|
Plagegeister aller Art und deren Bekämpfung: TR/crypt.ZPACK.Gen - HilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.08.2009, 16:03 | #16 |
| TR/crypt.ZPACK.Gen - Hilfe antivir hat nichts gefunden is es jetz vorbei? zur frage vorhin: wenn ich alle sicherheitstools deinstallieren soll, was soll ich dann verwenden? hier das log zu antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 23. August 2009 15:26 Es wird nach 1651917 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ABACUS Versionsinformationen: BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00 AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 18:05:09 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 14:39:46 ANTIVIR2.VDF : 7.1.5.146 3087360 Bytes 21.08.2009 10:03:27 ANTIVIR3.VDF : 7.1.5.149 9728 Bytes 21.08.2009 10:03:28 Engineversion : 8.2.1.3 AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:38:32 AESCRIPT.DLL : 8.1.2.25 459130 Bytes 12.08.2009 16:09:07 AESCN.DLL : 8.1.2.4 127348 Bytes 24.07.2009 15:17:14 AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:54:32 AEPACK.DLL : 8.1.3.18 401783 Bytes 28.05.2009 15:04:54 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 19:02:30 AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 19:05:12 AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 19:04:22 AEGEN.DLL : 8.1.1.57 356725 Bytes 18.08.2009 19:04:20 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 24.07.2009 15:17:08 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 27.04.2009 18:08:23 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 17:27:10 RCTEXT.DLL : 9.0.37.0 87809 Bytes 27.04.2009 18:08:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, V:, W:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Sonntag, 23. August 2009 15:26 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '56957' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mmrtkrnl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TFTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TFService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'schedul2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTSVCCDA.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ACService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '39' Prozesse mit '39' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'V:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'W:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '49' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <BOOT> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'D:\' <BACKUP> D:\Tools\eTrust Antivirus\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe [0] Archivtyp: RSRC --> Object [1] Archivtyp: CAB (Microsoft) --> inoweb.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'V:\' <Extern1> Beginne mit der Suche in 'W:\' <Extern2> Ende des Suchlaufs: Sonntag, 23. August 2009 17:02 Benötigte Zeit: 1:36:11 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 13855 Verzeichnisse wurden überprüft 561766 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 561765 Dateien ohne Befall 9782 Archive wurden durchsucht 3 Warnungen 1 Hinweise 56957 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
23.08.2009, 16:37 | #17 | ||
| TR/crypt.ZPACK.Gen - HilfeZitat:
Zitat:
Klicke auf die letzten beiden Links in meiner Signatur. Lies alles aufmerksam, lerne es auswendig und vor allem befolge die Regeln. Dann kann dir nichts passieren. Du hast gleich gegen mehrere der Regeln verstoßen. Anstatt deine Software aktuell zu halten, hast du völlig überflüssige "Sicherheitsprogramme" installiert. Hier wird üblicherweise die Empfehlung Avira/Malwarebytes gegeben. Was allerdings zählt ist Brain.exe. Dein Verhalten bestimmt, ob du sicher im Netz unterwegs bist oder nicht. Die "Sicherheitsprogramme" können dich dabei nur unterstützen, bieten aber keinen Schutz. Falls du die Programme schon deinstalliert hast, ist dir aufgefallen, dass dein Rechner jetzt wesentlich schneller ist? Hast/Hattest du eine ATI S3 Grafikkarte in dem Rechner? Weiter im Programm, entfernen wir noch die Reste des Schädlings und der ganzen unnützen Software. Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: Lbd TfFsMon TfSysMon Lavasoft Ad-Aware Service ThreatFire TfNetMon mchInjDrv Hetbpla KLIF vsdatant RegNull:: [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ThreatFire"=- "Ad-Watch"=- "ZoneAlarm Client"=- "SoundMan"=- [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{157d1bbc-f9cc-11dc-a85b-0013d3f8fef9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{280d3fe7-6653-11de-8cdc-001a4f9e9c03}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37d351bd-4900-11dd-8b05-d92f13df002f}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0b1d6fa-e922-11dc-a838-0013d3f8fef9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe8b31bc-ff91-11db-80c2-0013d3f8fef9}] File:: c:\windows\Tasks\Ad-Aware Update (Weekly).job c:\windows\system32\perfh007.dat c:\windows\system32\perfc007.dat c:\windows\system32\drivers\fidbox.dat c:\windows\system32\drivers\fidbox.idx c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\windows\system32\zllictbl.dat Folder:: C:\Config.Msi c:\windows\system32\ZoneLabs c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy C:\rsit c:\windows\Internet Logs c:\programme\ThreatFire c:\programme\Spybot - Search & Destroy
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ |
23.08.2009, 18:25 | #18 |
| TR/crypt.ZPACK.Gen - Hilfe Also vielen Dank für die Beseitigung des Trojaners!!!
