|
Log-Analyse und Auswertung: wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.05.2008, 21:39 | #1 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo, habe gerade ne Datei von meinem Dad bekommen und sie geöfnet.Nun Steht auf dem Desktop:Warning,Spyware detected on your computer..... Hatte natürlich wieder mal kein Virenprogramm drauf. Antivir hat 2 Viren gefunden: AntiVir PersonalEdition Premium Report file date: Montag, 12. Mai 2008 22:00 Scanning for 1036370 virus strains and unwanted programs. Licensed to: Demo Version Serial number: Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: Administrator Computer name: HOME-PC Version information: BUILD.DAT : 307 17200 Bytes 10.09.2007 14:44:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16.08.2007 11:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21.08.2007 11:35:20 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:32:40 ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 11:32:46 ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25.08.2007 16:21:02 ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28.08.2007 06:22:36 AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 07:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:42 RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 07.08.2007 11:51:06 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21.08.2007 12:03:18 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21 Configuration settings for the scan: Jobname..........................: Local Drives Configuration file...............: c:\programme\avira\antivir personaledition premium\alldrives.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: H:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: Montag, 12. Mai 2008 22:00 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'AcroRd32.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'avesvc.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned Scan process 'CALMAIN.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'nTuneService.exe' - '1' Module(s) have been scanned Scan process 'skypePM.exe' - '1' Module(s) have been scanned Scan process 'setup_526_1_.exe' - '1' Module(s) have been scanned Scan process 'daemon.exe' - '1' Module(s) have been scanned Scan process 'Skype.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'ctfmona.exe' - '1' Module(s) have been scanned Scan process 'SWTrayV4.EXE' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 37 processes with 37 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'E:\' [NOTE] No virus was found! Boot sector 'F:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '39' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dhcpsrv.exe [DETECTION] Contains suspicious code HEUR/Malware [INFO] The file was moved to '488ba42d.qua'! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ms1210620797.exe [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [INFO] The file was moved to '4859a43e.qua'! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HAN8NEWY\count[2].php [DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen [INFO] The file was moved to '489da5c7.qua'! C:\WINDOWS\explorer.exe [WARNING] The file could not be read! C:\WINDOWS\system32\eio.dll [WARNING] The file could not be read! C:\WINDOWS\system32\lsass.exe [WARNING] The file could not be read! C:\WINDOWS\system32\services.exe [WARNING] The file could not be read! C:\WINDOWS\system32\spoolsv.exe [WARNING] The file could not be read! C:\WINDOWS\system32\svchost.exe [WARNING] The file could not be read! C:\WINDOWS\system32\winlogon.exe [WARNING] The file could not be read! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! End of the scan: Montag, 12. Mai 2008 22:27 Used time: 26:46 min The scan has been done completely. 5042 Scanning directories 180281 Files were scanned 2 viruses and/or unwanted programs were found 1 Files were classified as suspicious: 0 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 9 Files cannot be scanned 180279 Files not concerned 1219 Archives were scanned 9 Warnings 0 Notes --------------------------------------------------------------------------- Habe nun schon ein wenig bei euch rumgesucht.Aber nicht wirklich mit erfolg. Will nicht alles neu machen.Kann mir jemand helfen? Hier noch der HJT log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:35:09, on 12.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe C:\WINDOWS\system32\ctfmona.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\DAEMON Tools\daemon.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [cc4ccedc] rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [InstallProgram] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe O4 - HKCU\..\Run: [InetChk] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\System32\eio.dll O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 6039 bytes --------------------------------------------------------------------------- Hoffe da kann jemand was mit anfangen ,ich nicht Was sollte ich ab nun vermeiden ? Banking? Surfen ? BF" zocken? Ebay`en? Für Eure schnellen Antworten bedanke ich mich jetzt schon mal im voraus. DANKE |
12.05.2008, 21:53 | #2 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Mir ist auch aufgefallen wenn ich den Task Maneger öffnen will kommt:
__________________Der Task manager wurde durch den Administrator deaktivirt. |
13.05.2008, 04:57 | #3 | |||
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Moin
__________________Zitat:
Zitat:
Surfen ? <- stark eingeschränkt nur das nötigste BF" zocken? <- offline Ebay`en? <- unterlassen Mach bitte alle versteckten Dateien und Ordner sichtbar. Dann lass diese Dateien Zitat:
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG
__________________ |
13.05.2008, 06:33 | #4 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Nur als gut gemeinter Ratschlag. Man sollte sein AV Programm ab und an aktualisieren. Damit meine ich eher einmal am Tag und nicht einmal im Jahr! AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10
__________________ MfG Ralf |
13.05.2008, 06:53 | #5 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Moin, ja nee is schon klar. hatte gestern gar kein Virenprog. drauf.(ich depp) konnte es gestern nur runterladen und insterliren keine updats möglich. Rechner ist nach 5min immer eingefrohren. Gleich kommen die neuen logs.Hoffe das sich schon was geändert hat habe avir.updat gemacht und getestet,spybotdurchlaufen lassen........ Bis später |
13.05.2008, 08:38 | #6 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hier nochmal HJT Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:18:55, on 13.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: (no name) - {010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE} - C:\WINDOWS\system32\geBrsPIb.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3E2C80A5-AD44-47AF-9F5C-5E1078636D87} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {97F7302A-147C-4435-901C-184375993BE6} - C:\WINDOWS\system32\yaywvSLC.dll O2 - BHO: QXK Rhythm - {BA99F228-D9E2-47D5-9A8D-A295E8E52E93} - C:\WINDOWS\fvowketqplo.dll O2 - BHO: (no name) - {D339730D-9EEA-4F2E-B04A-67E0DF888115} - C:\WINDOWS\system32\nnnnlKba.dll (file missing) O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll (file missing) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [SpybotDeletingA8662] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC1048] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB4505] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD4538] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: yaywvSLC - C:\WINDOWS\SYSTEM32\yaywvSLC.dll O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll (file missing) O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll (file missing) O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe -- End of file - 6375 bytes Der letzte Avir scan mit aktuellem update: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 13. Mai 2008 08:26 Es wird nach 1262699 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: HOME-PC Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58 ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 23:39:31 ANTIVIR3.VDF : 7.0.4.27 146944 Bytes 12.05.2008 23:39:31 Engineversion : 8.1.0.42 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12.05.2008 23:39:36 AESCN.DLL : 8.1.0.16 119156 Bytes 12.05.2008 23:39:36 AERDL.DLL : 8.1.0.20 418165 Bytes 12.05.2008 23:39:35 AEPACK.DLL : 8.1.1.4 364918 Bytes 12.05.2008 23:39:35 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 12.05.2008 23:39:34 AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12.05.2008 23:39:34 AEHELP.DLL : 8.1.0.14 115063 Bytes 12.05.2008 23:39:33 AEGEN.DLL : 8.1.0.20 299380 Bytes 12.05.2008 23:39:33 AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 23:39:32 AECORE.DLL : 8.1.0.28 168310 Bytes 12.05.2008 23:39:32 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 13. Mai 2008 08:26 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SWTrayV4.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '25' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP218\A0050582.dll [FUND] Ist das Trojanische Pferd TR/Vapsup.elp [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48593895.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Ende des Suchlaufs: Dienstag, 13. Mai 2008 08:47 Benötigte Zeit: 21:19 min Der Suchlauf wurde vollständig durchgeführt. 5508 Verzeichnisse wurden überprüft 193612 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 193611 Dateien ohne Befall 1186 Archive wurden durchsucht 2 Warnungen 1 Hinweise Nun die mit Jotti geprüften Dateien: Zuletzt gefundene Malware war EGUI.EXE, gefunden von: Scanner Name der Malware A-Squared X AntiVir X ArcaVir X Avast Win32:Virut AVG Antivirus X BitDefender X ClamAV W32.Virut.Gen.C-94 CPsecure X Dr.Web X F-Prot Antivirus X F-Secure Anti-Virus X Fortinet X Ikarus X Kaspersky Anti-Virus X NOD32 X Norman Virus Control X Panda Antivirus X Sophos Antivirus X VirusBuster X VBA32 X Die anderen Dateien konnten nicht gefunden werden. Hoffe,das ich es richtig gemacht habe. |
13.05.2008, 09:22 | #7 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Ups Hab gerad mal ein wenig im Forum gelesen. Also mit dem Scan der Dateien ist wohl etwas schief gelaufen. Ich kann die Dateien nicht finden oder der Scan wir nicht beendet.Habe schon 30 min. gewartet. |
13.05.2008, 16:10 | #8 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo lade die EGUI.EXE bitte mal hier hoch Submit your sample du wirst in wenigen Tagen eine Analyse der Datei bekommen, berichte dann bitte. Erstelle bitte mit der Filelist eine Übersicht deines Systems Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 3 Monate, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 3 Monate sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
