| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/CryptXPACK.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.08.2008, 10:11
| #1 |
| |  TR/CryptXPACK.Gen Hallo Virenjäger :-) Habe hier ein Problem mit dem oben genannten Virus. Manchmal kommt vom AV-Guard nach Systemstart eine Meldung, dass es da ist, bearbeite ich ihn aber irgendwie, erscheint er 1-2 Sekunden später erneut. Manchmal gibt es sogar zwei von den Dingern. Die scheinen so mächtig zu sein, dass sie sogar mein System blockieren, d.h. ehe ich mit den AV-Guard nicht wenigstens einen von den beiden weggeklickt habe (wohlbemerkt erscheinen die auch nach 2 Sekunden erneut), führt mein Rechner keine meiner Anweisungen aus. Das Ding steckt in: C:\WINDOWS\system\fccdeFuS.dll Mein HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:05:02, on 31.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/aoe/article/aofenicknamerequired?StopLoginReturnCookie=true R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {2935C200-7E7D-4257-B9D4-EE75BAA206C9} - C:\WINDOWS\system32\xxyXNGvv.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: {b83fff69-528a-9198-1214-a6dface885b7} - {7b588eca-fd6a-4121-8919-a82596fff38b} - C:\WINDOWS\system32\vfhfob.dll (file missing) O2 - BHO: (no name) - {A3336E94-35E3-46A1-805A-FAEF8D115FF7} - C:\WINDOWS\system32\fccdeFuS.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF72810329B385575FA01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310 O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [BM5b90d581] Rundll32.exe "C:\WINDOWS\system32\iegaawgl.dll",s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SfKg6wIPu] C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Microsoft\Windows\ljbgf.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/chuzzle/popcaploader_v6.cab O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/zuma/oberongamesloader.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: xxyXNGvv - xxyXNGvv.dll (file missing) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5591 bytes ____________ Ich hab versucht, die empfindlichen Daten aus dem Hijack zu anonymisieren, wenn noch andere private Dinge drin stehen, bitte ich die Mods, die auch noch rauszunehmen :-) Danke |
|
31.08.2008, 10:34
| #2 |
 | TR/CryptXPACK.Gen ..mach eine Datensicherung und setzt neu auf, nach der Formatierung.
__________________danach update dein Windows auf SP3 und deinen IE auf 7. erstell/brenn dir, für die Zukunft ein Image und bedenke dein Surfverhalten? ..währe mein Tipp dazu. |
|
31.08.2008, 11:32
| #3 | |
| /// AVZ-Toolkit Guru   | TR/CryptXPACK.Gen Halli hallo ac-demic
__________________ Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
Deinstalliere bitte AdAware! Kofiguriere AntiVir aggressiv. Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"! * Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________ |
|
04.09.2008, 11:20
| #4 | |
| | TR/CryptXPACK.GenZitat:
Geändert von ac-demic (04.09.2008 um 12:18 Uhr) |
|
04.09.2008, 13:01
| #5 |
| | TR/CryptXPACK.Gen So, bis auf die rot genannten Punkte habe ich oben nun alles erfüllt. Probleme traten auf: 1. Sicherheitscenter sieht Gefährdung, da Firewall abgeschalten und Updates abgeschalten. Aber diese beiden Dinge sind eigentlich aktiviert... 2. Secunia PSI findet die drei oben genannten Dateien noch und erklärt sie als unsicher. 3. Ich weiß nicht, wie ich meine Treiber aktualisieren kann _____________________________________ Analyse von fccdeFuS.dll: Code:
ATTFilter AhnLab-V3 2008.9.4.2 2008.09.04 -
AntiVir 7.8.1.28 2008.09.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.04 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.04 Generic11.PTC
BitDefender 7.2 2008.09.04 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 Trojan.Virtumod.based.23
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 Win32/VundoCryptorL!Generic
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 Trojan.Win32.Monder.kqo
Fortinet 3.14.0.0 2008.09.03 W32/Monder.KQO!tr
GData 19 2008.09.04 Trojan.Win32.Monder.kqo
Ikarus T3.1.1.34.0 2008.09.04 Win32.Rigel.6468
K7AntiVirus 7.10.439 2008.09.03 -
Kaspersky 7.0.0.125 2008.09.04 Trojan.Win32.Monder.kqo
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.04 Trojan:Win32/Vundo.AY
NOD32v2 3414 2008.09.04 -
Norman 5.80.02 2008.09.04 -
Panda 9.0.0.4 2008.09.03 Suspicious file
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.04 Fraudulent Security Program
Rising 20.60.31.00 2008.09.04 Trojan.PSW.Win32.GameOL.pxn
Sophos 4.33.0 2008.09.04 Sus/Behav-278
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.04 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 -
VBA32 3.12.8.4 2008.09.03 -
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.04 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 249856 bytes
MD5...: 29fb58ce44cebadfe2c988352f13462d
SHA1..: 118a5b607e4e607b05d9009ddc63207ac09e1c36
SHA256: 6cae1db6bda5b97420aaf1638e953802f8f580e1d9a552831e9b42c27135713b
SHA512: 461583e07104befe6c4ef5b4af3468a82b96ed65788c81968c32d67da6e036db
7fbd1c1855642f07c8958451358d7169575138a05e3f5321e12d0925482c0095
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.5%)
Clipper DOS Executable (14.7%)
Generic Win/DOS Executable (14.6%)
DOS Executable Generic (14.6%)
VXD Driver (0.2%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23ed5 0x23800 8.00 26e3b2c91470d809b46e8423ce60696a
.data 0x25000 0xa0e 0x400 2.95 f971a1e305e772fec697b8e59965f940
.rdata 0x26000 0x7daf3 0x19000 8.00 18270fde7872cf402855e2a7e2e04734
( 2 imports )
> user32.dll: DrawIcon, EnableScrollBar, EnableWindow, EndDeferWindowPos, DestroyWindow, LoadCursorFromFileA, OffsetRect, ShowCursor, DestroyCaret, CreateCursor, CloseWindow, IsCharUpperA, CharUpperA
> KERNEL32.dll: LocalAlloc, GetSystemTimeAsFileTime, EnterCriticalSection, lstrcpyA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=10C02B3100E9B24FD080031C17A99400E67EB476
Nicht mehr vorhanden, hab ich vor kurzem entfernen können. Analyse von iegaawgl.dll: Auch nicht mehr vorhanden Analyse von mshyvi.dll: Code:
ATTFilter AhnLab-V3 2008.9.4.2 2008.09.04 -
AntiVir 7.8.1.28 2008.09.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.04 -
AVG 8.0.0.161 2008.09.04 -
BitDefender 7.2 2008.09.04 -
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 -
eSafe 7.0.17.0 2008.09.03 Suspicious File
eTrust-Vet 31.6.6069 2008.09.04 -
Ewido 4.0 2008.09.03 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 -
Fortinet 3.14.0.0 2008.09.03 -
GData 19 2008.09.04 Trojan.Win32.Monder.gen
Ikarus T3.1.1.34.0 2008.09.04 Win32.Rigel.6468
K7AntiVirus 7.10.439 2008.09.03 -
Kaspersky 7.0.0.125 2008.09.04 Trojan.Win32.Monder.gen
McAfee 5376 2008.09.03 -
Microsoft 1.3903 2008.09.04 -
NOD32v2 3414 2008.09.04 -
Norman 5.80.02 2008.09.04 -
Panda 9.0.0.4 2008.09.03 -
PCTools 4.4.2.0 2008.09.03 -
Prevx1 V2 2008.09.04 Cloaked Malware
Rising 20.60.31.00 2008.09.04 Packer.Win32.Agent.v
Sophos 4.33.0 2008.09.04 Sus/Behav-278
Sunbelt 3.1.1582.1 2008.09.02 -
Symantec 10 2008.09.04 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 PAK_Generic.001
VBA32 3.12.8.4 2008.09.03 -
ViRobot 2008.9.4.1363 2008.09.04 -
VirusBuster 4.5.11.0 2008.09.03 -
Webwasher-Gateway 6.6.2 2008.09.04 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 108544 bytes
MD5...: 4c6f76a0babc32d15f2d087c1b85815f
SHA1..: 4142668f6f26699c0592a108375fc9404822b793
SHA256: 30b432dbb5906723b4094de8dd67eb5e4bf5dbee19a4e5edf9fadd7c214f5903
SHA512: fc2c2e50ba15c3ef249e5577119bff774dde65ae2402a96f355a059f7590cfd3
7e0186f95c0bcd3efffa3854c3f8c6219898b3a05ae2af70e6db5f34d2a9ad95
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15781 0x15200 7.99 7cc50933fb32180eb1b78c3b3d6c91d4
.data 0x17000 0xb44 0x400 4.55 8556ea6285d68f15178bda354b2e0c67
.rdata 0x18000 0x26ce6 0x4e00 7.81 399a42169029666245653883069e3d0d
( 3 imports )
> user32.dll: DrawTextA, EnableMenuItem, EnableScrollBar, EndPaint, EqualRect, GetDlgItem, IsCharUpperA, LoadAcceleratorsA, DrawStateA, LoadMenuA, MessageBoxA, OemToCharBuffA, OemToCharW, OffsetRect, SetCursor, SetMenuInfo, ToAscii, DestroyWindow, DestroyCursor, DefDlgProcA, CreateIcon, CreateDialogParamA, CreateCursor, CloseWindow, LoadBitmapA, CharUpperA
> KERNEL32.dll: OpenFileMappingA, Sleep, VirtualFree, OpenFile
> advapi32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AD517C7E004F282EA893016455A9BD002345EA33
packers (Kaspersky): PE_Patch
Code:
ATTFilter AhnLab-V3 2008.9.4.2 2008.09.04 - AntiVir 7.8.1.28 2008.09.04 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.09.03 - Avast 4.8.1195.0 2008.09.04 - AVG 8.0.0.161 2008.09.04 - BitDefender 7.2 2008.09.04 - CAT-QuickHeal 9.50 2008.09.02 - ClamAV 0.93.1 2008.09.04 - DrWeb 4.44.0.09170 2008.09.04 - eSafe 7.0.17.0 2008.09.03 Suspicious File eTrust-Vet 31.6.6069 2008.09.04 - Ewido 4.0 2008.09.03 - F-Prot 4.4.4.56 2008.09.03 - F-Secure 8.0.14332.0 2008.09.04 - Fortinet 3.14.0.0 2008.09.03 - GData 19 2008.09.04 Trojan.Win32.Monder.gen Ikarus T3.1.1.34.0 2008.09.04 Win32.Rigel.6468 K7AntiVirus 7.10.439 2008.09.03 - Kaspersky 7.0.0.125 2008.09.04 Trojan.Win32.Monder.gen McAfee 5376 2008.09.03 - Microsoft 1.3903 2008.09.04 - NOD32v2 3414 2008.09.04 - Norman 5.80.02 2008.09.04 - Panda 9.0.0.4 2008.09.03 Suspicious file PCTools 4.4.2.0 2008.09.03 - Prevx1 V2 2008.09.04 Fraudulent Security Program Rising 20.60.31.00 2008.09.04 Packer.Win32.Agent.v Sophos 4.33.0 2008.09.04 Sus/Behav-278 Sunbelt 3.1.1582.1 2008.09.02 - Symantec 10 2008.09.04 - TheHacker 6.3.0.8.072 2008.09.04 - TrendMicro 8.700.0.1004 2008.09.04 PAK_Generic.001 VBA32 3.12.8.4 2008.09.03 Trojan.Win32.Monder.gdl ViRobot 2008.9.4.1363 2008.09.04 - VirusBuster 4.5.11.0 2008.09.03 - Webwasher-Gateway 6.6.2 2008.09.04 Trojan.Crypt.XPACK.Gen weitere Informationen File size: 85504 bytes MD5...: 7309e6b4a017162b8dba0e5165495ea1 SHA1..: 81a01bcf1694b1b6accef506b75f689dc2b55c07 SHA256: d095bb6410bbbfdbd46e540326a206d89ba37786e271e4bbec7dca70c36f3280 SHA512: 54288377a18d9e5f67b71faf985abf11ccfba5a43c66860cd8aa7c16508ad9f6 830248e7cfbb2c603b46f2bc18b88ad282db2484b907c81186af5c4cc91f5848 PEiD..: - TrID..: File type identification Win32 Dynamic Link Library (generic) (55.5%) Clipper DOS Executable (14.7%) Generic Win/DOS Executable (14.6%) DOS Executable Generic (14.6%) VXD Driver (0.2%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001000 timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x85bd 0x8a00 7.97 2f02062257ff1c25a5b8d5a32c24b243 .data 0xa000 0x8b4 0x400 3.01 e919bc2ec87128cecae9c56b611f6ac9 .rdata 0xb000 0x1ff55 0xbc00 7.96 939eb8de0bf19844bad8186d501bc5df ( 3 imports ) > user32.dll: SetMenuInfo, GetCursor, EndMenu, DeleteMenu, CreateDesktopW, CreateCursor, CopyRect, CharUpperA, CharLowerA, BeginPaint > KERNEL32.dll: GetDateFormatA, ReadFile, SetLastError, TlsSetValue, lstrlenA, lstrcpynA, RaiseException > advapi32.dll: RegQueryValueA, RegOpenKeyExA, RegCloseKey ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramte...7ED600D81D0E2E packers (Kaspersky): PE_Patch _____________________ Mein aktueller HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:54:55, on 04.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Secunia\PSI (RC3)\psi.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/aoe/article/a...urnCookie=true R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [58a3e61d] rundll32.exe "C:\WINDOWS\system32\sesbwbtf.dll",b O4 - HKLM\..\Run: [BM5b90d581] Rundll32.exe "C:\WINDOWS\system32\hvmawebm.dll",s O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://msnde.oberon-media.com/online...ploader_v6.cab O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnde.oberon-media.com/online...amesloader.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FCDD593D-DE55-44BB-ADDB-338FE34895CB}: NameServer = 145.253.2.11 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: mshyvi.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5868 bytes Geändert von ac-demic (04.09.2008 um 13:15 Uhr) Grund: Untersuchung weiterer Dateien |
|
04.09.2008, 13:15
| #6 |
| /// AVZ-Toolkit Guru | TR/CryptXPACK.Gen ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Scanne deinen rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________ --> TR/CryptXPACK.Gen |
|
04.09.2008, 19:16
| #7 |
| | TR/CryptXPACK.Gen Zunächst der ComboFix-Bericht: Code:
ATTFilter ComboFix 08-09-03.03 - Matthias 2008-09-04 19:53:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.237 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Matthias\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM5b90d581.txt
C:\WINDOWS\BM5b90d581.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\byXnNETN.dll
C:\WINDOWS\system32\clivuylm.ini
C:\WINDOWS\system32\eivmljcx.ini
C:\WINDOWS\system32\fccdeFuS.dll
C:\WINDOWS\system32\fkwnjgdk.dll
C:\WINDOWS\system32\ftbwbses.ini
C:\WINDOWS\system32\gudcames.dll
C:\WINDOWS\system32\icemqnmd.exe
C:\WINDOWS\system32\ispqqf.dll
C:\WINDOWS\system32\jgfglnll.ini
C:\WINDOWS\system32\jzuqug.dll
C:\WINDOWS\system32\kcamgkvf.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mshyvi.dll
C:\WINDOWS\system32\njtuwrgl.exe
C:\WINDOWS\system32\pdbdxbjg.dll
C:\WINDOWS\system32\rkwxvnde.dll
C:\WINDOWS\system32\skeqiwco.dll
C:\WINDOWS\system32\SuFedccf.ini
C:\WINDOWS\system32\SuFedccf.ini2
C:\WINDOWS\system32\uyfjdsav.dll
C:\WINDOWS\system32\wpjqgaul.exe
C:\WINDOWS\system32\yrkfywyi.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-04 bis 2008-09-04 ))))))))))))))))))))))))))))))
.
2025-01-28 20:16 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2025-01-28 20:15 . 2008-04-14 07:22 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2025-01-28 20:15 . 2008-04-14 00:06 46,464 --a------ C:\WINDOWS\system32\drivers\gagp30kx.sys
2025-01-28 20:15 . 2001-08-17 13:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2025-01-28 20:14 . 2008-04-14 07:52 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2025-01-28 20:12 . 2007-11-18 22:46 <DIR> d-------- C:\Dokumente und Einstellungen
2008-09-04 13:29 . 2008-09-04 13:29 <DIR> d-------- C:\Programme\Avira
2008-09-04 13:29 . 2008-09-04 13:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-04 13:14 . 2008-09-04 13:15 <DIR> d-------- C:\Programme\CCleaner
2008-09-04 12:32 . 2008-09-04 12:35 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-04 12:27 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002952_.tmp
2008-09-04 11:58 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-09-03 18:29 . 2008-09-03 18:29 <DIR> d-------- C:\Programme\Sun
2008-09-03 17:55 . 2008-09-03 17:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-09-03 17:49 . 2008-09-03 17:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-09-03 17:38 . 2008-09-03 17:38 <DIR> d-------- C:\Programme\Secunia
2008-08-31 10:49 . 2008-08-31 10:49 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-18 14:00 . 2008-08-18 14:01 160 --a------ C:\WINDOWS\ADRESS.DAT
2008-08-18 13:54 . 2008-08-18 14:32 300 --a------ C:\WINDOWS\PROFED32.INI
2008-08-17 23:58 . 2008-08-17 23:58 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-08-14 10:44 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-07 10:58 . 2008-08-07 10:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-08-07 10:12 . 2008-08-07 10:12 <DIR> d-------- C:\Programme\AskSBar
2008-08-07 10:11 . 2008-08-07 10:57 <DIR> d-------- C:\Programme\COMODO
2008-08-07 10:11 . 2008-08-07 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Comodo
2008-08-07 10:11 . 2008-08-07 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-08-06 20:25 . 2008-09-03 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Shareaza
2008-08-06 20:24 . 2008-08-06 20:24 <DIR> d-------- C:\Programme\MSXML 6.0
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 11:15 --------- d-----w C:\Programme\Yahoo!
2008-09-04 11:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-03 16:28 --------- d-----w C:\Programme\Java
2008-09-03 16:27 --------- d-----w C:\Programme\S****
2008-09-03 16:17 --------- d-----w C:\Programme\Opera
2008-09-03 16:10 --------- d-----w C:\Programme\S****
2008-09-03 15:49 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype
2008-09-03 15:46 --------- d-----w C:\Programme\eMule.de
2008-08-27 16:53 --------- d-----w C:\Programme\ICQ6
2008-08-25 21:34 --------- d-----w C:\Programme\mIRC
2008-08-07 09:45 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\gtk-2.0
2008-08-07 08:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-08-06 19:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-06 18:32 --------- d-----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ICQ
2008-08-06 18:25 --------- d-----w C:\Programme\DivX
2008-08-06 18:24 --------- d-----w C:\Programme\Microsoft.NET
2008-08-06 17:51 --------- d-----w C:\Programme\Microsoft SQL Server
2008-07-09 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-07-09 14:37 --------- d-----w C:\Programme\Sunbelt Software
2008-07-06 11:31 --------- d-----w C:\Programme\Inkscape
2008-07-06 11:31 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\Inkscape
2004-06-05 18:47 41,703 ----a-w C:\Programme\rorwdv61.zip
2004-04-24 17:22 9,696 ----a-w C:\Programme\infra-red.nfo
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2005-09-06 450560]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=mshyvi.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-06-25 02:33 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
-ra------ 2004-10-01 10:31 53248 C:\WINDOWS\system32\VTTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SQLWriter"=2 (0x2)
"MSSQL$SQLEXPRESS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Secunia\\PSI (RC3)\\psi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
Notify-xxyXNGvv - xxyXNGvv.dll
MSConfigStartUp-VTTrayp - VTtrayp.exe
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Matthias\****\Mozilla\Firefox\Profiles\12bvr2ri.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 19:59:51
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-04 20:07:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-04 18:07:41
Pre-Run: 18 Verzeichnis(se), 31,354,626,048 Bytes frei
Post-Run: 21 Verzeichnis(se), 31,270,985,728 Bytes frei
179 --- E O F --- 2008-08-14 09:37:29
Nächste Woche, nach dem Urlaub ist genug Zeit, den Scan vollständig durchzujagen Geändert von ac-demic (04.09.2008 um 19:46 Uhr) |
|
| Themen zu TR/CryptXPACK.Gen |
| ad-aware, adobe, antivir, antivirus, avira, bho, dateien, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, microsoft, object, opera, problem, programme, rundll, sekunden, software, urlsearchhook, windows, windows xp, xpack.gen |
Linear-Darstellung
