|
Log-Analyse und Auswertung: TR/Crypt.XPACK.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.06.2009, 18:41 | #1 |
| TR/Crypt.XPACK.Gen hallo, bin seit heute neu hier, war noch nie in foren und weiß nicht wie man in einem thread mitschreibt. es geht um TR/Crypt.XPACK.Gen, luke filewalker fand ihm am 4. juni aber heute (08. juni) nicht mehr, denoch wenn ich im internet manche seiten anklicke meldet sich der antivir und fragt was mit dem trojaner gemacht werden soll. hier stelle ich die logfiles von antivir (kurzversion wegen brieflänge), hijackthis und combofix, in der hoffnung das mir jemand weitere hinweise geben könnte. vielen dank, branko Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 4. Juni 2009 21:23 Es wird nach 1453435 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 3) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: PC294386083997 Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '67' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\BRANKO\Lokale Einstellungen\Anwendungsdaten\Chromium\User Data\Default\Cache\f_000808 [0] Archivtyp: GZ --> unkwn [1] Archivtyp: SWC --> Object [FUND] Enthält den SWF-Virus SWF/Drop.Small.LO [FUND] Enthält den SWF-Virus SWF/Drop.Small.LO [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a582284.qua' verschoben! C:\Dokumente und Einstellungen\BRANKO\Temporary Internet Files\Content.IE5\7CBNHT2W\load[1].exe [0] Archivtyp: GZ --> load[1] [FUND] Ist das Trojanische Pferd TR/Agent.cjze [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a89231e.qua' verschoben! Beginne mit der Suche in 'D:\' <HP_RECOVERY> Ende des Suchlaufs: Donnerstag, 4. Juni 2009 22:06 Benötigte Zeit: 43:39 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 7982 Verzeichnisse wurden überprüft 325352 Dateien wurden geprüft 3 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 325347 Dateien ohne Befall 9470 Archive wurden durchsucht 2 Warnungen 2 Hinweise Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:08:19, on 08.06.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Programme\Winamp\Winampa.exe C:\Programme\BillP Studios\WinPatrol\winpatrol.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\system32\mqtgsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file) O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 7100 bytes ComboFix 09-06-07.07 - BRANKO 08.06.2009 18:38.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.959.560 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\BRANKO\Eigene Dateien\Downloads\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013 c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe c:\windows\system32\msvci70c.dll D:\Autorun.inf D:\Desktop.ini . ((((((((((((((((((((((( Dateien erstellt von 2009-05-08 bis 2009-06-08 )))))))))))))))))))))))))))))) . 2009-06-04 21:58 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe 2009-06-04 21:58 . 2009-03-06 14:19 286720 ------w- c:\windows\system32\dllcache\pdh.dll 2009-06-04 21:58 . 2009-02-09 11:21 111104 ------w- c:\windows\system32\dllcache\services.exe 2009-06-04 21:58 . 2009-02-09 10:51 401408 ------w- c:\windows\system32\dllcache\rpcss.dll 2009-06-04 21:58 . 2009-02-09 10:51 678400 ------w- c:\windows\system32\dllcache\advapi32.dll 2009-06-04 21:58 . 2009-02-09 10:51 473600 ------w- c:\windows\system32\dllcache\fastprox.dll 2009-06-04 21:58 . 2009-02-06 10:39 35328 ------w- c:\windows\system32\dllcache\sc.exe 2009-06-04 21:58 . 2009-02-09 10:51 736768 ------w- c:\windows\system32\dllcache\lsasrv.dll 2009-06-04 21:58 . 2009-02-09 10:51 740352 ------w- c:\windows\system32\dllcache\ntdll.dll 2009-06-04 21:58 . 2009-02-09 10:51 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll 2009-06-04 21:58 . 2008-04-21 21:13 217600 ------w- c:\windows\system32\dllcache\wordpad.exe 2009-06-04 17:35 . 2009-06-04 17:35 -------- d-----w- c:\programme\Trend Micro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-05 17:36 . 2006-06-29 09:28 67502 ----a-w- c:\windows\system32\perfc007.dat 2009-06-05 17:36 . 2006-06-29 09:28 404520 ----a-w- c:\windows\system32\perfh007.dat 2009-05-27 16:59 . 2009-02-27 13:41 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-19 21:23 . 2007-03-13 16:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-05-18 07:38 . 2008-01-03 14:37 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-05-14 00:11 . 2008-03-13 13:01 -------- d-----w- c:\programme\UltimateZip 2007 2009-04-27 17:39 . 2007-03-13 21:02 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-04-23 10:46 . 2008-12-22 15:55 -------- d-----w- c:\programme\SRWare Iron 2009-04-15 12:30 . 2008-12-22 16:01 -------- d-----w- c:\dokumente und einstellungen\BRANKO\Anwendungsdaten\U3 2009-04-11 19:54 . 2007-03-14 19:28 -------- d-----w- c:\programme\DivX 2009-04-11 19:54 . 2009-04-11 19:54 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-03-24 21:17 . 2009-02-10 01:34 1878984 ----a-w- c:\dokumente und einstellungen\BRANKO\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2009-03-19 13:04 . 2007-03-22 13:44 1986 ----a-w- c:\dokumente und einstellungen\BRANKO\Anwendungsdaten\wklnhst.dat 2008-01-30 11:38 . 2008-01-30 11:38 14852 ----a-w- c:\programme\settings.dat 2007-03-09 22:59 . 2007-03-09 22:59 251 ----a-w- c:\programme\wt3d.ini 2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll 2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll 2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll 2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll 2007-03-01 20:40 . 2007-03-01 20:40 22 --sha-w- c:\windows\SMINST\HPCD.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946] "QlbCtrl"="c:\programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840] "Cpqset"="c:\programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960] "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840] "WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-02 12288] "WinPatrol"="c:\programme\BillP Studios\WinPatrol\winpatrol.exe" [2008-01-27 316728] "HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-08-18 1617920] "MsmqIntCert"="mqrt.dll" - c:\windows\system32\mqrt.dll [2008-04-14 177152] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" - c:\windows\system32\CHDAudPropShortcut.exe [2006-06-02 61952] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] HP Photosmart Premier - Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTSyncU.exe"="c:\programme\Creative\Sync Manager Unicode\CTSyncU.exe" "MtdAcqu"="c:\programme\Creative\MediaSource5\MtdAcqu.exe" /s [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime "QPService"="c:\programme\HP\QuickPlay\QPService.exe" "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "hpWirelessAssistant"=c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe "NeroFilterCheck"=c:\windows\system32\NeroCheck.exe "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\mqsvc.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"= "c:\\Programme\\phonostar\\ps_olect.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Real\\RealPlayer\\realplay.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\eMule\\emule.exe"= R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680] S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [06.06.2006 22:39 61952] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-NWEReboot - (no file) Notify-WgaLogon - (no file) SafeBoot-procexp90.Sys . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.talti.com uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop uSearchURL,(Default) = hxxp://www.google.com/search?q=%s FF - ProfilePath - c:\dokumente und einstellungen\BRANKO\Anwendungsdaten\Mozilla\Firefox\Profiles\pj1amp81.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:defficial FF - component: c:\programme\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll ---- FIREFOX Richtlinien ---- FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.01.06. ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-08 18:41 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????<?@?????([??????Y?@?????<?@ Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2009-06-08 18:43 ComboFix-quarantined-files.txt 2009-06-08 16:43 Vor Suchlauf: 9.723.150.336 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 10.687.905.792 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect 154 --- E O F --- 2009-06-04 22:01 2009-06-08 16:41:59 . 2009-06-08 16:41:59 562 ----a-w- C:\Qoobox\Quarantine\Registry_backups\SafeBoot-procexp90.Sys.reg.dat 2009-06-08 16:41:56 . 2009-06-08 16:41:56 270 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Notify-WgaLogon.reg.dat 2009-06-08 16:41:46 . 2009-06-08 16:41:46 97 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NWEReboot.reg.dat 2009-06-08 16:41:25 . 2004-04-30 03:01:14 53 ----a-w- C:\Qoobox\Quarantine\D\Autorun.inf.vir 2009-06-08 16:41:25 . 2005-05-24 23:48:24 102 ----a-w- C:\Qoobox\Quarantine\D\Desktop.ini.vir 2009-06-08 16:40:52 . 2009-06-08 16:40:52 9,030 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2009-06-04 20:45:40 . 2009-06-08 16:37:09 102 ----a-w- C:\Qoobox\Quarantine\catchme.log 2009-03-09 13:11:12 . 2009-03-09 13:11:12 0 ----a-w- C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe.vir 2009-02-10 12:17:02 . 2009-03-09 13:11:12 62 ----a-w- C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini.vir 2008-01-05 00:42:13 . 2008-02-07 22:25:52 54,784 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\msvci70c.dll.vir |
Themen zu TR/Crypt.XPACK.Gen |
?????, adobe, antivir, antivirus, avg, bho, chromium, combofix, components, content.ie5, einstellungen, explorer, firefox, firefox.exe, flash player, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, malware, media center, mozilla, pdfcreator, registry, richtlinie, rundll, security, shortcut, skype.exe, software, solution, suchlauf, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, verweise, warnung, windows, windows recovery |