13.05.2008, 17:46 | #9 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo,hier die Liste: ----- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\ 13.05.2008 08:00 2.145.386.496 pagefile.sys 16.03.2008 09:44 418 InstallHelper.log 08.03.2008 01:22 87 AUTOEXEC.BAT 08.03.2008 01:19 80 FilterLog.log 07.03.2008 20:26 0 CONFIG.SYS 07.03.2008 20:26 0 MSDOS.SYS 07.03.2008 20:26 0 IO.SYS 07.03.2008 20:22 211 boot.ini 01.06.2006 21:06 251.184 ntldr 01.06.2006 21:06 4.952 bootfont.bin 01.06.2006 21:06 47.564 NTDETECT.COM 11 Datei(en) 2.145.690.992 Bytes 0 Verzeichnis(se), 24.795.181.056 Bytes frei - - - - - - - - - - - - - - - - - - ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\WINDOWS\system32 13.05.2008 18:41 1.362 abKlnnnn.ini 13.05.2008 18:38 1.362 abKlnnnn.ini2 13.05.2008 00:58 1.490.286 tnegxbfx.ini 13.05.2008 00:57 0 clkcnt.txt 13.05.2008 00:57 319.104 nnnnlKba.dll_old 13.05.2008 00:35 392.432 perfh009.dat 13.05.2008 00:35 70.778 perfc007.dat 13.05.2008 00:35 405.448 perfh007.dat 13.05.2008 00:35 58.732 perfc009.dat 13.05.2008 00:35 938.224 PerfStringBackup.INI 13.05.2008 00:12 12.217 bIPsrBeg.ini 13.05.2008 00:10 12.217 bIPsrBeg.ini2 12.05.2008 23:50 1.490.466 tlfhmwqe.ini 12.05.2008 23:23 160.256 blackster.scr 12.05.2008 23:23 269.334 ctfmonb.bmp 12.05.2008 21:33 1 kr_done1de 12.05.2008 21:33 29.312 fccYqpop.dll 12.05.2008 21:33 29.312 yaywvSLC.dll 10.05.2008 22:26 107.832 PnkBstrB.exe 09.05.2008 06:13 2.206 wpa.dbl 01.05.2008 18:02 56 ezsidmv.dat 01.05.2008 13:46 66.872 PnkBstrA.exe 25.04.2008 05:56 190.592 FNTCACHE.DAT 31.03.2008 23:25 161.096 DivXCodecVersionChecker.exe 31.03.2008 23:25 823.296 divx_xx07.dll 31.03.2008 23:25 823.296 divx_xx0c.dll 31.03.2008 23:25 802.816 divx_xx11.dll 31.03.2008 23:25 831.488 divx_xx0a.dll 31.03.2008 23:25 682.496 DivX.dll 24.03.2008 21:45 630.784 divxdec.ax 21.03.2008 22:30 4.816 divxsm.tlb 21.03.2008 22:30 524.288 DivXsm.exe 21.03.2008 22:30 10.152 dsm_de.qm 21.03.2008 22:30 3.596.288 qt-dx331.dll 21.03.2008 22:30 1.044.480 libdivx.dll 21.03.2008 22:30 200.704 ssldivx.dll 21.03.2008 22:28 416 dpl100.dll.manifest 21.03.2008 22:28 81.920 dpl100.dll 21.03.2008 22:28 196.608 dtu100.dll 21.03.2008 22:28 416 dtu100.dll.manifest 21.03.2008 22:28 53.248 dpuGUI10.dll 21.03.2008 22:28 3.051 dtu_de.qm 21.03.2008 22:28 344.064 dpus11.dll 21.03.2008 22:28 294.912 dpu11.dll 21.03.2008 22:28 593.920 dpuGUI11.dll 21.03.2008 22:28 57.344 dpv11.dll 21.03.2008 22:28 294.912 dpu10.dll 21.03.2008 22:28 352.401 DivXMedia.ax 21.03.2008 22:28 12.288 DivXWMPExtType.dll 21.03.2008 22:28 8.523 dpude.qm 20.03.2008 19:06 34.064 lhacm.acm 08.03.2008 01:44 1.024 PQ_DEBUG.TXT 08.03.2008 01:40 43 blue.SITENAME 08.03.2008 01:18 7.006 jupdate-1.5.0_06-b05.log 08.03.2008 01:16 15.360 BASSMOD.dll 07.03.2008 21:42 146.650 BuzzingBee.wav 07.03.2008 21:42 940.794 LoopyMusic.wav 07.03.2008 21:27 161.372 nvapps.xml 07.03.2008 21:06 3 EUupdate.installed 07.03.2008 21:01 3.528 TZLog.log 07.03.2008 20:56 3 vbrun60sp6.installed 07.03.2008 20:50 3 Wordpad-Converter-ZLib-update.installed 07.03.2008 20:36 23.392 nscompat.tlb 07.03.2008 20:36 16.832 amcompat.tlb 07.03.2008 20:32 3.292 $winnt$.inf 07.03.2008 20:26 2.951 CONFIG.NT 07.03.2008 20:25 488 logonui.exe.manifest 07.03.2008 20:25 488 WindowsLogon.manifest 07.03.2008 20:25 749 cdplayer.exe.manifest 07.03.2008 20:25 749 sapi.cpl.manifest 07.03.2008 20:25 749 wuaucpl.cpl.manifest 07.03.2008 20:25 749 ncpa.cpl.manifest 07.03.2008 20:25 749 nwc.cpl.manifest 07.03.2008 20:24 21.740 emptyregdb.dat 07.03.2008 20:22 0 h323log.txt 20.02.2008 13:31 1.044.480 roboex32.dll 20.02.2008 13:31 49.152 inetwh32.dll 11.01.2008 07:32 44.544 pngfilt.dll - - - - - - - - - - - - - - - - - -- - - - - - ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\WINDOWS\Prefetch 13.05.2008 18:41 11.210 FIND.EXE-0EC32F1E.pf 13.05.2008 18:41 12.020 CMD.EXE-087B4001.pf 13.05.2008 18:41 35.894 WINRAR.EXE-3588DFE8.pf 13.05.2008 18:41 11.288 VERCLSID.EXE-3667BD89.pf 13.05.2008 18:38 54.548 IEXPLORE.EXE-2CA9778D.pf 13.05.2008 18:33 30.460 AVWSC.EXE-3AC95876.pf 13.05.2008 18:13 64.194 WMIPRVSE.EXE-28F301A9.pf 13.05.2008 17:43 76.268 FIREFOX.EXE-1D57670A.pf 13.05.2008 17:06 419.074 Layout.ini 13.05.2008 16:38 86.850 HELPSVC.EXE-2878DDA2.pf 13.05.2008 15:04 144.358 ACDSEE8.EXE-248AAA39.pf 13.05.2008 10:30 16.880 RUNDLL32.EXE-154997DB.pf 13.05.2008 09:23 15.990 NOTEPAD.EXE-336351A9.pf 13.05.2008 09:22 42.642 AVCENTER.EXE-324B1681.pf 13.05.2008 09:18 18.990 HIJACKTHIS.EXE-39024128.pf 13.05.2008 08:49 58.872 SDUPDATE.EXE-30CF90C0.pf 13.05.2008 08:48 67.212 SPYBOTSD.EXE-1D495A65.pf 13.05.2008 08:47 55.424 AVSCAN.EXE-0D0CD933.pf 13.05.2008 08:06 20.922 WMIADAP.EXE-2DF425B2.pf 13.05.2008 08:03 76.348 SKYPEPM.EXE-03F1BFBD.pf 13.05.2008 08:03 1.479.646 NTOSBOOT-B00DFAAD.pf 13.05.2008 07:59 20.346 LOGONUI.EXE-0AF22957.pf 13.05.2008 07:33 59.742 AVNOTIFY.EXE-0B59FC42.pf 13.05.2008 07:33 116.726 ACRORD32.EXE-0EC716D9.pf 13.05.2008 07:32 120.422 DFRGNTFS.EXE-269967DF.pf 13.05.2008 07:23 17.952 GUARDGUI.EXE-3AFB6D88.pf 13.05.2008 01:38 23.232 RUNONCE.EXE-2803F297.pf 13.05.2008 01:34 21.428 WMIAPSRV.EXE-1E2270A5.pf 13.05.2008 01:34 22.192 SVCHOST.EXE-3530F672.pf 13.05.2008 01:34 12.132 CALMAIN.EXE-2403E25F.pf 13.05.2008 01:34 19.478 NTUNESERVICE.EXE-1E5E02B5.pf 13.05.2008 01:34 24.602 NVSVC32.EXE-1F9EED18.pf 13.05.2008 01:34 11.216 PNKBSTRA.EXE-188A67A9.pf 13.05.2008 01:34 15.892 RUNDLL32.EXE-1857459C.pf 13.05.2008 01:34 23.462 RUNDLL32.EXE-35A483DA.pf 13.05.2008 00:56 81.280 TASKMGR.EXE-20256C55.pf 13.05.2008 00:55 62.876 SKYPE.EXE-21F19BC8.pf 12.05.2008 21:38 57.108 WUAUCLT.EXE-399A8E72.pf 12.05.2008 21:33 78.940 EXPLORER.EXE-082F38A9.pf 12.05.2008 08:43 84.386 GOOGLEEARTH.EXE-0978F2AD.pf 11.05.2008 08:34 59.072 WINAMP.EXE-08C38ED9.pf 11.05.2008 01:06 20.424 RUNDLL32.EXE-2A94BB85.pf 11.05.2008 01:06 21.240 RUNDLL32.EXE-2E5AF1D7.pf 10.05.2008 22:26 14.244 PNKBSTRB.EXE-21412697.pf 10.05.2008 22:25 8.534 ~E5.0001-37C48A99.pf 10.05.2008 22:25 33.772 BF2.EXE-08323240.pf 10.05.2008 22:09 12.266 AUTORUN.EXE-055703AF.pf 47 Datei(en) 3.842.054 Bytes 0 Verzeichnis(se), 24.795.058.176 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\WINDOWS 13.05.2008 18:39 18.250 rs.txt 13.05.2008 09:04 308 wininit.ini 13.05.2008 08:02 0 0.log 13.05.2008 08:02 159 wiadebug.log 13.05.2008 08:02 50 wiaservc.log 13.05.2008 08:00 2.048 bootstat.dat 13.05.2008 08:00 30.976 SchedLgU.Txt 13.05.2008 07:59 307.568 WindowsUpdate.log 13.05.2008 00:04 240.586 ntbtlog.txt 12.05.2008 