| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.05.2012, 20:24
| #1 |
 |  TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hallo zusammen, gerade hat sich mein Antivir gemeldet. Der Trojaner TR/Crypt.ZPACK.Gen2 wurde angeblich in der Datei Skype.exe gefunden. Ich habe daraufhin die Datei bei Virustotal hochgeladen und von 42 scanner hat nur einer einen Fund gemeldet. Danach habe ich noch einen scan mit MBAM gemacht - ohne Fund. Anbei das logfile. Bin mir nun unsicher, ob das ein Fehlalarm war oder doch etwas ist. Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.02.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 02.05.2012 21:00:44 mbam-log-2012-05-02 (21-00-44).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 220122 Laufzeit: 6 Minute(n), 5 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
03.05.2012, 12:35
| #2 |
| /// Malwareteam    | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hallo Adorno,
__________________Um eine genauere Analyse zu ermöglichen, befolge bitte diesen Link: An alle Hilfesuchenden! Was muss ich vor Eröffnung eines Themas beachten? Gruß
__________________ |
|
03.05.2012, 13:35
| #3 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hi Psychotic,
__________________danke das du dich meines "Falls" annimmst. Hier das defogger-log. Soll ich mit den anderen Schritten weitermachen? defogger_disable by jpshortstuff (23.02.10.1) Log created at 14:25 on 03/05/2012 (XXXXXXXXX) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- |
|
03.05.2012, 13:44
| #4 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Ja, führe bitte alle Schritte aus und poste die logdateien hier!
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
03.05.2012, 16:55
| #5 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hallo Psychotic, hier der logfile dds.txt: .DDS Logfile: Code:
ATTFilter DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_31
Run by *** at 14:38:04 on 2012-05-03
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1307 [GMT 2:00]
.
AV: Avira Desktop *Enabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\System32\TPHDEXLG.exe
C:\Programme\Lenovo\Rescue and Recovery\rrpservice.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
c:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\Lenovo\Rescue and Recovery\ADM\IUService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Pure Networks\Network Magic\nmsrvc.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Lenovo\NPDIRECT\TPFNF7SP.exe
C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\Zoom\TpScrex.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Programme\Pure Networks\Network Magic\nmapp.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\Logitech\Logitech WebCam Software\LWS.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://de-de.facebook.com/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: Skype Browser Helper: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: CPwmIEBrowserHelper Object: {f040e541-a427-4cf7-85d8-75e3e0f476c5} - c:\programme\lenovo\client security solution\tvtpwm_ie_com.dll
TB: {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [mount.exe] c:\programme\gipo@utilities\fileutilities.3\mount.exe /z
mRun: [SynTPLpr] c:\programme\synaptics\syntp\SynTPLpr.exe
mRun: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
mRun: [PWRMGRTR] rundll32 c:\progra~1\thinkpad\utilit~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
mRun: [BLOG] rundll32 c:\progra~1\thinkpad\utilit~1\BatLogEx.DLL,StartBattLog
mRun: [TPFNF7] c:\programme\lenovo\npdirect\TPFNF7SP.exe /r
mRun: [TPHOTKEY] c:\programme\lenovo\hotkey\TPOSDSVC.exe
mRun: [<NO NAME>]
mRun: [TpShocks] TpShocks.exe
mRun: [EZEJMNAP] c:\progra~1\thinkpad\utilit~1\EzEjMnAp.Exe
mRun: [SoundMAXPnP] c:\programme\analog devices\core\smax4pnp.exe
mRun: [SoundMAX] c:\programme\analog devices\soundmax\Smax4.exe /tray
mRun: [TVT Scheduler Proxy] c:\programme\gemeinsame dateien\lenovo\scheduler\scheduler_proxy.exe
mRun: [AwaySch] c:\programme\lenovo\awaytask\AwaySch.EXE
mRun: [AMSG] c:\programme\thinkvantage\amsg\Amsg.exe /startup
mRun: [LPManager] c:\progra~1\lenovo\lenovo~2\LPMGR.exe
mRun: [nmapp] "c:\programme\pure networks\network magic\nmapp.exe" -autorun -nosplash
mRun: [ACTray] c:\programme\thinkpad\connectutilities\ACTray.exe
mRun: [ACWLIcon] c:\programme\thinkpad\connectutilities\ACWLIcon.exe
mRun: [cssauth] "c:\programme\lenovo\client security solution\cssauth.exe" silent
