Avira meldet TR/Crypt.ULPM.Gen

taz · 10.03.2009, 23:42

ComboFix 09-03-06.02 - tazAdmin 2009-03-10 8:18:32.1 - NTFSx86 NETWORK
ausgeführt von:: c:\dokumente und einstellungen\tazUser\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 00:27 . 2009-03-10 00:27 0 --a------ C:\23990098.$$$
2009-03-09 21:46 . 2009-03-09 21:46 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\GMX
2009-03-09 21:11 . 2009-03-09 22:06 54 --a------ c:\windows\Lic.xxx
2009-03-09 21:09 . 2009-03-09 21:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-03-09 21:09 . 2009-03-09 21:09 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-09 21:09 . 2009-03-09 21:09 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-09 21:09 . 2004-08-04 00:58 153,600 --a------ c:\windows\R.COM
2009-03-09 21:09 . 2004-08-04 00:58 140,800 --a------ c:\windows\system32\T.COM
2009-03-09 21:09 . 2009-03-09 21:09 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-09 21:09 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-08 20:16 . 2009-03-08 20:16 <DIR> d-------- c:\programme\Trend Micro
2009-02-23 12:50 . 2009-02-23 13:08 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\GeoSetter
2009-02-23 12:30 . 2009-02-23 12:30 <DIR> d-------- c:\programme\GeoSetter
2009-02-23 12:30 . 2009-02-23 12:50 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\GeoSetter
2009-02-23 11:54 . 2009-02-23 12:30 <DIR> d-------- c:\programme\Thumbs7
2009-02-23 11:54 . 2009-02-23 11:54 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\ThumbsPlus
2009-02-23 10:45 . 2009-02-23 10:54 <DIR> d-------- c:\programme\IrfanView
2009-02-22 20:45 . 2009-02-22 20:45 <DIR> d-------- c:\programme\Microsoft Silverlight
2009-02-22 01:30 . 2009-02-22 01:33 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\vlc
2009-02-20 15:15 . 2009-02-20 15:15 <DIR> d-------- c:\programme\Google
2009-02-20 14:14 . 2009-02-22 01:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe
2009-02-20 14:13 . 2009-02-20 14:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\LightScribe
2009-02-19 20:14 . 2009-02-19 20:14 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\GMX
2009-02-19 20:07 . 2009-02-19 20:07 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\vlc
2009-02-19 20:07 . 2009-02-19 20:07 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\dvdcss
2009-02-19 20:02 . 2009-02-19 20:02 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\dvdcss
2009-02-19 19:58 . 2009-02-19 19:58 <DIR> d-------- c:\programme\GMX
2009-02-19 19:58 . 2009-02-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2009-02-19 19:58 . 2008-07-29 09:43 149,120 --a------ c:\windows\system32\drivers\uigxrdr.SYS
2009-02-19 19:58 . 2008-07-29 09:43 7,680 --a------ c:\windows\system32\uigxnp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 21:01 --------- d-----w c:\programme\Trojancheck 6
2009-03-09 19:57 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-07 12:07 --------- d-----w c:\programme\Soulseek
2009-03-01 14:15 --------- d-----w c:\programme\Gemeinsame Dateien\ACD Systems
2009-02-22 20:33 --------- d-----w c:\dokumente und einstellungen\tazUser\Anwendungsdaten\BOM
2009-02-21 18:07 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-02-19 15:02 --------- d-----w c:\programme\DVD Shrink
2009-02-15 14:36 --------- d-----w c:\programme\Biet-O-Matic
2009-02-03 20:40 --------- d-----w c:\programme\Miranda IM
2009-02-01 18:51 --------- d-----w c:\programme\ACD Systems
2009-02-01 18:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems
2009-02-01 18:36 --------- d-----w c:\programme\Picasa2
2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2008-02-10 17:27 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-25 09:59 28,672 ----a-w c:\programme\mozilla firefox\components\mintray-9178506d-2005072516-trunk.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"neolog"="c:\programme\Neolog\Neolog.exe" [2006-09-20 797184]
"CTSyncU.exe"="c:\programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]
"AllToTray"="c:\programme\AllToTray\AllToTray.exe" [2004-01-26 728576]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Trojancheck 6 Guard"="c:\programme\Trojancheck 6\tcguard.exe" [2002-11-14 590336]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"SpyBotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 1460560]
"CTCheck"="c:\programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"VX1000"="c:\windows\vVX1000.exe" [2006-06-30 707376]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2006-06-30 269104]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2005-09-28 172544]
"nwiz"="nwiz.exe" [2007-10-04 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\tazUser\Startmen\Programme\Autostart\
CoolMenu.lnk - c:\programme\CoolMenu tazUser\CoolMenu.exe [2007-11-20 531968]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-13 110592]
GammaTray.lnk - c:\programme\Samsung\MagicTune Premium\GammaTray.exe [2008-10-11 36864]
NCProTray.lnk - c:\programme\Samsung\Natural Color Pro\NCProTray.exe [2008-10-11 49220]
SpywareGuard.lnk - c:\programme\SpywareGuard\sgmain.exe [2003-08-29 360448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 c:\programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:57 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2006-07-25 15:55 1043968 c:\programme\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
--a------ 2001-11-29 01:00 28672 c:\programme\Creative\SBLive\Program\ADGJDet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-10-04 17:14 8491008 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-10-04 17:14 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
-ra------ 2004-06-11 11:15 83968 c:\windows\system32\nvraidservice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-10-04 17:14 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch]
--a------ 2002-07-02 17:56 24576 c:\windows\system32\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
"InCDsrv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"NBService"=3 (0x3)
"MDM"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2009-02-19 149120]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.sys --> c:\windows\system32\drivers\as6eio.sys [?]
S2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [2005-01-27 241731]
S2 PV8630;USB Flatbed Scanner Driver;c:\windows\system32\A1236.SYS [2008-05-14 19144]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PV8630