21:02 116 NeroDigital.ini 12.05.2008 19:24 81.920 oadkxrts.exe 12.05.2008 19:24 217.088 fvowketqplo.dll 06.05.2008 20:17 912.778 setupapi.log 28.04.2008 15:27 3.686.454 ACD Hintergrund.bmp 07.04.2008 12:53 70.821 DirectX.log 17.03.2008 09:53 6.165 wmsetup.log 13.03.2008 22:37 203.751 setupact.log 11.03.2008 12:55 0 AS_Debug.txt 11.03.2008 12:55 21.623 Ascd_tmp.ini 09.03.2008 12:09 288 wincmd.ini 08.03.2008 01:41 232 attach.log 08.03.2008 01:41 404 VFO.VST 08.03.2008 01:40 1.194 VFO.INI 08.03.2008 01:20 37 install_Studio10.log 08.03.2008 01:09 1.142 mozver.dat 07.03.2008 22:19 0 nsreg.dat 07.03.2008 21:44 180 atcl01setup.log 07.03.2008 21:39 39.695 ehOCGen.log 07.03.2008 21:39 49.926 MedCtrOC.log 07.03.2008 21:39 794.425 iis6.log 07.03.2008 21:39 149.997 ntdtcsetup.log 07.03.2008 21:39 330.329 tsoc.log 07.03.2008 21:39 36.618 tabletoc.log 07.03.2008 21:39 1.355 imsins.log 07.03.2008 21:39 248.060 comsetup.log 07.03.2008 21:39 39.063 ocmsn.log 07.03.2008 21:39 4.517 KB888111.log 07.03.2008 21:39 124.869 netfxocm.log 07.03.2008 21:39 344.072 ocgen.log 07.03.2008 21:39 35.026 msgsocm.log 07.03.2008 21:39 83.798 plusoc.log 07.03.2008 21:39 708.734 FaxSetup.log 07.03.2008 21:39 222.196 msmqinst.log 07.03.2008 21:23 7.665 spupdsvc.log 07.03.2008 21:18 1.355 imsins.BAK 07.03.2008 21:18 41.576 KB944533-IE7.log 07.03.2008 21:17 65.538 updspapi.log 07.03.2008 21:13 25.204 KB938127-IE7.log 07.03.2008 21:12 34.138 KB937143-IE7.log 07.03.2008 21:12 293.128 msxml4-KB936181-deu.LOG 07.03.2008 21:08 17.774 KB928090-IE7.log 07.03.2008 21:03 16.355 ie7_main.log 07.03.2008 21:03 96.799 ie7.log 07.03.2008 21:02 40.866 IDNMitigationAPIs.log 07.03.2008 21:02 40.521 NLSDownlevelMapping.log 07.03.2008 21:02 42.025 KB915865.log 07.03.2008 21:01 40.606 XpsEPSC.log 07.03.2008 20:38 829 OEWABLog.txt 07.03.2008 20:37 4.999 KB867282.log 07.03.2008 20:37 619 KB867282-IE6SP1-20050127.163319.log 07.03.2008 20:37 682 KB867282-IE501SP4-20050107.164742.log 07.03.2008 20:37 4.787 KB885250.log 07.03.2008 20:36 4.882 KB834707.log 07.03.2008 20:36 939 vminst.log 07.03.2008 20:36 4.649 WGA.log 07.03.2008 20:36 13.613 wmp11.log 07.03.2008 20:35 19.721 WMFDist11.log 07.03.2008 20:35 8.076 Wudf01000Inst.log 07.03.2008 20:34 834.098 setuplog.txt 07.03.2008 20:34 52 oobeact.log 07.03.2008 20:34 8.192 REGLOCS.OLD 07.03.2008 20:32 685 setuperr.log 07.03.2008 20:31 12.319 KB893803v2.log 07.03.2008 20:30 12.431 KB887742.log 07.03.2008 20:30 13.087 KB893086.log 07.03.2008 20:30 13.000 KB893066.log 07.03.2008 20:30 14.306 KB890923.log 07.03.2008 20:30 12.520 KB885523.log 07.03.2008 20:30 12.756 KB885835.log 07.03.2008 20:30 12.220 KB886185.log 07.03.2008 20:30 12.717 KB887797.log 07.03.2008 20:30 12.224 KB890175.log 07.03.2008 20:29 12.692 KB873333.log 07.03.2008 20:29 12.389 KB888113.log 07.03.2008 20:29 14.761 KB898461.log 07.03.2008 20:29 14.691 KB883939.log 07.03.2008 20:29 13.023 KB896422.log 07.03.2008 20:29 11.122 KB903235.log 07.03.2008 20:28 13.471 KB894391.log 07.03.2008 20:28 15.802 KB896688.log 07.03.2008 20:28 16.258 KB902400.log 07.03.2008 20:28 13.186 KB904706.log 07.03.2008 20:27 15.749 KB905915.log 07.03.2008 20:27 12.483 KB911565.log 07.03.2008 20:27 13.066 KB913446.log 07.03.2008 20:27 13.481 KB911567.log 07.03.2008 20:27 16.124 KB912812.log 07.03.2008 20:26 0 control.ini 07.03.2008 20:26 477 win.ini 07.03.2008 20:26 316.640 WMSysPr9.prx 07.03.2008 20:26 4.161 ODBCINST.INI 07.03.2008 20:25 749 WindowsShell.Manifest 07.03.2008 20:24 1.023 sessmgr.setup.log 07.03.2008 20:23 37 vbaddin.ini 07.03.2008 20:23 36 vb.ini 07.03.2008 20:23 133 DtcInstall.log 07.03.2008 20:22 200 cmsetacl.log 07.03.2008 20:21 0 Sti_Trace.log 07.03.2008 20:18 2.618 regopt.log 07.03.2008 20:18 231 system.ini 04.09.2007 20:26 29.696 nvoclock.sys - - - - - - - - - - - - - - - - - - - - - - - ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\WINDOWS\tasks 13.05.2008 08:01 6 SA.DAT 09.05.2008 18:08 408 1-Klick-Wartung.job 01.06.2006 21:06 65 desktop.ini 3 Datei(en) 479 Bytes 0 Verzeichnis(se), 24.795.041.792 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\WINDOWS\temp 13.05.2008 08:02 16.384 Perflib_Perfdata_528.dat 12.05.2008 23:50 16.384 Perflib_Perfdata_5d0.dat 12.05.2008 23:22 16.384 Perflib_Perfdata_598.dat 12.05.2008 21:37 16.384 Perflib_Perfdata_590.dat 01.05.2008 14:04 16.384 Perflib_Perfdata_2c0.dat 01.05.2008 09:03 16.384 Perflib_Perfdata_2e4.dat 29.04.2008 09:42 16.384 Perflib_Perfdata_248.dat 26.04.2008 00:09 16.384 Perflib_Perfdata_91c.dat 23.04.2008 06:09 16.384 Perflib_Perfdata_1d8.dat 18.04.2008 22:51 16.384 Perflib_Perfdata_938.dat 06.04.2008 15:09 16.384 Perflib_Perfdata_ce0.dat 28.03.2008 06:18 16.384 Perflib_Perfdata_69c.dat 18.03.2008 07:37 16.384 Perflib_Perfdata_730.dat 15.03.2008 17:51 16.384 Perflib_Perfdata_758.dat 14.03.2008 07:39 16.384 Perflib_Perfdata_754.dat 08.03.2008 02:00 5.313 PQ_DEBUG.TXT 16 Datei(en) 251.073 Bytes 0 Verzeichnis(se), 24.795.041.792 Bytes frei ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC4C-CE73 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 13.05.2008 18:41 129.523 filelist.txt 13.05.2008 17:43 16.384 ~DFF68B.tmp 13.05.2008 07:35 16.384 ~DF9CBD.tmp 13.05.2008 01:10 33.322 Uninstall Log 2008-05-13 #001.txt 13.05.2008 01:05 29.776 jusched.log 12.05.2008 23:35 16.384 ~DF2AEA.tmp 12.05.2008 23:23 0 .tt2.tmp 12.05.2008 23:12 80.343 Setup Log 2008-05-12 #001.txt 12.05.2008 23:09 16.384 ~DF265E.tmp 12.05.2008 21:36 0 .tt1.tmp 12.05.2008 21:32 2 MalFB.tmp 12.05.2008 21:32 0 .ttFC.tmp 12.05.2008 21:32 44.032 setup_526_1_.exe 12.05.2008 07:51 2.912 java_install_reg.log 11.05.2008 13:19 23.930 lock.gif 11.05.2008 13:19 964 _order.htm 11.05.2008 01:27 16.384 ~DFC22F.tmp 10.05.2008 22:25 72.192 ~e5.0001 07.05.2008 20:35 0 EPSLog.txt 07.03.2008 21:42 25.746 German.bin 20 Datei(en) 524.662 Bytes 0 Verzeichnis(se), 24.795.041.792 Bytes frei |