__________________Trotzdem noch ein paar fragen und antworten: wieso verwendest du "die schlimmsten Plagegeister" im Plural, ich hatte doch nur den einen im Thema benannten Trojaner!? Meine Sicherheitstools ergänzen sich so weit ich weiß: Mit antivir hab ich den Trojaner erkannt, sonst hätt ich das problem nicht gesehen. Threatfire arbeitet im Hintergrund gegen Malware, Spybot hat den Trojaner zwar nicht erkannt, dass heißt doch aber nicht, dass das programm generell nichts taugt? Außerdem sind die Programme meistens ordentlich upgedated, Threatfire und Antivir machen das selbst, Ad-Aware benutz ich zurzeit nicht, da ich nichts updaten kann (funktioniert nicht). Das wär das einzige was ich nicht update... Des Weiteren hab ich meines Wissenstandes nach sogut wie keine infektionen seit längerer Zeit, deshalb wird vermutlich auch nichts gefunden. ( oder sagen die log -berichte da anderes?) Und den Trojaner hab ich auch nicht durchs Internet, sondern durch Benutzung der Festplatte an einem anderen Computer bekommen. wenn mir diese programme nicht helfen, was erledigen dann Avira/Malwarebytes und brain.exe (was macht das programm überhaupt) so viel besser? Die von dir genannte Grafikkarte habe/hatte ich nicht. kann man die reste des Schädlings nicht auch ohne meine sicherheitstools entfernen? |
23.08.2009, 18:42 | #19 | |||||||
| TR/crypt.ZPACK.Gen - HilfeZitat:
Das hier ist auch einer: Zitat:
Der sieht auch ausgesprochen suspekt aus: Zitat:
Du bist noch lange nicht sauber. Zitat:
Zitat:
Zitat:
Zitat:
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
23.08.2009, 20:02 | #20 |
| TR/crypt.ZPACK.Gen - Hilfe Gut, Combofix ausgeführt: ComboFix 09-08-21.02 - Galoris 23.08.2009 20:49.4.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1133 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cfscript.txt FILE :: "c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT" "c:\windows\system32\drivers\fidbox.dat" "c:\windows\system32\drivers\fidbox.idx" "c:\windows\system32\perfc007.dat" "c:\windows\system32\perfh007.dat" "c:\windows\system32\zllictbl.dat" "c:\windows\Tasks\Ad-Aware Update (Weekly).job" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Config.Msi c:\config.msi\4919c.rbf c:\config.msi\4919d.rbf c:\config.msi\4919e.rbf c:\config.msi\4919f.rbf c:\config.msi\491a0.rbf c:\config.msi\491a1.rbf c:\config.msi\491a2.rbf c:\config.msi\491a3.rbf c:\config.msi\491a4.rbf c:\config.msi\491a5.rbf c:\config.msi\491a6.rbf c:\config.msi\491a7.rbf c:\config.msi\491a8.rbf c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker1.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\EverestPoker2.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityInternetExplorer.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar1.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar10.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar11.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar2.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar3.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar4.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar5.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar6.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar7.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar8.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar9.zip c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini c:\dokumente und einstellungen\Galoris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT c:\programme\Spybot - Search & Destroy c:\programme\Spybot - Search & Destroy\advcheck.dll c:\programme\Spybot - Search & Destroy\Help\Deutsch.chm c:\programme\ThreatFire c:\programme\ThreatFire\BpDatabase\01917B80.out c:\programme\ThreatFire\BpDatabase\0493B220.out c:\programme\ThreatFire\BpDatabase\09310E0B.out c:\programme\ThreatFire\BpDatabase\1EBBD48A.out c:\programme\ThreatFire\BpDatabase\231647C3.out c:\programme\ThreatFire\BpDatabase\3DF35F3A.out c:\programme\ThreatFire\BpDatabase\4AF8CDC6.out c:\programme\ThreatFire\BpDatabase\4DD46199.out c:\programme\ThreatFire\BpDatabase\552A0FD8.out c:\programme\ThreatFire\BpDatabase\5D5E30BB.out c:\programme\ThreatFire\BpDatabase\64C44AFE.out c:\programme\ThreatFire\BpDatabase\8796C1F1.out c:\programme\ThreatFire\BpDatabase\8907D2D7.out c:\programme\ThreatFire\BpDatabase\9E5D7233.out c:\programme\ThreatFire\BpDatabase\AEA930F2.out c:\programme\ThreatFire\BpDatabase\B798438E.out c:\programme\ThreatFire\BpDatabase\BABEA9D6.out c:\programme\ThreatFire\BpDatabase\C2E37938.out c:\programme\ThreatFire\BpDatabase\D9B9191F.out c:\programme\ThreatFire\BpDatabase\E877A478.out c:\programme\ThreatFire\BpDatabase\EE7A8FAA.out