mRun: [LogitechQuickCamRibbon] "c:\programme\logitech\logitech webcam software\LWS.exe" /hide
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
IE: {0045D4BC-5189-4b67-969C-83BB1906C421} - {0FE81B52-73FA-425F-8F06-3F32451AC73F} - c:\programme\lenovo\client security solution\tvtpwm_ie_com.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: c:\programme\avira\antivir desktop\avsda.dll
DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{9EE4D361-4F53-4793-A572-CE0B0E3EADBF} : DhcpNameServer = 192.168.1.1
Handler: pure-go - {4746C79A-2042-4332-8650-48966E44ABA8} - c:\programme\gemeinsame dateien\pure networks shared\puresp3.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\programme\skype\toolbars\internet explorer\skypeieplugin.dll
Notify: igfxcui - igfxdev.dll
Notify: tpfnf2 - c:\programme\lenovo\hotkey\notifyf2.dll
Notify: tphotkey - c:\programme\lenovo\hotkey\tphklock.dll
LSA: Notification Packages = scecli ACGina
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\ulawp7gc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uni-due.de/politik/
FF - plugin: c:\dokumente und einstellungen\***\anwendungsdaten\mozilla\firefox\profiles\ulawp7gc.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\programme\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\programme\microsoft\office live\npOLW.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\picasa2\npPicasa3.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_233.dll
.
============= SERVICES / DRIVERS ===============
.
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [2007-9-28 19504]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-10-11 36000]
R1 SSHDRV58;SSHDRV58;c:\windows\system32\drivers\SSHDRV58.sys [2008-3-7 33792]
R2 AntiVirMailService;Avira Email Schutz;c:\programme\avira\antivir desktop\avmailc.exe [2011-10-11 342480]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-10-11 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-10-11 110032]
R2 AntiVirWebService;Avira Browser Schutz;c:\programme\avira\antivir desktop\avwebgrd.exe [2011-10-11 463824]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-10-11 74640]
R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\lenovo\rescue and recovery\rrpservice.exe [2007-7-11 569344]
R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [2007-5-22 30336]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-31 253088]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-5-2 129976]
.
=============== Created Last 30 ================
.
2012-05-02 20:53:20 -------- d-----w- c:\programme\ESET
2012-05-02 19:29:22 -------- d-----w- c:\programme\Microsoft
2012-05-02 14:07:02 -------- d-----w- c:\programme\Mozilla Maintenance Service
2012-05-02 14:06:57 157352 ----a-w- c:\programme\mozilla firefox\maintenanceservice_installer.exe
2012-05-02 14:06:57 129976 ----a-w- c:\programme\mozilla firefox\maintenanceservice.exe
2012-04-04 05:53:56 182160 ----a-w- c:\programme\mozilla firefox\plugins\nppdf32.dll
2012-04-04 05:53:56 182160 ----a-w- c:\programme\internet explorer\plugins\nppdf32.dll
.
==================== Find3M ====================
.
2012-04-14 12:23:09 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-14 12:23:09 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-04-04 13:56:40 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-08 08:53:01 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-03-08 08:53:00 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-03-01 11:00:09 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00:08 43520 ------w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00:08 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:09:48 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09:48 148480 ------w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17:40 385024 ------w- c:\windows\system32\html.iec
.
============= FINISH: 14:39:22,82 ===============
|
|
03.05.2012, 19:27
| #6 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Combofix Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ --> TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden |
|
03.05.2012, 20:02
| #7 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hi, hab combofix nach Vorschrift laufen lassen, aber ich finde die logdatei nicht. Auf c: liegt nur eine tphklock.txt Geändert von Adorno (03.05.2012 um 20:11 Uhr) |
|
04.05.2012, 06:10
| #8 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Lief Combofix fehlerfrei und hat zum Schluß eine Textdatei geöffnet?
