a-w D:\WINDOWS\system32\drivers\srv.sys
2006-09-07 09:40 26,624 ----a-w D:\Dokumente und Einstellungen\Sylvia\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="D:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="D:\Programme\Skype\Phone\Skype.exe" [2007-02-09 25388584]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [2008-10-16 243072]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-03 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Device Detector"="D:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" [2003-11-26 217088]
"RemoteControl"="D:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="D:\Programme\Ahead\InCD\InCD.exe" [2005-01-03 1385472]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SPAMfighter Agent"="D:\Programme\SPAMfighter\SFAgent.exe" [2008-07-29 321672]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 D:\WINDOWS\SOUNDMAN.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="D:\WINDOWS\system32\sti_ci.dll" [2004-08-04 137216]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"D:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"D:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"D:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"D:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"D:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;D:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 SPAMfighter Update Service;SPAMfighter Update Service;D:\Programme\SPAMfighter\sfus.exe [2008-07-29 184968]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;D:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 AvFlt;Antivirus Filter Driver;D:\WINDOWS\system32\drivers\av5flt.sys [ ]
S3 netModUSBService;Service for netMod USB CAPI Driver;D:\WINDOWS\system32\drivers\nMUSB.sys [2004-09-08 62824]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-Lexmark X1100 Series - D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
HKLM-Run-zzz_ImInstaller_Magentic - D:\Dokumente und Einstellungen\Sylvia\Lokale Einstellungen\Temp\ImInstaller\Magentic\magentic_install.exe
Notify-WgaLogon - (no file)

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: Nach Microsoft &Excel exportieren - D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2008-10-26 22:39:11
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: D:\WINDOWS\system32\winlogon.exe
-> D:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\IncrediMail\bin\IMApp.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\WINDOWS\system32\msiexec.exe
D:\Programme\HP\Digital Imaging\bin\hpqste08.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Completion time: 2008-10-26 22:41:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-10-26 20:41:34
Pre-Run: 3.442.704.384 Bytes frei
Post-Run: 3,697,160,192 Bytes frei
153 --- E O F --- 2008-10-24 18:03:33
 

Online-Statistiken

Zurzeit aktive Mitglieder
0
Zurzeit aktive Gäste
37
Besucher gesamt
37

Beliebte Forum-Themen

Zurück
Oben Unten