c:\programme\ThreatFire\BpDatabase\tf1000.out c:\programme\ThreatFire\Chinese.lng c:\programme\ThreatFire\French.lng c:\programme\ThreatFire\German.lng c:\programme\ThreatFire\Italian.lng c:\programme\ThreatFire\Portuguese Brazilian.lng c:\programme\ThreatFire\QuickStart-br.chm c:\programme\ThreatFire\QuickStart-cn.chm c:\programme\ThreatFire\QuickStart-de.chm c:\programme\ThreatFire\QuickStart-es.chm c:\programme\ThreatFire\QuickStart-fr.chm c:\programme\ThreatFire\QuickStart-it.chm c:\programme\ThreatFire\QuickStart-pl.chm c:\programme\ThreatFire\QuickStart.chm c:\programme\ThreatFire\RecentHits2.dat c:\programme\ThreatFire\Spanish.lng c:\programme\ThreatFire\Statistics.xml c:\programme\ThreatFire\Update\Chinese.lng c:\programme\ThreatFire\Update\French.lng c:\programme\ThreatFire\Update\German.lng c:\programme\ThreatFire\Update\Italian.lng c:\programme\ThreatFire\Update\Polish.lng c:\programme\ThreatFire\Update\Portuguese Brazilian.lng c:\programme\ThreatFire\Update\QuickStart-br.chm c:\programme\ThreatFire\Update\QuickStart-cn.chm c:\programme\ThreatFire\Update\QuickStart-de.chm c:\programme\ThreatFire\Update\QuickStart-es.chm c:\programme\ThreatFire\Update\QuickStart-fr.chm c:\programme\ThreatFire\Update\QuickStart-it.chm c:\programme\ThreatFire\Update\QuickStart-pl.chm c:\programme\ThreatFire\Update\QuickStart.chm c:\programme\ThreatFire\Update\Spanish.lng C:\rsit c:\rsit\info.txt c:\rsit\log.txt c:\windows\Internet Logs c:\windows\Internet Logs\fwdbglog.txt c:\windows\Internet Logs\installer_041208215218.log c:\windows\Internet Logs\installer_041308100845.log c:\windows\Internet Logs\installer_062509170131.log c:\windows\Internet Logs\installer_071208200112.log c:\windows\Internet Logs\installer_092008143207.log c:\windows\system32\perfc007.dat c:\windows\system32\perfh007.dat c:\windows\system32\zllictbl.dat c:\windows\Tasks\Ad-Aware Update (Weekly).job . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_KLIF -------\Legacy_LBD -------\Legacy_MCHINJDRV -------\Legacy_TFFSMON -------\Legacy_TFNETMON -------\Legacy_TFSYSMON -------\Legacy_VSDATANT -------\Service_Hetbpla -------\Service_Lbd ((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 )))))))))))))))))))))))))))))) . 2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro 2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes 2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner 2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll 2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll 2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-23 18:41 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-08-23 18:41 . 2006-02-11 14:00 -------- d-----w- c:\programme\TuneXP 2009-08-23 18:16 . 2008-04-12 18:29 -------- d-----w- c:\programme\Lavasoft 2009-08-23 18:16 . 2008-04-12 18:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal 2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase 2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE 2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion 2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion 2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6 2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll 2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK 2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid 2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5 2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys 2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll 2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe 2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll 2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll 2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll 2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe 2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google 2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM 2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll 2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll 2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll 2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005 2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll 2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll 2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys 2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys 2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 ))))))))))))))))))))))))))))))))))))))))) . + 2005-12-18 01:29 . 2009-08-23 18:51 866500 c:\windows\system32\perfh009.dat + 2005-12-18 01:29 . 2009-08-23 18:51 234610 c:\windows\system32\perfc009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoChangeAnimation"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\fxsclnt.exe"= "c:\\Programme\\NetMeeting\\Conf.exe"= "c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "d:\\Programme\\Anno 1701\\Anno1701.