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
04.05.2012, 07:30
| #9 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Nein. Combofix hat keine Textdatei geöffnet. Allerdings ist mir etwas seltsames aufgefallen. Trotzdem ich Antivirus komplett ausgeschaltet habe, kam nach etwas einer Minute eine Warnmeldung des Echtzeitscanners. Die habe ich dann zweimal weggedrückt. Vielleicht lag es daran? Grüße |
|
04.05.2012, 07:38
| #10 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Ja, daran lag es! Deinstalliere deine Antivirensoftware, lösche Combofix von deinem Desktop und führe es gemäß der Anleitung komplett neu aus! Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
04.05.2012, 08:40
| #11 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hi, Psychotic. Nun scheint es geklappt zu haben. Hier die Textdatei... c:\windows\system32\TPHDLOG0.LOG . . ((((((((((((((((((((((( Dateien erstellt von 2012-04-04 bis 2012-05-04 )))))))))))))))))))))))))))))) . . 2012-05-03 15:45 . 2012-05-03 15:45 -------- d-----w- c:\programme\7-Zip 2012-05-02 20:53 . 2012-05-02 20:53 -------- d-----w- c:\programme\ESET 2012-05-02 19:29 . 2012-05-02 19:29 -------- d-----w- c:\programme\Microsoft 2012-05-02 14:07 . 2012-05-02 14:07 -------- d-----w- c:\programme\Mozilla Maintenance Service 2012-05-02 14:06 . 2012-05-02 14:06 157352 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice_installer.exe 2012-05-02 14:06 . 2012-05-02 14:06 129976 ----a-w- c:\programme\Mozilla Firefox\maintenanceservice.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-04-14 12:23 . 2012-03-31 12:21 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2012-04-14 12:23 . 2011-07-26 08:17 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-04-04 13:56 . 2010-12-07 15:36 22344 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-03-08 08:53 . 2012-03-08 08:53 73728 ----a-w- c:\windows\system32\javacpl.cpl 2012-03-08 08:53 . 2010-06-16 08:11 472808 ----a-w- c:\windows\system32\deployJava1.dll 2012-03-01 11:00 . 2006-01-27 01:01 916992 ----a-w- c:\windows\system32\wininet.dll 2012-03-01 11:00 . 2006-01-27 01:01 43520 ------w- c:\windows\system32\licmgr10.dll 2012-03-01 11:00 . 2006-01-27 01:01 1469440 ------w- c:\windows\system32\inetcpl.cpl 2012-02-29 14:09 . 2006-01-27 01:01 177664 ----a-w- c:\windows\system32\wintrust.dll 2012-02-29 14:09 . 2006-01-27 01:01 148480 ------w- c:\windows\system32\imagehlp.dll 2012-02-29 12:17 . 2006-01-27 01:01 385024 ------w- c:\windows\system32\html.iec 2012-02-15 11:55 . 2011-10-11 08:51 137416 ----a-w- c:\windows\system32\drivers\avipbb.sys 2012-05-02 14:06 . 2011-05-06 12:11 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mount.exe"="c:\programme\GiPo@Utilities\FileUtilities.3\mount.exe" [2008-04-11 374272] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2010-04-22 128296] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2010-04-22 1725736] "PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2007-09-05 200704] "BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2007-09-05 208896] "TPFNF7"="c:\programme\Lenovo\NPDIRECT\TPFNF7SP.exe" [2007-04-09 58416] "TPHOTKEY"="c:\programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2007-03-09 66176] "TpShocks"="TpShocks.exe" [2007-09-28 181544] "EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2007-03-28 243248] "SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2007-04-09 1015808] "TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424] "AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-11-07 91688] "AMSG"="c:\programme\ThinkVantage\AMSG\Amsg.exe" [2007-02-01 419376] "LPManager"="c:\progra~1\Lenovo\LENOVO~2\LPMGR.exe" [2007-07-12 124256] "nmapp"="c:\programme\Pure Networks\Network Magic\nmapp.exe" [2007-03-14 321088] "ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2007-07-05 413696] "ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2007-07-05 126976] "cssauth"="c:\programme\Lenovo\Client Security Solution\cssauth.exe" [2007-08-03 2630968] "LogitechQuickCamRibbon"="c:\programme\Logitech\Logitech WebCam Software\LWS.exe" [2009-10-14 2793304] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-11 258512] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2] 2006-09-06 07:37 34344 ------w- c:\programme\Lenovo\HOTKEY\notifyf2.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey] 2006-12-14 02:06 28672 ------w- c:\programme\Lenovo\HOTKEY\tphklock.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] 2003-07-28 01:31 278528 ------w- c:\programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.com"= "c:\\Programme\\SPSSInc\\PASWStatistics18\\paswstat.exe"= "c:\\Programme\\SPSSInc\\PASWStatistics18\\WinWrapIDE.exe"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"= "c:\\Dokumente und Einstellungen\\***\\Eigene Dateien\\Downloads\\F4\\f4.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= . R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [28.09.2007 17:28 19504] R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [11.10.2011 10:51 36000] R1 SSHDRV58;SSHDRV58;c:\windows\system32\drivers\SSHDRV58.sys [07.03.2008 11:51 33792] R2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [11.10.2011 10:51 342480] R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.10.2011 10:51 86224] R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [11.10.2011 10:51 463824] R2 TVT Backup Protection Service;TVT Backup Protection Service;c:\programme\Lenovo\Rescue and Recovery\rrpservice.exe [11.07.2007 21:38 569344] R3 TVTI2C;Lenovo SM bus driver;c:\windows\system32\drivers\tvti2c.sys [22.05.2007 16:59 30336] S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [31.03.2012 14:21 253088] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [02.05.2012 16:07 129976] . Inhalt des "geplante Tasks" Ordners . 2012-05-04 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 12:23] . 2012-05-04 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job - c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-02-12 14:54] . 2012-05-04 c:\windows\Tasks\PMTask.job - c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2008-01-17 16:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://de-de.facebook.com/ IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ulawp7gc.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.uni-due.de/politik/ . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) MSConfigStartUp-LogitechQuickCamRibbon - c:\programme\Logitech\QuickCam\Quickcam.exe AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-05-04 09:26 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(1340) c:\programme\Lenovo\HOTKEY\tphklock.dll . - - - - - - - > 'lsass.exe'(1396) c:\programme\Avira\AntiVir Desktop\avsda.dll . - - - - - - - > 'explorer.exe'(4516) c:\windows\TEMP\logishrd\LVPrcInj01.dll c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\programme\ThinkPad\Bluetooth Software\bin\btwdins.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\IPSSVC.EXE c:\programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Diskeeper Corporation\Diskeeper\DkService.exe c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe c:\windows\system32\PSIService.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe c:\windows\System32\TPHDEXLG.exe c:\programme\Lenovo\Client Security Solution\tvttcsd.exe c:\programme\Lenovo\Rescue and Recovery\rrservice.exe c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe c:\programme\Lenovo\Rescue and Recovery\ADM\IUService.exe c:\windows\system32\wdfmgr.exe c:\programme\ThinkPad\ConnectUtilities\AcSvc.exe c:\programme\Pure Networks\Network Magic\nmsrvc.exe c:\programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe c:\programme\lenovo\system update\suservice.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe c:\windows\system32\rundll32.exe c:\windows\system32\TpShocks.exe c:\programme\Lenovo\HOTKEY\TPONSCR.exe c:\programme\Lenovo\Zoom\TpScrex.exe c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe c:\programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe . ************************************************************************** . Zeit der Fertigstellung: 2012-05-04 09:34:50 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-05-04 07:34 . Vor Suchlauf: 19 Verzeichnis(se), 35.757.756.416 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 36.434.612.224 Bytes frei . - - End Of File - - FD5F0AB9FD84F243137ACEBC5A2E4E47 |
|
04.05.2012, 08:47
| #12 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Von der Logdatei fehlt einiges - bitte poste den kompletten Inhalt der Datei!
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
04.05.2012, 08:53
| #13 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Hi, ich habe einfach alles kopiert. Ich hänge dir das ganze nochmal als Datei an. Vielleicht ist beim kopieren da etwas verloren gegangen. Geändert von Adorno (04.05.2012 um 09:08 Uhr) |
|
04.05.2012, 09:23
| #14 |
| | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Ich habe Antivir deinstalliert, aber habe danach keinen Neustart gemacht. Das wurde auch nicht gefordert. Vielleicht lag es daran, dass etwas fehlt? |
|
04.05.2012, 09:28
| #15 |
| /// Malwareteam | TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden Nein, jetzt ist alles komplett. Warte auf weitere Anweisungen! 
__________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
| Themen zu TR/Crypt.ZPACK.Gen2 in Datei Skype.exe gefunden |
| angeblich, anti-malware, antivir, autostart, bösartige, datei, dateien, dateisystem, explorer, fehlalarm, hallo zusammen, heuristiks/extra, heuristiks/shuriken, mbam, minute, registrierung, scan, scanner, service, service pack 3, speicher, tr/crypt.zpack.gen, trojaner, unsicher, version, virus, virustotal, zusammen |
Linear-Darstellung
