Hilfe gesucht zur Combofix-Auswertung

simone76

New member
liebe leute

ich habe heute das combofix-programm (heruntergeladen von ) über meinen rechner laufen lassen. angaben zum rechner: HP pavilion dv6740 ez, original gekauft mit windows vista home, später stattdessen installiert windows vista business. dies, da ganz offensichtlich einiges am PC nicht mehr stimmte, zb:
  • quickheal internet security kam weder im native boot scan noch im normalen scan am ordner c:/users/default/AppData/local/Anwendung/.... vorbei (hing dort immer fest). den rest des rechners konnte quickheal scannen und fand mit den neusten definitionen nichts mehr (nachdem es beim 1. native boot scan 2 trojaner gefunden hatte);
  • quickheal security update funktioniert nicht mehr;
  • windows update scheitert stets bei denselben ca. 20 updates (schon seit monaten). wenn ich diese updates erneut runterzuladen versuche, kommt die windows-fehlermeldung

    "Microsoft Office Professional Edition 2003
    Die Funktion, die Sie verwenden möchten, befindet sich auf einer Netzwerkressource, die nicht zur Verfügung steht.
    Klicken Sie auf „OK“, um den Vorgang zu wiederholen. Oder geben Sie in das untenstehende Feld den Pfad zu einem anderen Ordner ein, der das Installationspaket „PRO11.MSI“ enthält."
  • der infobereich rechts von der taskleiste funktioniert nicht mehr: die uhr bleibt bei der zeit des computerstarts stehen; die batterie und das netzwerk-icon werden nicht mehr angezeigt und können unter systemsteuerung/taskleiste und startmenü/infobereich auch nicht mehr angewählt werden (erscheinen grau)
  • gewisse internet-seiten können nicht mehr richtig geladen werden (zb gmail funktioniert nur noch in der einfachen HTML-ansicht)
  • gewisse fenster, die ich über windows öffne, hinterlassen "spuren" auf dem desktop, die erst beim runterfahren und neustart des rechners wieder verschwinden
  • quickheal internet security hat vor ein paar tagen angegeben, es habe die malware W32.sality.R gefunen
habe gehört, combofix sei ein sehr starkes tool und hab es daher über meinen rechner laufen lassen, bis das logfile erschien.

da ich (wie jeder von euch sicher sofort merkt) eine absolute PC-laiin bin, bitte ich euch gewiefte benutzer um hilfe bei der auswertung des log-files (das empfehlen die hersteller von combofix den laien denn auch). ihr findet es weiter unten. ich hoffe, jemand kann sich meiner annehmen und danke euch zum voraus für eure unterstützung!!

freundliche grüsse, simone

LOGFILE:

Spoiler:
ComboFix 10-02-21.02 - Simone 22.02.2010 18:42:00.1.2 - x86
Microsoft® Windows Vista™ Business 6.0.6002.2.1252.41.1031.18.2046.1019 [GMT 5.5:30]
ausgeführt von:: c:\users\Simone\Desktop\ComboFix.exe
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-918056312-2952985149-2686913973-500
.
((((((((((((((((((((((( Dateien erstellt von 2010-01-22 bis 2010-02-22 ))))))))))))))))))))))))))))))
.
2010-02-20 17:36 . 2010-02-20 17:36 -------- d-----w- c:\program files\Windows Portable Devices
2010-02-20 17:06 . 2009-10-01 01:02 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.exe
2010-02-20 17:04 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2010-02-20 17:04 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
2010-02-20 17:04 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
2010-02-20 04:33 . 2010-02-20 04:33 -------- d-----w- c:\program files\Trend Micro
2010-02-19 18:22 . 2010-02-19 18:22 -------- d-----w- c:\program files\CCleaner
2010-02-19 17:31 . 2010-02-19 17:31 -------- d-----w- c:\users\Simone\AppData\Local\Threat Expert
2010-02-17 11:37 . 2009-12-08 20:01 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-17 11:37 . 2009-12-08 20:01 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-17 11:36 . 2009-09-10 14:58 310784 ----a-w- c:\windows\system32\unregmp2.exe
2010-02-17 11:36 . 2009-09-10 14:59 8147456 ----a-w- c:\windows\system32\wmploc.DLL
2010-02-17 11:35 . 2009-08-29 00:14 28672 ----a-w- c:\windows\system32\Apphlpdm.dll
2010-02-17 11:35 . 2009-08-29 00:27 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll
2010-02-12 17:41 . 2009-12-08 20:01 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-02-12 17:41 . 2009-12-08 17:26 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2010-02-12 17:41 . 2009-12-11 11:43 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-02-12 17:41 . 2009-12-11 11:43 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-02-12 17:41 . 2009-12-04 18:29 1314816 ----a-w- c:\windows\system32\quartz.dll
2010-02-12 17:41 . 2009-12-04 18:28 31744 ----a-w- c:\windows\system32\msvidc32.dll
2010-02-12 17:41 . 2009-12-04 18:30 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2010-02-12 17:41 . 2009-12-04 18:28 22528 ----a-w- c:\windows\system32\msyuv.dll
2010-02-12 17:41 . 2009-12-04 18:28 13312 ----a-w- c:\windows\system32\msrle32.dll
2010-02-12 17:40 . 2009-12-04 18:28 123904 ----a-w- c:\windows\system32\msvfw32.dll
2010-02-12 17:40 . 2009-12-04 18:28 82944 ----a-w- c:\windows\system32\mciavi32.dll
2010-02-12 17:40 . 2009-12-04 18:28 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2010-02-12 17:40 . 2009-12-04 18:27 91136 ----a-w- c:\windows\system32\avifil32.dll
2010-02-12 17:40 . 2009-12-04 15:56 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-12 17:40 . 2009-12-04 15:56 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-02-02 08:19 . 2010-02-02 08:19 -------- d-----w- C:\temp
2010-02-02 08:12 . 2009-08-28 12:06 714112 ----a-w- c:\windows\system32\drivers\SandBox.sys
2010-02-02 08:11 . 2009-11-02 07:48 319000 ----a-w- c:\windows\system32\drivers\afwcore.sys
2010-02-02 08:10 . 2009-02-18 10:57 29208 ----a-w- c:\windows\system32\drivers\afw.sys
2010-02-02 08:05 . 2010-02-02 08:05 -------- d-----w- c:\programdata\Quick Heal
2010-02-02 08:04 . 2010-02-12 13:01 28408 ----a-w- c:\windows\system32\drivers\mscank.sys
2010-02-02 08:03 . 2010-02-02 08:03 29320 ----a-w- c:\windows\system32\drivers\EMLTDI.SYS
2010-02-02 08:03 . 2010-02-02 08:03 108936 ----a-w- c:\windows\system32\drivers\catflt.sys
2010-02-02 08:03 . 2010-02-02 08:09 -------- d-----w- c:\program files\Quick Heal
2010-02-02 07:59 . 2010-02-12 13:01 -------- d-----w- c:\windows\system32\gprodat
2010-02-02 07:59 . 2010-02-02 07:59 46472 ----a-w- c:\windows\system32\drivers\ggc.sys
2010-01-30 07:27 . 2009-12-16 11:44 834048 ----a-w- c:\windows\system32\wininet.dll
2010-01-30 07:26 . 2009-12-18 13:01 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-30 07:23 . 2009-10-19 13:38 156672 ----a-w- c:\windows\system32\t2embed.dll
2010-01-30 07:23 . 2009-10-19 13:35 72704 ----a-w- c:\windows\system32\fontsub.dll
2010-01-30 07:14 . 2008-01-18 21:34 89600 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\HPZPPLHN.DLL
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-22 09:13 . 2008-11-06 21:22 -------- d-----w- c:\users\Simone\AppData\Roaming\skypePM
2010-02-21 06:04 . 2006-11-02 15:42 618442 ----a-w- c:\windows\system32\perfh007.dat
2010-02-21 06:04 . 2006-11-02 15:42 122648 ----a-w- c:\windows\system32\perfc007.dat
2010-02-20 17:35 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2010-02-20 17:27 . 2010-02-20 17:27 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2010-02-20 17:26 . 2010-02-20 17:26 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2010-02-20 17:03 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-19 18:12 . 2008-09-17 20:13 -------- d-----w- c:\users\Simone\AppData\Roaming\Skype
2010-02-19 17:11 . 2008-10-03 21:25 42206 ----a-w- c:\programdata\nvModes.dat
2010-02-12 13:08 . 2008-10-10 18:21 -------- d-----w- c:\program files\HP DeskJet 720C Series v10.3
2010-01-30 07:54 . 2008-11-06 21:22 -------- d-----w- c:\program files\Google
2010-01-14 05:42 . 2009-10-06 04:56 181120 ------w- c:\windows\system32\MpSigStub.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-01-24 2289664]
"googletalk"="c:\users\Simone\AppData\Roaming\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-18 39408]
"Google Update"="c:\users\Simone\AppData\Local\Google\Update\GoogleUpdate.exe" [2008-11-12 133104]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-05-26 24264488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-18 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-14 4874240]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-12-06 202032]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2007-01-16 634880]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 218408]
"hpfsched"="c:\windows\hpfsched.exe" [1998-09-23 35328]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-03 13556256]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-03 92704]
"Quick Heal Core UI"="c:\progra~1\QUICKH~1\QUICKH~1\strtupap.exe" [2010-02-02 46472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\QUICKH~1\QUICKH~2\wl_hook.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):79,85,40,05,29,1a,ca,01
R1 afw;Agnitum Firewall Driver;c:\windows\System32\drivers\afw.sys [02.02.2010 13:40 29208]
R1 ggc;ggc;c:\windows\System32\drivers\ggc.sys [02.02.2010 13:29 46472]
R1 SandBox;SandBox;c:\windows\System32\drivers\SandBox.sys [02.02.2010 13:42 714112]
R2 catflt;catflt;c:\windows\System32\drivers\catflt.sys [02.02.2010 13:33 108936]
R2 Core Mail Protection;Core Mail Protection;c:\progra~1\QUICKH~1\QUICKH~1\EMLPROXY.EXE [02.02.2010 13:33 30184]
R2 Core Scanning Server;Core Scanning Server;c:\progra~1\QUICKH~1\QUICKH~1\SAPISSVC.EXE [02.02.2010 13:33 54664]
R2 EMLSS;EMLSS;c:\windows\System32\drivers\EMLTDI.SYS [02.02.2010 13:33 29320]
R2 Online Protection System;Online Protection System;c:\progra~1\QUICKH~1\QUICKH~1\opssvc.exe [02.02.2010 13:33 19336]
R2 Quick Update Service;Quick Update Service;c:\progra~1\QUICKH~1\QUICKH~1\quhlpsvc.exe [02.02.2010 13:33 58760]
R3 acssrv;Quick Heal Client Security Service;c:\progra~1\QUICKH~1\QUICKH~2\acs.exe [02.02.2010 13:40 1328304]
R3 afwcore;afwcore;c:\windows\System32\drivers\afwcore.sys [02.02.2010 13:41 319000]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [26.06.2008 10:00 3662848]
S0 mscank;mscank;c:\windows\System32\drivers\mscank.sys [02.02.2010 13:34 28408]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30.01.2010 13:24 135664]
S2 HPFECP14;HPFECP14;c:\windows\System32\drivers\HPFecp14.sys [25.09.1998 14:24 52800]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-01-24 10:30 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 07:54]
2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 07:54]
2010-02-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3914987987-454629711-1851980055-1000Core.job
- c:\users\Simone\AppData\Local\Google\Update\GoogleUpdate.exe [2008-11-12 21:50]
2010-02-22 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3914987987-454629711-1851980055-1000UA.job
- c:\users\Simone\AppData\Local\Google\Update\GoogleUpdate.exe [2008-11-12 21:50]
2010-02-22 c:\windows\Tasks\Resume Quickup Download.job
- c:\progra~1\QUICKH~1\QUICKH~1\ACAPPAA.EXE [2010-02-02 08:03]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
uInternet Settings,ProxyOverride = *.local;<local>
uInternet Settings,ProxyServer = 172.16.16.2:3128
IE: An vorhandenes PDF anfügen - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: In Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: {3B36B017-7E49-426B-95B0-B5CECD83C2E2} - hxxp://chkr-web.ifolor.net/ORDERINGGENERAL/LowRes/app_support/ActiveX/IfolorUploader_chkr.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-ifolor-OrderClient36 - d:\orderclient36\Uninstall.exe

**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2010-02-22 19:00
Windows 6.0.6002 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...

c:\users\Simone\AppData\Local\Temp\catchme.dll 53248 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2010-02-22 19:10:19
ComboFix-quarantined-files.txt 2010-02-22 13:40
Vor Suchlauf: 8 Verzeichnis(se), 20'854'140'928 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 20'698'750'976 Bytes frei
- - End Of File - - 09FCB8D885B7CA7CA8E09DBCDB9CE8A0
 
Zuletzt bearbeitet von einem Moderator:
Hier eine ausführliche Analyse zu Win32/Sality.R:


Microsoft stuft den Virus als "Severe", also schwer / ernst ein und empfiehlt kein manuelles Entfernen, da auch andere Dateien von der Malware infiziert werden. Du kannst dir also nicht wirklich sicher sein, dass nach einem Lösch-Versuch wirklich das System sauber ist. An deiner Stelle würde ich wichtige Daten so schnell wie möglich sichern (und diese auch nochmal mit einem anderen Virenscanner [von "QuickHeal" habe ich noch nie gehört] überprüfen). Danach Windows neu installieren.
 
danke, werde die ratschläge beherzigen. hab leider momentan meine vista-cd nicht dabei, weil ich samt laptop im ausland bin. wollte darum manuell entfernen. backup hab ich gemacht. quickheal ist hier in indien sehr verbreitet und wohl kein schlechtes programm. werde aber gemäss deinem rat noch ein anderes programm über die harddisc laufen lassen.
 

Online-Statistiken

Zurzeit aktive Mitglieder
0
Zurzeit aktive Gäste
94
Besucher gesamt
94

Beliebte Forum-Themen

Zurück
Oben Unten