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MirandaFusion\\miranda32.exe"= R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752] S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704] S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104] S3 s3chipid;s3chipid;\??\c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys --> c:\dokume~1\Galoris\LOKALE~1\Temp\s3chipid.sys [?] S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640] S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}] c:\programme\PixiePack Codec Pack\InstallerHelper.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi.com/ uInternet Settings,ProxyOverride = fritz.box;192.168.178.1 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-23 20:55 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0, 67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\ "??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(824) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(884) c:\windows\system32\relog_ap.dll - - - - - - - > 'explorer.exe'(1340) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe c:\windows\system32\CTSVCCDA.EXE c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\windows\system32\UAService7.exe c:\progra~1\COMMON~1\X10\Common\X10nets.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe c:\windows\system32\wbem\wmiadap.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-23 20:59 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-23 18:59 ComboFix2.txt 2009-08-23 09:25 ComboFix3.txt 2009-08-22 20:28 Vor Suchlauf: 6.826.778.624 Bytes frei Nach Suchlauf: 6.655.619.072 Bytes frei 293 --- E O F --- 2009-08-21 13:22 |
23.08.2009, 20:15 | #21 |
| TR/crypt.ZPACK.Gen - Hilfe Das schaut doch schon viel freundlicher aus. Scripten mit Combofix
Code:
ATTFilter KILLALL:: Driver:: vsmon s3chipid Folder:: c:\programme\TuneXP c:\programme\Lavasoft c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas
__________________ --> TR/crypt.ZPACK.Gen - Hilfe |
23.08.2009, 20:30 | #22 |
| TR/crypt.ZPACK.Gen - Hilfe ComboFix 09-08-21.02 - Galoris 23.08.2009 21:23.5.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1534.1087 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Galoris\Eigene Dateien\Desktop\cfscript.txt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\%APPDATA%\Lavasoft\Ad-Aware\Update\aaw2008_upd.exe.new c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\FL.lslang.new c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\IT.lslang.new c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\NL.lslang.new c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware 2007\update\new\Lang\PT.lslang.new c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\License\adaware2007.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\1 c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\MiniMessage\2 c:\programme\Lavasoft c:\programme\TuneXP c:\programme\TuneXP\tunexp.bat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_S3CHIPID -------\Service_s3chipid ((((((((((((((((((((((( Dateien erstellt von 2009-07-23 bis 2009-08-23 )))))))))))))))))))))))))))))) . 2009-08-22 15:12 . 2009-08-22 15:16 -------- d-----w- c:\programme\trend micro 2009-08-22 10:45 . 2009-08-22 10:45 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Malwarebytes 2009-08-22 10:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-22 10:44 . 2009-08-22 10:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-22 10:44 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-22 10:44 . 2009-08-22 10:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-21 06:43 . 2009-08-21 06:43 -------- d-----w- c:\programme\CCleaner 2009-08-13 16:02 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll 2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll 2009-07-28 14:52 . 2009-07-28 14:52 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-23 19:04 . 2009-08-23 18:59 4912 ----a-w- c:\windows\system32\PerfStringBackup.TMP 2009-08-23 18:41 . 2007-11-30 13:21 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-08-19 08:51 . 2006-12-23 12:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-08-05 18:05 . 2009-03-21 14:38 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-08-05 08:59 . 2005-12-18 01:29 206336 ----a-w- c:\windows\system32\mswebdvd.dll 2009-07-31 16:05 . 2007-07-07 12:12 -------- d-----w- c:\programme\Bengal 2009-07-26 20:17 . 2007-08-07 16:39 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\ChessBase 2009-07-21 15:04 . 