13.05.2008, 19:19 | #10 | |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo lass bitte auch diese Dateien Zitat:
oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. So wollen wir mal hoffen, dass die nächsten Schritte nicht für die Katz sind... Lade dir bitte Combofix Combofix lies und befolge die Anleitung bitte genau. Poste im Anschluß das Log. Dann lade dir bitte Malwarebytes http://www.trojaner-board.de/51187-a...i-malware.html und lass es mach Anleitung laufen, poste auch hier im Anschluss das Log. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
14.05.2008, 09:22 | #11 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Moin so jetzt gehts los. Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 - Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.13 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 - Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 - Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.13 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 - weitere Informationen File size: 187308 bytes MD5...: c57a59622e4594c33aec3fdf02294923 SHA1..: 0ffa84b7b69ecd92f866fb92ba310887f6f7b9e4 SHA256: 1873af8e89718bd9dbf4f060e19ff652b284b7bd5b35cf97b384db7d0291189b SHA512: 7bf08ae96d392e24d495b8f9340eae38a951bba0f07cfe34c4fb68ae16cd37ab dcf0d10e1fd3a8e0f65e23061ec6b0158556e75a14bac58304d3c11c455987a7 PEiD..: - PEInfo: - END MD5: c57a59622e4594c33aec3fdf02294923 First received: - Datum 2008.05.14 09:48:53 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/1b8b7da77b2fa030eacd29df5b377713 END Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 - Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.14 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 Vundo.gen38 Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 - Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.14 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 - weitere Informationen File size: 1490286 bytes MD5...: bc23a62a2c3352e787f6a500c506c26e SHA1..: 81b76ef7deb32a3bfc9dc509923d628a0bb2d6a8 SHA256: 81ff86d28fa922184a751b52f0da4ad656d5479fec433c40a01140e9c35132ac SHA512: dc137b92a906fc48802748d2faf7709b9b2365bb3cea7b00a6911b8e06869bc5 99ac23d45d4f5533f8d42a661c12bd7d20f7a744e3647a1ed3206620464732f0 PEiD..: - PEInfo: - END Die nächste nicht gefunden END Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 - Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.14 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 - Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 - Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.14 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 - weitere Informationen File size: 12217 bytes MD5...: 0cc8541997f6f9e6734e12682e5d312e SHA1..: 5ee9452dae34eab2aead5766da463cc26e793a47 SHA256: f117803c20d0914d44af9ec4965601f3bb4ce6f5f8cbd003e3094a9b771abb6f SHA512: 46c6e13687c04f55d645864dfa664551bdf1ca94389a9a24d8619e19f4c6d0e7 89bd9bbe72ab6cdffb96f42b98fc6bea02261f4771a1c87f50a5b839c6107efe PEiD..: - PEInfo: - END Die Datei wurde bereits analysiert: MD5: 0cc8541997f6f9e6734e12682e5d312e First received: - Datum 2008.05.14 09:58:42 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/25deb23a07085553677506c116310bce END Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 - Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.14 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 Vundo.gen38 Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 - Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.14 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 - weitere Informationen File size: 1490466 bytes MD5...: e46a5f5e056a5be91591ae72754b9ee0 SHA1..: 0a4f25d584a88ee851019c22bdd7ed9d03a3e101 SHA256: ff4ea529848784d4c0a6bbae5352e89703d98845aa1cbc8a3165d7025e0d9405 SHA512: 5b2c6c248190fccbc09fca938cddc16702ebb83454326f837da9801841bceb81 657ecd54cf65efc7ed6ca5e11cc7d3bf16286413a5d9dfa227acac9f3611ec1d PEiD..: - PEInfo: - END Die Datei wurde bereits analysiert: MD5: 2ae3fb159c9778689f54f58dbf6a7de3 First received: 2008.04.01 15:43:25 (CET) Datum 2008.05.13 20:43:47 (CET) [<1D] Ergebnisse 2/32 Permalink: analisis/f355620d477ef9dfe5d6d01fdf246700 END Die Datei wurde bereits analysiert: MD5: 048d36722cdedb58886c9ea795b05684 First received: 2008.01.15 09:28:49 (CET) Datum 2008.05.14 03:20:14 (CET) [<1D] Ergebnisse 3/32 Permalink: analisis/a5443b0932cb47ccafdab76c5eba24c5 END Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 TR/Agent.29312 Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.14 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 - Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 Cloaked Malware Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.14 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 Trojan.Agent.29312 weitere Informationen File size: 29312 bytes MD5...: 9c7f6951047405aab0e4fc51233d5593 SHA1..: 01101d157213aace1dd7a421e563bb0a3365d2e9 SHA256: 14e1934e0f7924ef94ec38dbab824e9416fcd9065281c0994413313cca0fa40e SHA512: ef15e837e5ff3f2c69e2889101f697f719641bdc6fa5929674a27976dbeb98b5 ede19befa850d2dbd4578b8721431f1e418c5edfaf6a8f83c2245b21bdfe04ff PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100012c0 timedatestamp.....: 0x4821945b (Wed May 07 11:36:59 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x2000 0x2000 4.69 9de1f3813af5f65847a2c23171c23be9 CODE 0x3000 0x1000 0x800 4.29 4f4768d4f19631899a1869905cf9d3b2 CRT 0x4000 0x1000 0x600 7.87 8080a028b7c048a5b9c83c9fed0a030c .rsrc 0x5000 0xb000 0x4080 7.94 dd7699145a988ff0e995a0f7901041fc ( 4 imports ) > kernel32.dll: GetCurrentThreadId, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, LoadLibraryA, LocalAlloc, lstrcpyn, lstrlen, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte > user32.dll: GetWindowDC, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA > gdi32.dll: CombineRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA > shell32.dll: ShellExecuteA, SHGetPathFromIDList ( 0 exports ) Prevx info: CBXOLJGE.DLL - Prevx END Die Datei wurde bereits analysiert: MD5: 9c7f6951047405aab0e4fc51233d5593 First received: 2008.05.14 10:10:40 (CET) Datum 2008.05.14 10:10:41 (CET) [<1D] Ergebnisse 3/32 Permalink: analisis/037fc24d52c342db2c92a72e3df2add8 END Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.14.1 2008.05.14 - AntiVir 7.8.0.17 2008.05.14 - Authentium 5.1.0.4 2008.05.14 - Avast 4.8.1195.0 2008.05.14 - AVG 7.5.0.516 2008.05.13 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.13 - ClamAV 0.92.1 2008.05.13 - DrWeb 4.44.0.09170 2008.05.14 - eSafe 7.0.15.0 2008.05.13 - eTrust-Vet 31.4.5786 2008.05.14 - Ewido 4.0 2008.05.13 - F-Prot 4.4.2.54 2008.05.14 - F-Secure 6.70.13260.0 2008.05.14 - Fortinet 3.14.0.0 2008.05.14 - GData 2.0.7306.1023 2008.05.14 - Ikarus T3.1.1.26.0 2008.05.14 - Kaspersky 7.0.0.125 2008.05.14 - McAfee 5294 2008.05.13 - Microsoft None 2008.05.14 - NOD32v2 3097 2008.05.14 - Norman 5.80.02 2008.05.13 - Panda 9.0.0.4 2008.05.14 - Prevx1 V2 2008.05.14 - Rising 20.44.20.00 2008.05.14 - Sophos 4.29.0 2008.05.14 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.14 - TheHacker 6.2.92.309 2008.05.13 - VBA32 3.12.6.6 2008.05.14 - VirusBuster 4.3.26:9 2008.05.13 - Webwasher-Gateway 6.6.2 2008.05.14 - weitere Informationen File size: 56 bytes MD5...: 8092f54feb8b8a0c0a50f353ad545149 SHA1..: 59f19c5a9fd21a5406cf13fd0c5f74cf0e193fe3 SHA256: 196c41e9c5a621c56d949cd0d83bf162afa79b91d648028b7a6e8fcb074fd760 SHA512: 5d60dcfbafa8fc6c2aa01dd9df445288f5db939b4fa66d426ca3bb060533da4a 4324b47befa918d7447ba20b651480da74afcfb304d239eb263e6f4383f85ce2 PEiD..: - PEInfo: - END Die Datei wurde bereits analysiert: MD5: a32b14be5edae794fce1a9e970827509 First received: 2008.03.17 07:18:37 (CET) Datum 2008.05.13 19:38:57 (CET) [<1D] Ergebnisse 1/32 Permalink: analisis/c9291c4c981a357a3431da75a4c5d4b2 END Die Datei wurde bereits analysiert: MD5: 6d6f4b1886e91eb37abccad19c561ee0 First received: 2007.03.16 17:55:40 (CET) Datum 2008.05.13 19:40:15 (CET) [<1D] Ergebnisse 1/32 Permalink: analisis/5a5e943e09669dfe9e35ac0382c22688 END So das waren die die scanns von VirusTotal. Die anderen scanns mit den anderen 2 Programmen werde ich etwas Später durchführen. Vielen Dank |
14.05.2008, 17:55 | #12 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hier schon mal der Combo Log,der andere folgt: ComboFix 08-05-12.1 - Administrator 2008-05-14 18:49:38.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\rs.txt C:\WINDOWS\system32\abKlnnnn.ini C:\WINDOWS\system32\abKlnnnn.ini2 C:\WINDOWS\system32\bIPsrBeg.ini C:\WINDOWS\system32\bIPsrBeg.ini2 C:\WINDOWS\system32\jihdusgk.ini C:\WINDOWS\system32\rYJTwyxx.ini C:\WINDOWS\system32\rYJTwyxx.ini2 C:\WINDOWS\system32\tlfhmwqe.ini C:\WINDOWS\system32\tnegxbfx.ini . ((((((((((((((((((((((( Dateien erstellt von 2008-04-14 bis 2008-05-14 )))))))))))))))))))))))))))))) . 2008-05-14 06:30 . 2008-05-14 06:30 90,304 --a------ C:\WINDOWS\system32\kgsudhij.dll 2008-05-14 06:29 . 2008-05-14 06:29 318,080 --a------ C:\WINDOWS\system32\xxywTJYr.dll 2008-05-13 01:38 . 2008-05-13 01:38 <DIR> d-------- C:\Programme\Avira 2008-05-13 00:11 . 2008-05-13 09:04 308 --a------ C:\WINDOWS\wininit.ini 2008-05-12 23:55 . 2008-05-12 23:55 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-05-12 23:55 . 2008-05-13 00:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-12 23:16 . 2008-05-12 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TmpRecentIcons 2008-05-12 23:11 . 2008-05-13 01:10 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-05-12 22:59 . 2008-05-12 22:59 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy 2008-05-12 22:34 . 2008-05-12 22:34 <DIR> d-------- C:\Programme\Trend Micro 2008-05-12 21:48 . 2008-05-13 01:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-05-12 21:33 . 2008-05-12 21:33 29,312 --a------ C:\WINDOWS\system32\yaywvSLC.dll 2008-05-12 21:33 . 2008-05-12 21:33 29,312 --a------ C:\WINDOWS\system32\fccYqpop.dll 2008-05-12 21:33 . 2008-05-12 21:33 1 --a------ C:\WINDOWS\system32\kr_done1de 2008-05-12 21:32 . 2008-05-12 23:23 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp 2008-05-12 21:32 . 2008-05-12 19:24 217,088 --a------ C:\WINDOWS\fvowketqplo.dll 2008-05-12 21:32 . 2008-05-12 23:23 160,256 --a------ C:\WINDOWS\system32\blackster.scr 2008-05-12 21:32 . 2008-05-12 19:24 81,920 --a------ C:\WINDOWS\oadkxrts.exe 2008-05-07 22:16 . 2008-05-07 22:16 <DIR> d-------- C:\Programme\Ubisoft 2008-05-07 13:16 . 2008-05-10 22:09 <DIR> d-------- C:\Pnkbuster 2008-05-06 20:14 . 2005-02-11 10:19 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys 2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys 2008-05-06 20:14 . 2005-02-11 10:19 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys 2008-05-04 21:48 . 2008-05-04 21:48 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc 2008-05-01 18:02 . 2008-05-01 18:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype 2008-05-01 18:02 . 2008-05-01 18:02 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-04-24 22:46 . 2008-04-24 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nikon 2008-04-24 22:45 . 2008-04-24 22:48 <DIR> d-------- C:\Programme\Microsoft Digital Image 2006 2008-04-21 00:53 . 2008-04-21 00:53 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ArcSoft 2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft 2008-04-21 00:52 . 2008-04-21 00:52 <DIR> d-------- C:\Programme\ArcSoft 2008-04-21 00:52 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL 2008-04-21 00:52 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-14 16:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM 2008-05-14 16:48 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype 2008-05-12 19:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead 2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZoomBrowser EX 2008-05-11 07:20 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CameraWindowDC 2008-05-10 20:27 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-05-07 20:29 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-01 16:02 --------- d-----w C:\Programme\Skype 2008-04-28 15:30 --------- d-----w C:\Programme\Canon 2008-04-28 12:29 --------- d-----w C:\Programme\Pinnacle 2008-04-13 23:19 --------- d-----w C:\Programme\DivX 2008-04-07 10:53 --------- d-----w C:\Programme\Electronic Arts 2008-04-07 10:50 --------- d-----w C:\Programme\DAEMON Tools 2008-04-07 10:48 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-03-30 18:01 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2 2008-03-26 07:31 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp 2008-03-23 19:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DivX 2008-03-21 12:21 --------- d-----w C:\Programme\Winamp 2008-03-20 17:25 --------- d-----w C:\Programme\Teamspeak2_RC2 2008-03-16 09:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CANON INC 2008-03-16 08:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser 2008-03-16 08:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Canon 2008-03-16 07:44 --------- d-----w C:\Programme\eBay 2008-03-07 20:25 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat . ------- Sigcheck ------- md5deep: C:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied 2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB884883$\explorer.exe 2005-04-07 20:46 1035264 64322e8399b205b7281ff883737a9b03 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE}] C:\WINDOWS\system32\geBrsPIb.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3E2C80A5-AD44-47AF-9F5C-5E1078636D87}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97F7302A-147C-4435-901C-184375993BE6}] 2008-05-12 21:33 29312 --a------ C:\WINDOWS\system32\yaywvSLC.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA99F228-D9E2-47D5-9A8D-A295E8E52E93}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D339730D-9EEA-4F2E-B04A-67E0DF888115}] C:\WINDOWS\system32\nnnnlKba.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F8E625A3-2D3F-44C5-90C0-5D3F795AB40C}] 2008-05-14 06:29 318080 --a------ C:\WINDOWS\system32\xxywTJYr.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{5AC18EE0-E9B2-428D-844F-6D3EEA227215}"= "C:\WINDOWS\pvnsmfor.dll" [ ] [HKEY_CLASSES_ROOT\clsid\{5ac18ee0-e9b2-428d-844f-6d3eea227215}] [HKEY_CLASSES_ROOT\pvnsmfor.1] [HKEY_CLASSES_ROOT\TypeLib\{E959253D-2F5C-480C-B7D2-6BD8996A05B1}] [HKEY_CLASSES_ROOT\pvnsmfor] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-04-23 17:45 22058792] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2007-10-24 20:20 1626112 C:\WINDOWS\system32\nwiz.exe] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40 155648] "PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 02:26 406016] "SideWinderTrayV4"="C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe" [1999-11-18 19:12 24650] "RTHDCPL"="RTHDCPL.EXE" [2006-09-06 05:44 16262656 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{97F7302A-147C-4435-901C-184375993BE6}"= C:\WINDOWS\system32\yaywvSLC.dll [2008-05-12 21:33 29312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "mpfanvqg"= {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll [ ] "vbksrofa"= {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll [ ] "sQAeyZFH"= {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll [2007-04-16 18:09 32768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yaywvSLC] yaywvSLC.dll 2008-05-12 21:33 29312 C:\WINDOWS\system32\yaywvSLC.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= vdrcodec.dll "VIDC.MJPG"= Pvmjpg30.dll "VIDC.PIM1"= pclepim1.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "InetChk"=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work "NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe "cc4ccedc"=rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R0 mv614x;mv614x;C:\WINDOWS\system32\DRIVERS\mv614x.sys [2006-07-03 13:21] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2006-08-22 07:36] . Inhalt des "geplante Tasks" Ordners "2008-05-09 16:08:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-14 18:52:54 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\yaywvSLC.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-14 18:54:55 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-14 16:54:51 10 Verzeichnis(se), 24,723,611,648 Bytes frei 13 Verzeichnis(se), 24,672,841,728 Bytes frei 193 |
14.05.2008, 18:25 | #13 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo, hier der Log von AntiMalware .Nach dem Scan hat das prog. über 40 Bedrohungen gelöscht ein paar nach dem Neustart.Beim Neustart hat sich dann sofort Antivir gemeldet : In der Datei 'C:\WINDOWS\system32\yaywvSLC.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen __________________________________________________________________ Malwarebytes' Anti-Malware 1.12 Datenbank Version: 748 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|) Objekte gescannt: 90806 Scan Dauer: 14 minute(s), 51 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 3 Infizierte Registrierungsschlüssel: 18 Infizierte Registrierungswerte: 5 Infizierte Datei Objekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: c:\WINDOWS\system32\yaywvSLC.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\nnbksweq.dll (Trojan.Vundo) -> Unloaded module successfully. C:\WINDOWS\system32\qoMccYSM.dll (Trojan.Vundo) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yaywvslc (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9487322b-57bd-40b7-bb0d-883e1751d9f2} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9487322b-57bd-40b7-bb0d-883e1751d9f2} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{f8e625a3-2d3f-44c5-90c0-5d3f795ab40c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f8e625a3-2d3f-44c5-90c0-5d3f795ab40c} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cc4ccedc (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\mpfanvqg (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vbksrofa (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccysm -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qomccysm -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\yaywvSLC.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\nnbksweq.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\qewskbnn.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qoMccYSM.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\MSYccMoq.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\MSYccMoq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP214\A0046277.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0047278.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0050289.dll (Trojan.Zlob) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\system32\fccYqpop.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\xxywTJYr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\fvowketqplo.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. Vielen Dank nochmal für die Mühe. Hat das alles denn noch einen Sinn? |
14.05.2008, 19:11 | #14 | |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hallo Zitat:
Wenn die hochgeladenen Datei sauber sein sollte, hat das Ganze einen Sinn denke ich. Deaktiviere bitte die Systemwiederherstellung --> System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. Anschließend lass erneut Combofix laufen und poste das Log. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
14.05.2008, 20:15 | #15 |
| wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? Hier nochmal ein Antivir von gerade. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 14. Mai 2008 19:30 Es wird nach 1266589 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: HOME-PC Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58 ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 23:39:31 ANTIVIR3.VDF : 7.0.4.39 197120 Bytes 14.05.2008 17:29:58 Engineversion : 8.1.0.42 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12.05.2008 23:39:36 AESCN.DLL : 8.1.0.16 119156 Bytes 12.05.2008 23:39:36 AERDL.DLL : 8.1.0.20 418165 Bytes 12.05.2008 23:39:35 AEPACK.DLL : 8.1.1.4 364918 Bytes 12.05.2008 23:39:35 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 12.05.2008 23:39:34 AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12.05.2008 23:39:34 AEHELP.DLL : 8.1.0.14 115063 Bytes 12.05.2008 23:39:33 AEGEN.DLL : 8.1.0.20 299380 Bytes 12.05.2008 23:39:33 AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 23:39:32 AECORE.DLL : 8.1.0.28 168310 Bytes 12.05.2008 23:39:32 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, F:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Mittwoch, 14. Mai 2008 19:30 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SWTrayV4.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '30' Prozesse mit '30' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'F:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '23' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP216\A0046283.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.moq [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2695.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050711.scr [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2819.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050712.dll [FUND] Ist das Trojanische Pferd TR/Agent.29312 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b281d.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050713.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2822.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050714.exe [FUND] Ist das Trojanische Pferd TR/Drop.Softomat.AN [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2823.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050715.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925a894.qua' verschoben! C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP220\A0050720.dll [FUND] Ist das Trojanische Pferd TR/Agent.29312 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '485b2825.qua' verschoben! C:\WINDOWS\system32\nnbksweq.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488d292f.qua' verschoben! C:\WINDOWS\system32\qoMccYSM.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48782936.qua' verschoben! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Ende des Suchlaufs: Mittwoch, 14. Mai 2008 20:01 Benötigte Zeit: 31:26 min Der Suchlauf wurde vollständig durchgeführt. 5459 Verzeichnisse wurden überprüft 193634 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 9 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 193625 Dateien ohne Befall 1190 Archive wurden durchsucht 2 Warnungen 9 Hinweise |
Themen zu wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? |
.dll, 0 bytes, adobe, avg, avgnt.exe, avira, canon, content.ie5, ctfmon.exe, desktop, drivers, einstellungen, firefox, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logon.exe, moved, mozilla, mozilla firefox, nt.dll, programm, quara, rthdcpl.exe, rundll, sched.exe, services.exe, skype.exe, software, spyware, svchost.exe, system, temp, tr/crypt.ulpm.gen, trojan, virus, windows, windows\system32\drivers, winlogon.exe |