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-02-20 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
MSConfigStartUp-MSMSGS - c:\programme\Messenger\msmsgs.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
TCP: {20C5348D-A08B-454C-A42D-B90B9AE72290} = 192.168.0.1
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-10 08:19:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

? [25416]
? [26240]
Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1935655697-1035525444-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-03-10 8:20:27
ComboFix-quarantined-files.txt 2009-03-10 07:20:14

Vor Suchlauf: 1.625.436.160 Bytes frei
Nach Suchlauf: 3,830,636,544 Bytes frei

180

taz · 10.03.2009, 23:52

ESCAN
Das meiste ist spy-/adware oder ungültige objekte. Bei den Virusfunden (weiter unten fett markiert) handelt es sich NICHT um installierte Programme. Die Dateien liegen einfach in meinem Archiv rum. Oder es scheinen Dateien aus Systemwiederherstellungspunkten zu sein.

Objekt "ezula Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "PurityScan Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "MultiPassRecover Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "SecureExpertCleaner Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.PathControl" verweist auf das ungültige Objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.Sequence" verweist auf das ungültige Objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.SequencerControl" verweist auf das ungültige Objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.SpriteControl" verweist auf das ungültige Objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.StructuredGraphicsControl" verweist auf das ungültige Objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\NMUIEngine.NMUIResourceLoaderHarddisk" verweist auf das ungültige Objekt "{03DC5606-EA66-4f02-AB52-2065524B03821}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\PPServer.TIMEFilterAnimation" verweist auf das ungültige Objekt "{8C98DAE2-DD96-AD59-68F4-DC09F977E430}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SPhoneParser.FoundSkypeNumber.1" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPShell.HWEventHandler" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPShell.HWEventHandler.1" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Audible\Bin\adhelper.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\tazAdmin\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\icons\default\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\icons\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".3fr". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".msf". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".s". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sv2i". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25po". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25pp". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25ppf". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".x3f". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".zaska0". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB913433". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB936782_WMP11". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.11)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.13)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.8)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.3)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.5)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.6)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Thunderbird (2.0.0.16)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Thunderbird (2.0.0.6)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\tazAdmin\Lokale Einstellungen\Temp\812.exe ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\tazAdmin\Lokale Einstellungen\Temp\812.exe ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061114.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061115.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061117.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061118.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061124.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061125.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061126.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061128.scr ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061129.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061130.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061131.scr ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061132.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061133.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061134.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061135.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\8.1.99.zip ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\2.40.ZIP ist durch den Virus "Trojan.Packed.47612 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\7.5.7_eng.exe ist durch den Virus "THREAT_TYPE_ARCHBOMB (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\Pro7.rar ist durch den Virus "Backdoor.Pcclient.GV (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\system\2.20.exe ist durch den Virus "Dialer.Generic.19384 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\system\pd7.0.zip ist durch den Virus "Dialer.Generic.18172 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Treiber etc\codecs\klcodec210f.exe ist durch den Virus "Adware.Gator.C (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.

myrtille · 12.03.2009, 11:23

Hi,

dein Hijackthislog ist unauffällig die von dir fettmarkierten Linien sind Start- und Suchseite vom Internet Explorer, die dürften deinen Firefox nicht beeinflussen.

Weiterhin handelt es sich bei Tr.Crypt...-Meldungen in der Regel um den Packer einer Datei, das heißt nicht das die Datei bösartig sein muss.
Sende sie eventuell als Verdacht auf Fehlalarm bei Antivir ein: Anleitung

Du solltest in den nächsten Tagen eine ausführlichere Antwort von Antivir erhalten. Poste diese bitte auch hier im Thread.

Dein CF-Log sieht soweit auch ganz gut aus.

Den Escan habe ich nur überflogen, da es da einfach zuviele Fehlalarme gibt., da war direkt aber auch nichts auffälliges zu sehen.

Erstelle bitte noch einen Scan mit Malwarebytes und poste das Ergebnis hier.
Sowie ein Log von GMER und ein aktuelles HijackThis log:
Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

taz · 15.03.2009, 13:47

*puh* Super, vielen Dank soweit. Hab mir schon gedacht, dass es ein Fehlalarm sein müsste. Mittlerweile kommt diese Meldung auch nicht mehr. Zwischendurch gabs ja wieder mindestens ein Avira-Auto-Update. Da haben sie es vermutlich gefixt. Sollte bei Avira dennoch ein Fehlalarm gemeldet werden?

Bei nächster Gelegenheit werde ich auch die verbleibenden Scans machen, die Logs hier posten und alle infizierten, aber nicht auf der aktuellen Win-Installation installierten, Archivdateien löschen.

Vielen Dank, der taz

Avira meldet TR/Crypt.ULPM.Gen

Log-Analyse und Auswertung: Avira meldet TR/Crypt.ULPM.Gen