2009-07-21 15:04 10134 ----a-r- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-07-21 15:04 . 2009-07-21 15:04 -------- d-----w- c:\programme\Microsoft WSE 2009-07-21 14:15 . 2005-12-17 17:59 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Miranda Fusion 2009-07-19 10:06 . 2009-07-19 10:06 -------- d-----w- c:\programme\MirandaFusion 2009-07-18 20:11 . 2008-08-15 12:35 -------- d-----w- c:\programme\ICQ6 2009-07-17 19:01 . 2005-12-18 01:29 58880 ----a-w- c:\windows\system32\atl.dll 2009-07-13 08:08 . 2005-12-18 01:29 286720 ----a-w- c:\windows\system32\wmpdxm.dll 2009-07-11 12:22 . 2009-03-06 05:59 -------- d-----w- c:\programme\AutoGK 2009-07-11 12:22 . 2007-10-12 15:52 -------- d-----w- c:\programme\Xvid 2009-07-11 12:22 . 2008-03-18 20:43 -------- d-----w- c:\programme\AviSynth 2.5 2009-07-11 09:47 . 2009-07-11 09:47 -------- d-----w- c:\programme\Lavalys 2009-07-06 20:44 . 2009-07-08 15:11 103424 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\pixomatic.dll 2009-07-06 20:44 . 2009-07-08 15:11 937984 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\PicLensHelper.exe 2009-07-06 20:44 . 2009-07-08 15:11 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\components\coolirisstub.dll 2009-07-06 20:44 . 2009-07-08 15:11 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll 2009-07-06 20:44 . 2009-07-08 15:11 4722688 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\cooliris19.dll 2009-07-06 20:44 . 2009-07-08 15:11 344064 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com\libs\LaunchCooliris.exe 2009-07-01 20:13 . 2008-04-14 14:34 -------- d-----w- c:\programme\Google 2009-07-01 19:54 . 2008-08-15 13:13 -------- d-----w- c:\programme\Miranda IM 2009-06-30 17:19 . 2009-07-03 16:03 106496 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Plugins\npcoolirisplugin.dll 2009-06-30 17:19 . 2009-07-03 16:03 65536 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\components\coolirisstub.dll 2009-06-30 17:19 . 2009-07-03 16:03 4734976 ----a-w- c:\dokumente und einstellungen\Galoris\Anwendungsdaten\Mozilla\Firefox\Profiles\2wm3orz4.default\extensions\piclens@cooliris.com-trash\libs\cooliris19.dll 2009-06-29 15:57 . 2009-06-29 15:57 -------- d-----w- c:\programme\Pacman 2005 2009-06-26 16:49 . 2005-12-18 01:29 672256 ------w- c:\windows\system32\wininet.dll 2009-06-26 16:49 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-06-16 14:36 . 2005-12-18 01:29 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-16 14:36 . 2005-12-18 01:29 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-15 10:43 . 2005-12-18 01:29 78848 ----a-w- c:\windows\system32\telnet.exe 2009-06-10 14:13 . 2005-12-18 01:29 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-06-10 07:19 . 2005-12-17 17:39 2066432 ----a-w- c:\windows\system32\mstscax.dll 2009-06-10 06:14 . 2005-12-18 01:29 132096 ----a-w- c:\windows\system32\wkssvc.dll 2009-06-03 19:09 . 2005-12-18 01:29 1296896 ----a-w- c:\windows\system32\quartz.dll 2005-12-18 12:59 . 2005-12-18 12:59 8 --sh--r- c:\windows\system32\400C4A95DD.sys 2008-03-23 10:38 . 2008-03-18 20:12 56 --sh--r- c:\windows\system32\67635072A1.sys 2008-03-23 10:38 . 2005-12-18 12:59 9188 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2009-08-22_19.43.28 ))))))))))))))))))))))))))))))))))))))))) . + 2005-12-18 01:29 . 2009-08-23 19:04 867128 c:\windows\system32\perfh009.dat + 2005-12-18 01:29 . 2009-08-23 19:04 234854 c:\windows\system32\perfc009.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Realtime Audio Engine"="mmrtkrnl.exe" - c:\windows\system32\mmrtkrnl.exe [2008-12-02 70144] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoChangeAnimation"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{93f261fc-7dce-4268-9edb-4c94f8afb899}"= "mscoree.dll" [2008-07-25 282112] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\fxsclnt.exe"= "c:\\Programme\\NetMeeting\\Conf.exe"= "c:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"= "c:\\WINDOWS\\system32\\dpnsvr.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MirandaFusion\\miranda32.exe"= "d:\\Programme\\Anno 1701\\Anno1701.exe"= R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe [06.08.2008 00:25 431384] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [17.12.2005 21:07 826752] S1 SSHDRV86;SSHDRV86;\??\c:\windows\system32\drivers\SSHDRV86.sys --> c:\windows\system32\drivers\SSHDRV86.sys [?] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.05.2007 09:34 264704] S3 pmxscan;USB Flatbed Scanner Driver;c:\windows\system32\drivers\usbscan.sys [19.02.2006 11:48 15104] S3 SaiH5F0D;SaiH5F0D;c:\windows\system32\drivers\SaiH5F0D.sys [18.05.2008 11:55 176640] S3 SaiU5F0D;SaiU5F0D;c:\windows\system32\drivers\SaiU5F0D.sys [18.05.2008 11:55 27264] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9C450606-ED24-4958-92BA-B8940C99D441}] c:\programme\PixiePack Codec Pack\InstallerHelper.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aldi.com/ uInternet Settings,ProxyOverride = fritz.box;192.168.178.1 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-23 21:27 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:b1,8a,3c,a5,76,42,5c,7c,5b,fe,af,d2,af,4a,7c,0c,14,af,ca,30,78,93,d0, 67,4e,5b,f4,e9,40,7f,2f,52,44,8e,96,63,ff,ff,19,fd,39,25,01,cd,05,1a,fa,11,\ "??"=hex:f4,5a,5c,e9,f4,6d,27,be,18,58,98,0c,89,35,b9,c8 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(832) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(888) c:\windows\system32\relog_ap.dll - - - - - - - > 'explorer.exe'(2596) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe c:\windows\system32\CTSVCCDA.EXE c:\programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\windows\system32\UAService7.exe c:\progra~1\COMMON~1\X10\Common\X10nets.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe c:\windows\system32\wbem\wmiadap.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-23 21:31 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-23 19:31 ComboFix2.txt 2009-08-23 18:59 ComboFix3.txt 2009-08-23 09:25 ComboFix4.txt 2009-08-22 20:28 Vor Suchlauf: 6.665.256.960 Bytes frei Nach Suchlauf: 6.624.038.912 Bytes frei 183 --- E O F --- 2009-08-21 13:22 |
23.08.2009, 20:37 | #23 |
| TR/crypt.ZPACK.Gen - Hilfe 1.) Start => Ausführen => combofix /u => OK 2.) http://www.trojaner-board.de/51871-a...tispyware.html 3.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.08.2009, 11:13 | #24 |
| TR/crypt.ZPACK.Gen - Hilfe 1): Combofix wurde deinstalliert 2):SUPERAntiSpyware Scann-Protokoll http://www.superantispyware.com Generiert 08/24/2009 bei 11:42 PM Version der Applikation : 4.27.1002 Version der Kern-Datenbank : 4069 Version der Spur-Datenbank : 2009 Scan Art : kompletter Scann Totale Scann-Zeit : 03:01:44 Gescannte Speicherelemente : 379 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 6784 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 259297 Erfasste Datei-Elemente : 0 3): ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-08-25 12:06:32 PROTECTIONS: 0 MALWARE: 2 SUSPECTS: 2 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Galoris\Cookies\galoris@tribalfusion[2].txt 02106838 Trj/Banbra.GIY Virus/Trojan No 1 Yes No C:\Dokumente und Einstellungen\Galoris\Eigene Dateien\Desktop\Programme\Security\Hopsassa.exe ;===================================================================================================================================================== ============================== SUSPECTS Sent Location 3; ;===================================================================================================================================================== ============================== No D:\DigitaleSchultasche\Programme\Gimp\App\gtk\bin\gspawn-win32-helper.exe 3; No H:\Programme\Gimp\App\GTK\BIN\gspawn-win32-helper.exe 3; ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description 3; ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== 4): PrevXCSI hat nichts gefunden |
25.08.2009, 15:04 | #25 |
| TR/crypt.ZPACK.Gen - Hilfe Deinstalliere:
Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten oder Meldungen? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.08.2009, 19:46 | #26 |
| TR/crypt.ZPACK.Gen - Hilfe Die zwei programme hab ich deinstalliert Soll ich SUPERAntiSpyware behalten? Kann ich Avenger einfach so löschen, oder brauchts da auch so ein Ausführungscode wie bei Combofix? Was hats mit dem Trojaner auf sich, den Panda gefunden hat? Soweit gehts meinem computer gut, woran sollte ich noch was ungewöhliches bemerken? g |
25.08.2009, 19:54 | #27 | ||||
| TR/crypt.ZPACK.Gen - HilfeZitat:
Zitat:
Zitat:
Zitat:
Du bist entlassen. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.08.2009, 20:07 | #28 |
| TR/crypt.ZPACK.Gen - Hilfe Der computer läuft zwar etwas schneller, liegt aber dann eher an der Tatsache, dass ich weniger AVPs habe^^ Also nochmals vielen vielen Dank für die Hilfe!!! Gruß Santuro |
25.08.2009, 20:20 | #29 |
| TR/crypt.ZPACK.Gen - Hilfe Jetzt hätte ich doch beinahe die Softwareliste übersehen. 1.) Deinstalliere:
3.) Poste ein aktuelles HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
25.08.2009, 20:56 | #30 |
| TR/crypt.ZPACK.Gen - Hilfe Logfile of random's system information tool 1.06 (written by random/random) Run by Galoris at 2009-08-25 21:55:25 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 11 GB (15%) free of 76 GB Total RAM: 1534 MB (69% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:55:42, on 25.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe C:\WINDOWS\system32\UAService7.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\mmrtkrnl.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Dokumente und Einstellungen\Galoris\Eigene Dateien\Desktop\Programme\Security\RSIT.exe C:\Programme\trend micro\Galoris.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: MedionShop - {3FD261A4-796F-4A71-91C1-705EFF6B8B29} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://.aldi.com/ O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h***://update.microsoft.com/w...?1134842576125 O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe O23 - Service: Seagate Scheduler2 Service (SgtSch2Svc) - Seagate - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - h***://80.190.202.79/pic/h/herzl/see10.jpg -- End of file - 6762 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-25 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-25 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Realtime Audio Engine"=mmrtkrnl.exe /i [] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-25 149280] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2008-10-29 143360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{93f261fc-7dce-4268-9edb-4c94f8afb899}"=C:\WINDOWS\system32\mscoree.dll [2008-07-25 282112] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "authentication packages"=msv1_0 relog_ap [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "MemCheckBoxInRunDlg"=1 "NoStrCmpLogical"=1 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoChangeAnimation"= "NoStrCmpLogical"= "HonorAutoRunSetting"= "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting" "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome" "C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*isabled:Microsoft DirectPlay8 Server" "C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\MirandaFusion\miranda32.exe"="C:\Programme\MirandaFusion\miranda32.exe:*:Enabled:Miranda Fusion" "D:\Programme\Anno 1701\Anno1701.exe"="D:\Programme\Anno 1701\Anno1701.exe:*isabled:Anno 1701" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:enabled:Windows Messenger" "C:\Programme\MSN Messenger\msnmsgr.exe"="C:\Programme\MSN Messenger\msnmsgr.exe:*:enabled:MSN Messenger" "C:\Programme\AOL 9.0\AOL.exe"="C:\Programme\AOL 9.0\AOL.exe:*:enabled:AOL 9.0" "C:\Programme\AOL 9.0\WAOL.exe"="C:\Programme\AOL 9.0\WAOL.exe:*:enabled:AOL 9.0" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\WINDOWS\system32\fxsclnt.exe"="C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "C:\Programme\CA\eTrust Antivirus\Realmon.exe"="C:\Programme\CA\eTrust Antivirus\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "C:\Programme\CA\eTrust Antivirus\InoRpc.exe"="C:\Programme\CA\eTrust Antivirus\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\Programme\NetMeeting\Conf.exe"="C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting" "C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe"="C:\Programme\Ahead\Nero MediaHome\NeroMediaHome.exe:*:enabled:Nero MediaHome" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I] shell\AutoRun\command - I:\pushinst.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe8b31bc-ff91-11db-80c2-0013d3f8fef9}] shell\AutoRun\command - I:\pushinst.exe ======List of files/folders created in the last 1 months====== 2009-08-25 21:55:25 ----D---- C:\rsit 2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\javaws.exe 2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\javaw.exe 2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\java.exe 2009-08-25 21:51:28 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-08-25 21:43:37 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Foxit 2009-08-25 21:43:20 ----D---- C:\Programme\Foxit Software 2009-08-25 21:27:19 ----SHD---- C:\Config.Msi 2009-08-25 20:43:02 ----D---- C:\Programme\Avira 2009-08-25 20:43:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2009-08-25 12:53:36 ----SHD---- C:\RECYCLER 2009-08-25 10:00:58 ----D---- C:\Programme\Panda Security 2009-08-24 20:25:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-08-24 20:25:05 ----D---- C:\Programme\SUPERAntiSpyware 2009-08-24 20:25:05 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\SUPERAntiSpyware.com 2009-08-24 20:03:29 ----SD---- C:\cofi 2009-08-23 22:39:50 ----A---- C:\WINDOWS\imsins.BAK 2009-08-23 22:39:47 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$ 2009-08-23 21:31:42 ----A---- C:\ComboFix.txt 2009-08-23 21:25:55 ----D---- C:\WINDOWS\temp 2009-08-23 20:59:33 ----A---- C:\WINDOWS\system32\PerfStringBackup.TMP 2009-08-22 21:26:56 ----A---- C:\Boot.bak 2009-08-22 21:26:48 ----RASHD---- C:\cmdcons 2009-08-22 21:08:13 ----D---- C:\WINDOWS\ERDNT 2009-08-22 17:12:36 ----D---- C:\Programme\trend micro 2009-08-22 12:45:12 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Malwarebytes 2009-08-22 12:44:57 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-22 12:44:56 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-08-21 15:21:40 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$ 2009-08-21 08:43:41 ----D---- C:\Programme\CCleaner 2009-08-13 22:09:52 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$ 2009-08-13 22:09:40 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$ 2009-08-13 22:09:29 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$ 2009-08-13 22:09:16 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$ 2009-08-13 22:09:05 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$ 2009-08-13 22:08:53 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$ 2009-08-13 22:08:41 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$ 2009-08-13 22:08:26 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$ 2009-08-13 22:04:55 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$ 2009-07-29 15:57:33 ----HDC---- C:\WINDOWS\$NtUninstallKB972260$ 2009-07-28 16:52:15 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ ======List of files/folders modified in the last 1 months====== 2009-08-25 21:53:28 ----RD---- C:\Programme 2009-08-25 21:51:37 ----SHD---- C:\WINDOWS\Installer 2009-08-25 21:51:29 ----D---- C:\WINDOWS\system32 2009-08-25 21:51:11 ----D---- C:\Programme\Java 2009-08-25 21:48:18 ----D---- C:\Programme\Mozilla Firefox 2009-08-25 21:47:57 ----D---- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2009-08-25 21:46:16 ----D---- C:\WINDOWS\system32\CatRoot2 2009-08-25 21:45:57 ----A---- C:\WINDOWS\ModemLog_Standard 33600 bps Modem.txt 2009-08-25 21:43:37 ----D---- C:\Programme\Mozilla Thunderbird 2009-08-25 21:37:22 ----D---- C:\WINDOWS 2009-08-25 21:29:00 ----D---- C:\WINDOWS\WinSxS 2009-08-25 21:27:41 ----D---- C:\Programme\Adobe 2009-08-25 21:27:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2009-08-25 21:27:34 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-08-25 20:43:09 ----HD---- C:\WINDOWS\inf 2009-08-25 20:43:09 ----D---- C:\WINDOWS\system32\drivers 2009-08-25 12:07:38 ----A---- C:\WINDOWS\WININIT.INI 2009-08-25 09:50:40 ----SHD---- C:\System Volume Information 2009-08-25 09:50:40 ----D---- C:\WINDOWS\system32\Restore 2009-08-23 22:39:49 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-08-23 21:27:57 ----A---- C:\WINDOWS\system.ini 2009-08-23 21:26:10 ----D---- C:\WINDOWS\system32\config 2009-08-23 21:25:00 ----D---- C:\WINDOWS\AppPatch 2009-08-23 21:24:58 ----D---- C:\Programme\Gemeinsame Dateien 2009-08-23 20:53:44 ----SD---- C:\WINDOWS\Tasks 2009-08-23 20:51:29 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI 2009-08-23 20:41:25 ----AD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2009-08-23 20:16:23 ----DC---- C:\WINDOWS\system32\DRVSTORE 2009-08-22 21:52:11 ----D---- C:\WINDOWS\Minidump 2009-08-22 21:26:57 ----RASH---- C:\boot.ini 2009-08-22 12:08:22 ----D---- C:\WINDOWS\Debug 2009-08-21 15:21:58 ----D---- C:\WINDOWS\system32\CatRoot 2009-08-21 10:35:15 ----D---- C:\WINDOWS\Microsoft.NET 2009-08-21 10:34:34 ----RSD---- C:\WINDOWS\assembly 2009-08-20 22:58:19 ----D---- C:\WINDOWS\system32\XPSViewer 2009-08-20 22:58:16 ----D---- C:\WINDOWS\system32\en-us 2009-08-20 22:58:10 ----RSD---- C:\WINDOWS\Fonts 2009-08-19 10:51:18 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-08-17 11:50:20 ----HD---- C:\WINDOWS\$hf_mig$ 2009-08-13 22:08:43 ----D---- C:\Programme\Outlook Express 2009-08-07 21:09:31 ----A---- C:\WINDOWS\IWB.INI 2009-08-05 10:59:36 ----A---- C:\WINDOWS\system32\mswebdvd.dll 2009-08-01 22:37:11 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\Adobe 2009-07-31 18:05:04 ----D---- C:\Programme\Bengal 2009-07-31 11:46:32 ----A---- C:\WINDOWS\cdplayer.ini 2009-07-30 02:49:14 ----A---- C:\WINDOWS\system32\MRT.exe 2009-07-28 16:52:19 ----D---- C:\WINDOWS\system32\FxsTmp 2009-07-26 22:17:05 ----D---- C:\Dokumente und Einstellungen\Galoris\Anwendungsdaten\ChessBase 2009-07-26 22:03:42 ----A---- C:\WINDOWS\ChssBase.ini Geändert von Santuro (25.08.2009 um 21:09 Uhr) |
Themen zu TR/crypt.ZPACK.Gen - Hilfe |
.dll, 0 bytes, antivir, avg, avgnt.exe, computer, desktop, einstellung, externe festplatte, fehler, festplatte, infiziert., laufwerksbuchstabe, logon.exe, lsass.exe, löschen, maßnahme, microsoft, modul, nt.dll, problem, programme, prozesse, recover, registry, services.exe, suchlauf, svchost.exe, trojaner, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe |