| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen und eventuell noch mehr...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.10.2009, 14:06
| #1 |
 |  TR/Crypt.ZPACK.Gen und eventuell noch mehr... Hallo, bin sehr froh, dass ich dieses Board entdeckt habe. Wirklich sehr hilfreich! Habe schon mehrere Threads zu diesem Trojaner durchgearbeitet und bin zu dem Schluss gekommen, dass da nur individuelle Hilfe nützt. Mein Hauptproblem ist, dass der Trojaner und auch andere Viren (siehe Anti-Malware-Bericht) nichtnur meinen PC, sondern auch den Laptop (TR/Crypt.ZPACK.Gen ist garantiert drauf) infiziert haben und ich allles säubern muss. Da sich das Teil nur über eine meiner externen Festplatten oder den USB-Stick verbreitet haben kann, müssen wohl auch die 3 überprüft werden... Ich habe gestern einfach mal HijackThis und Anti-Malware über den PC laufen lassen um einen Anfang zu machen. Hier sind die Berichte: HijackThis (vor dem Malware-Scan): Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:04:55, on 10.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre6\bin\javaw.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1FE2280B-88B1-4E54-83C2-FA823BDEB687} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/02/clip_image001.jpg -- End of file - 6857 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2938
Windows 5.1.2600 Service Pack 3
10.10.2009 22:47:10
mbam-log-2009-10-10 (22-47-10).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 213805
Laufzeit: 1 hour(s), 46 minute(s), 13 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{00000162-9980-0010-8000-00aa00389b71} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\QUAD Registry Cleaner v2 (Adware.QUADRegClean) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@anti-leech.com/anti-leech plugin,version=1.0.2.3 (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\Mozilla Firefox\plugins\alhlp.exe (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\plugins\npalnn.dll (Trojan.AntiLeechPlugin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmd.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ping.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.
Code:
ATTFilter ATI Control Panel
Microsoft Office XP Professional
CDex extraction audio
micrografx Designer 7
micrografx Flowcharter 7
micrografx Graphics Suite 2 Enterprise
micrografx Simply 3D 2
micrografx Picture Publisher 7
ATI Catalyst Control Center
Realplayer
VideoLAN VLC media player 0.8.6a
Windows Media Player 11
Winamp
RUBIcon
MAGIX Music Cleaning Lab 2006 (D)
Sony Ericsson PC Suite
Autodesk Student Community Download Tool
Spybot - Search & Destroy
Adobe Reader 7.1.0 - Deutsch
ICQ6.5
Microsoft .NET Framework 2.0 Laguage Pack - DEU
Microsoft .NET Framework 3.0 German Language Pack
Windows Internet Explorer 8
DivX Web Player
Microsoft .NET Framework 3.5 SP1
Avira Antivir Personal - Free Antivirus
Mozilla Firefox (3.0.14)
Malwarebytes' Anti-Malware
uTorrent
CCleaner
HijackThis 2.0.2
VobSub v2.23
Xvid 1.2.2 final
Adobe Flash Player 10 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player 9 ActiveX
ATI - Software Uninstall Utility
ATI Display Driver
J2SE Runtime Environment 5.0 Update 1
Java(TM) 6 Update 15
Marvell Miniport Driver
Micrografx QuickV
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable -x86 9.0.30729.17
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
SCR33xx USB Smartcard Reader
Steam(TM)
Windows Media Format 11 runtime
Windiws XP Service Pack 3
WinRaR Archivierer
|
|
11.10.2009, 20:16
| #2 | |
| /// Helfer-Team    | TR/Crypt.ZPACK.Gen und eventuell noch mehr... Hallo und Herzlich Willkommen!
__________________ Zitat:
Das heißt, solltest die zwei Computer bzw PC + Laptop, voneinander trennen, unabhängig prüfen und säubern lassen. Die gepostete Ergebnisse stammen hier v. dein PC oder Laptop? Gruß Coverflow |
|
12.10.2009, 11:06
| #3 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... Hi, die Logs gehören zu meinen normalen PC, wobei dazu zu sagen ist, dass der Rechner nurnoch bis Januar benutzt wird und ich den daher nicht unbedingt aufwendig säubern muss.
__________________Den Laptop würde ich nur sehr ungern neu einrichten, da es ein Dell ist und das dann bedingt durch das Windows XP nur über den erweiterten Kundenservice laufen würde. (da XP auch schon 2007 nichtmehr mit einem Laptop ausgeliefert werden durfte usw...) Außerdem sind dort Programme installiert, die ich zum täglichen arbeiten benötige. Dort ist allerdings sicher der im Titel genannte Trojaner drauf. Meine beiden externen Festplatten sind leider auch voll mit Daten, die ich nur sehr zeitaufwendig rekonstruierbar wären. (Weiß hier auch garnicht, ob es bei externen Festplatten besonderheiten für die Säuberung gibt.) also kurz und bündig: 1. Desktop-PC ist relativ egal, solange ein wissendes Auge mir zumindest bestätigen kann, dass in den nächsten 3 Monaten keine kritischen Probleme auftreten werden. 2. Laptop und 2 externe Festplatten würde ich gerne säubern, wenn sich jemand bereit erklären würde mir zur Seite zu stehen. Vielen Dank jazzgun |
|
13.10.2009, 11:31
| #4 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... Habe dann schonmal HijackThis über den Laptop laufen lassen (nur den Scan): Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:20:50, on 13.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Dell Support Center\bin\sprtsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\OEM02Mon.exe C:\WINDOWS\stsystra.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\KADxMain.exe C:\Programme\Dell\MediaDirect\PCMService.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Dell Support Center\bin\sprtcmd.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DellSupport\DSAgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Skype\Toolbars\Shared\SkypeNames.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.google.de/hws/sb/dell-row/de/side.html?channel=de R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=3071018 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - (no file) O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Dell\BAE\BAE.dll O4 - HKLM\..\Run: [OEM02Mon.exe] C:\WINDOWS\OEM02Mon.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe" O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [dscactivate] "C:\Programme\Dell Support Center\gs_agent\custom\dsca.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [dellsupportcenter] "C:\Programme\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DellSupport] "C:\Programme\DellSupport\DSAgnt.exe" /startup O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [cdoosoft] C:\DOKUME~1\Googol\LOKALE~1\Temp\herss.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: PMB Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = C:\Programme\Digital Line Detect\DLG.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DSBrokerService - Unknown owner - C:\Programme\DellSupport\brkrsvc.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) - SupportSoft, Inc. - C:\Programme\Dell Support Center\bin\sprtsvc.exe O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Googol/LOKALE~1/Temp/msohtmlclip1/01/clip_image002.jpg -- End of file - 11281 bytes |
|
13.10.2009, 12:07
| #5 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... zu 1. bestätigen kann dir das niemand. du hast u torrent installiert, kann natürlich gut sein das du was gezogen hast was du besser gelassen hättest geholfen werden kann dir hier natürlich, aber wie coverflow schon sagt, einen erfolg kann niemand garantieren. Ich persönlich würde bei hartnäckiger malware immer das sytem neu aufsetzen. das kostet zeit, aber in der zeit zwischen gestern und heute hättest du schon ein neues system  hast du kein image und backup? |
|
13.10.2009, 12:58
| #6 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... hi ChaosPC, also der Desktop-PC ist nicht wirklich wichtig (keine wichtigen Daten oder sonst was drauf)... der soll halt nurnoch bis Januar laufen und wird dann verschrottet. (nach immerhin 5,5 Jahren) Da ist mir das zusammensuchen der Software und einrichten/updaten von Windows für nen bisschen surfen im Netz etc. einfach zu aufwendig. Mein Hauptproblem ist eben der Laptop, den ich selber einfach nicht neu machen kann dank der Microsoft Firmenpolitik... |
|
13.10.2009, 21:50
| #7 | |
| /// Helfer-Team | TR/Crypt.ZPACK.Gen und eventuell noch mehr... hi na Ok, dann fangen wir an: - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4.
5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
6. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\DOKUME~1\Googol\LOKALE~1\Temp\herss.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): ** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG! Geändert von kira (13.10.2009 um 21:56 Uhr) |
|
14.10.2009, 14:20
| #8 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... Hallo, vielen Dank für die ausführliche Anleitung. Leider ist direkt zu Anfang ein Problem aufgetreten... ich kann "alle Dateien und Ordner anzeigen" nicht anwählen: kann den Punkt im entsprechenden Menu setzen und "übernehmen", aber es ändert sich nichts und wenn ich das Menu wieder aufrufe ist die Einstellung auch wieder zurückgesetzt. ein weiteres Detail, das heute aufgetreten ist: wenn ich auf die Festplatte per "Windows Arbeitsplatz" zugreifen will, werde ich gefragt mit welchem Programm ich die Datei öffnen möchte. Über der Windows Explorer kann ich allerdings ganz normal auf die Festplatte zugreifen. (bevor sich der Arbeitsplatz überhaupt öffnet kommt auch die Antivir Meldung über den Trojaner) mfg jazzgun |
|
14.10.2009, 14:34
| #9 |
| /// Helfer-Team | TR/Crypt.ZPACK.Gen und eventuell noch mehr... mache bitte einfach mal mit Punkt 2. weiter |
|
15.10.2009, 18:06
| #10 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... Hallo, bin leider etwas im Stress, werde die Liste wohl erst morgen abarbeiten können... hier ist schonmal der Anfang: zu 2. Code:
ATTFilter ----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\
15.10.2009 19:00 43 filelist.txt
15.10.2009 18:34 2.145.579.008 hiberfil.sys
15.10.2009 18:34 2.145.386.496 pagefile.sys
10.10.2009 12:41 2.360 autorun.PNF
10.10.2009 10:42 63 autorun.inf
08.10.2009 14:45 117.945 r2g20.exe
06.10.2009 17:15 117.625 f9o8o.exe
06.10.2009 09:34 118.651 ctu8r.exe
05.10.2009 15:05 117.453 sp1jensi.exe
03.10.2009 17:25 118.853 t2hjo0.exe
02.10.2009 15:45 118.853 cqb6wo.exe
02.10.2009 15:45 118.853 bycfht.exe
02.10.2009 15:45 118.853 incwf.bat
02.10.2009 15:45 118.853 ucivd6xi.bat
19.09.2009 14:32 116.114 wrsf.exe
18.09.2009 18:34 116.114 lhh3v.exe
18.09.2009 18:34 116.114 o8tf6l.exe
18.09.2009 18:34 116.114 mjafm.exe
13.09.2009 17:52 115.485 qcoageh.exe
13.09.2009 15:45 115.742 ph.exe
10.09.2009 10:38 116.029 dogyx90.exe
08.09.2009 19:36 116.142 10nb.exe
08.09.2009 19:21 116.142 cj3k.exe
04.09.2009 11:08 112.699 o9bxu.exe
04.09.2009 10:53 112.699 frg89pi.bat
27.08.2009 10:47 113.233 hx.exe
19.08.2009 08:59 106.383 lcw.exe
15.08.2009 17:03 104.802 m1eqos3.exe
12.08.2009 11:42 106.749 9u.exe
11.08.2009 14:30 106.711 wbj.exe
09.08.2009 14:05 107.691 ktly.exe
05.08.2009 11:34 106.110 22yj2fy1.exe
02.08.2009 23:41 107.841 mqhnawe.bat
02.08.2009 23:41 107.841 ukfbi3aw.exe
01.08.2009 11:28 107.994 6rxt26.exe
31.07.2009 10:59 107.843 rx.exe
29.07.2009 18:19 108.530 mb9x.exe
29.07.2009 14:26 211 boot.ini
27.07.2009 08:47 108.548 u0riu2.exe
26.07.2009 18:08 108.204 hm1bfpuj.exe
21.07.2009 14:48 108.497 cv8j.exe
11.07.2009 12:01 105.986 q1alx.exe
06.07.2009 15:15 111.475 aphqg.exe
26.06.2009 10:56 107.097 s.exe
24.06.2009 10:57 106.448 8paf1d.com
16.06.2009 09:07 108.006 8rcahp.exe
03.02.2009 19:19 251.712 ntldr
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\WINDOWS
15.10.2009 18:36 1.168.963 WindowsUpdate.log
15.10.2009 18:34 0 0.log
15.10.2009 18:34 4.200 ModemLog_Conexant HDA D330 MDC V.92 Modem.txt
15.10.2009 18:34 159 wiadebug.log
15.10.2009 18:34 50 wiaservc.log
15.10.2009 18:34 2.048 bootstat.dat
14.10.2009 19:23 32.630 SchedLgU.Txt
10.10.2009 16:21 654.540 setupapi.log
08.09.2009 19:39 1.132.887 iis6.log
08.09.2009 19:39 280.904 comsetup.log
08.09.2009 19:39 45.425 ocmsn.log
08.09.2009 19:39 1.355 imsins.log
08.09.2009 19:39 171.132 ntdtcsetup.log
08.09.2009 19:39 46.856 tabletoc.log
08.09.2009 19:39 439.056 tsoc.log
08.09.2009 19:39 5.941 KB968816.log
08.09.2009 19:39 477.163 ocgen.log
08.09.2009 19:39 67.092 MedCtrOC.log
08.09.2009 19:39 163.816 netfxocm.log
08.09.2009 19:39 47.359 msgsocm.log
08.09.2009 19:39 949.163 FaxSetup.log
08.09.2009 19:39 309.602 msmqinst.log
08.09.2009 19:39 1.355 imsins.BAK
08.09.2009 19:39 5.454 KB961118.log
08.09.2009 19:39 7.156 KB956844.log
08.09.2009 19:39 7.560 KB971961.log
08.09.2009 19:20 77.934 spupdsvc.log
04.09.2009 18:45 167.375 updspapi.log
27.08.2009 10:23 3.964 KB970653-v3.log
12.08.2009 23:38 16.443 KB960859.log
12.08.2009 23:38 16.382 KB971657.log
12.08.2009 23:38 15.979 KB971557.log
12.08.2009 23:38 11.232 KB956744.log
12.08.2009 23:38 10.843 KB973869.log
12.08.2009 23:38 16.298 KB973507.log
12.08.2009 23:38 10.432 KB973354.log
12.08.2009 23:38 9.399 KB973540.log
12.08.2009 23:38 22.003 wmsetup.log
12.08.2009 23:36 16.129 KB973815.log
12.08.2009 23:36 17.987 KB968389.log
29.07.2009 15:02 16.446 KB972260.log
29.07.2009 14:26 738 win.ini
29.07.2009 14:26 227 system.ini
19.07.2009 23:40 6.918 KB973346.log
19.07.2009 23:40 12.293 KB971633.log
19.07.2009 23:38 12.729 KB961371.log
07.07.2009 09:37 352 spupdsvc.log.1.log
06.07.2009 15:05 18.208 WgaNotify.log
23.06.2009 22:43 15.911 KB961501.log
23.06.2009 22:43 16.931 KB969897.log
23.06.2009 22:43 7.980 KB969898.log
23.06.2009 22:42 13.662 KB970238.log
23.06.2009 22:41 13.319 KB968537.log
05.06.2009 18:48 392.909 DirectX.log
12.05.2009 10:20 4.510 setupact.log
27.04.2009 17:54 21.696 KB959426.log
27.04.2009 17:54 20.373 KB961373.log
27.04.2009 17:53 18.325 KB956572.log
27.04.2009 17:52 18.040 KB952004.log
27.04.2009 17:52 16.514 KB960803.log
27.04.2009 17:52 17.222 KB963027.log
27.04.2009 17:52 9.817 KB923561.log
28.03.2009 21:31 13.148 KB960225.log
28.03.2009 21:31 5.318 KB938464-v2.log
28.03.2009 21:31 13.129 KB958690.log
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\WINDOWS\system32
15.10.2009 18:34 236.466 NvApps.xml
15.10.2009 18:34 31.966 nvModes.001
15.10.2009 18:34 2.206 wpa.dbl
10.10.2009 14:12 56 ezsidmv.dat
08.09.2009 19:41 118 MRT.INI
08.09.2009 19:19 398.344 FNTCACHE.DAT
04.09.2009 18:49 442.800 perfh009.dat
04.09.2009 18:49 1.030.520 PerfStringBackup.INI
04.09.2009 18:49 72.066 perfc009.dat
04.09.2009 18:49 85.594 perfc007.dat
04.09.2009 18:49 460.908 perfh007.dat
28.08.2009 23:38 24.689.600 MRT.exe
27.08.2009 10:23 613.808 TZLog.log
21.08.2009 13:17 485.920 NVUNINST.EXE
19.08.2009 15:41 219.680 nvwrsja.dll
19.08.2009 15:41 301.600 nvwrspl.dll
19.08.2009 15:41 326.176 nvwrsptb.dll
19.08.2009 15:41 322.080 nvwrsru.dll
19.08.2009 15:41 330.272 nvwrsit.dll
19.08.2009 15:41 170.528 nvwrszhc.dll
19.08.2009 15:41 203.296 nvwrsko.dll
19.08.2009 15:41 174.624 nvwrszht.dll
19.08.2009 15:41 334.368 nvwrsfr.dll
19.08.2009 15:41 334.368 nvwrsesm.dll
19.08.2009 15:41 342.560 nvwrses.dll
19.08.2009 15:41 317.984 nvwrsde.dll
19.08.2009 15:41 1.657.376 nwiz.exe
19.08.2009 15:41 473.632 nvshell.dll
19.08.2009 15:41 73.728 nvtuicpl.cpl
19.08.2009 15:41 1.108.512 nvwimg.dll
19.08.2009 15:41 1.731.104 nvwdmcpl.dll
19.08.2009 15:41 436.768 keystone.exe
19.08.2009 15:41 1.514.016 nview.dll
19.08.2009 15:41 449.056 nvappbar.exe
19.08.2009 15:41 1.194.528 nvcplui.exe
19.08.2009 15:41 1.505.824 nvcpluir.dll
19.08.2009 15:41 420.384 nvcpl.cpl
19.08.2009 15:41 29.892 cad.tvp
19.08.2009 15:41 33.032 finance.tvp
19.08.2009 15:41 31.186 dcc.tvp
19.08.2009 15:41 53.768 default.tvp
19.08.2009 15:41 253.952 nvrspl.dll
19.08.2009 15:41 266.240 nvrsru.dll
19.08.2009 15:41 122.880 nvrszht.dll
19.08.2009 15:41 229.376 nvrszhc.dll
19.08.2009 15:41 266.240 nvrsptb.dll
19.08.2009 15:41 262.144 nvrsko.dll
19.08.2009 15:41 270.336 nvrsja.dll
19.08.2009 15:41 278.528 nvrsde.dll
19.08.2009 15:41 282.624 nvrsfr.dll
19.08.2009 15:41 278.528 nvrsit.dll
19.08.2009 15:41 282.624 nvrses.dll
19.08.2009 15:41 274.432 nvrsesm.dll
19.08.2009 15:41 81.920 nvwddi.dll
19.08.2009 15:41 86.016 nvhotkey.dll
19.08.2009 15:41 3.612.672 nvwssr.dll
19.08.2009 15:41 3.121.152 nvwss.dll
19.08.2009 15:41 4.460.544 nvvitvsr.dll
19.08.2009 15:41 4.038.656 nvvitvs.dll
19.08.2009 15:41 2.854.912 nvmoblsr.dll
19.08.2009 15:40 1.282.048 nvmobls.dll
19.08.2009 15:40 458.752 nvmccssr.dll
19.08.2009 15:40 188.416 nvmccss.dll
19.08.2009 15:40 4.407.296 nvgamesr.dll
19.08.2009 15:40 3.510.272 nvgames.dll
19.08.2009 15:40 6.074.368 nvdispsr.dll
19.08.2009 15:40 4.018.176 nvdisps.dll
19.08.2009 15:40 168.004 nvsvc32.exe
19.08.2009 15:40 143.360 nvcolor.exe
19.08.2009 15:40 67.083 NvwsApps.xml
19.08.2009 15:40 86.016 nvmctray.dll
19.08.2009 15:40 229.376 nvmccs.dll
19.08.2009 15:40 13.762.560 nvcpl.dll
19.08.2009 13:35 19.495 nvdisp.nvu
19.08.2009 13:35 678.432 nvcuvid.dll
19.08.2009 13:35 1.317.408 nvcuvenc.dll
19.08.2009 13:35 1.757.184 nvcuda.dll
19.08.2009 13:35 485.920 nvudisp.exe
19.08.2009 13:35 10.039.296 nvoglnt.dll
19.08.2009 13:35 155.648 nvcodins.dll
19.08.2009 13:35 155.648 nvcod.dll
19.08.2009 13:35 815.104 nvapi.dll
19.08.2009 13:35 5.957.120 nv4_disp.dll
19.08.2009 13:35 1.580.550 nvdata.bin
13.08.2009 17:15 512.000 jscript.dll
06.08.2009 19:24 327.896 wucltui.dll
06.08.2009 19:24 209.632 wuweb.dll
06.08.2009 19:24 18.144 wuaueng.dll.mui
06.08.2009 19:24 15.584 wuapi.dll.mui
06.08.2009 19:24 35.552 wups.dll
06.08.2009 19:24 44.768 wups2.dll
06.08.2009 19:24 217.816 wuaucpl.cpl
06.08.2009 19:24 53.472 wuauclt.exe
06.08.2009 19:24 15.584 wuaucpl.cpl.mui
06.08.2009 19:24 96.480 cdm.dll
06.08.2009 19:24 23.264 wucltui.dll.mui
06.08.2009 19:23 575.704 wuapi.dll
06.08.2009 19:23 1.929.952 wuaueng.dll
05.08.2009 10:59 206.336 mswebdvd.dll
04.08.2009 11:13 27.430 nvModes.dat
18.07.2009 18:03 1.509.888 shdocvw.dll
18.07.2009 18:03 3.090.432 mshtml.dll
17.07.2009 21:01 58.880 atl.dll
14.07.2009 13:03 46.080 tzchange.exe
12.07.2009 12:21 233.472 wmpdxm.dll
12.07.2009 12:21 4.874.240 wmp.dll
09.07.2009 12:16 2.060.288 usbaaplrc.dll
06.07.2009 14:59 103.936 nmdfgds0.dll
26.06.2009 18:49 672.256 wininet.dll
26.06.2009 18:49 621.056 urlmon.dll
26.06.2009 18:49 81.920 ieencode.dll
26.06.2009 18:36 371.200 html.iec
26.06.2009 10:56 103.936 nmdfgds1.dll
26.06.2009 10:56 107.097 olhrwef.exe
25.06.2009 10:25 54.272 wdigest.dll
25.06.2009 10:25 737.792 lsasrv.dll
25.06.2009 10:25 136.192 msv1_0.dll
25.06.2009 10:25 56.832 secur32.dll
25.06.2009 10:25 147.456 schannel.dll
25.06.2009 10:25 301.568 kerberos.dll
16.06.2009 16:36 81.920 fontsub.dll
16.06.2009 16:36 119.808 t2embed.dll
15.06.2009 12:43 78.848 telnet.exe
15.06.2009 12:43 82.944 tlntsess.exe
10.06.2009 16:13 85.504 avifil32.dll
10.06.2009 09:19 2.066.432 mstscax.dll
10.06.2009 08:14 132.096 wkssvc.dll
03.06.2009 21:09 1.296.896 quartz.dll
26.05.2009 17:18 57.344 QuickTime.qts
26.05.2009 17:18 90.112 QuickTimeVR.qtx
20.05.2009 12:24 2.373.504 WMVCore.dll
15.05.2009 11:05 47.104 KMVIDC32.DLL
07.05.2009 17:32 348.160 localspl.dll
28.04.2009 09:55 70.936 PhysXLoader.dll
19.04.2009 21:46 1.847.296 win32k.sys
15.04.2009 16:51 585.216 rpcrt4.dll
07.04.2009 10:50 288.024 PhysXCompatCplUI.exe
07.04.2009 10:50 288.024 PhysXCplUI.exe
07.04.2009 10:50 214.296 PhysX.cpl
07.04.2009 02:29 129.784 PxAFS.DLL
07.04.2009 02:29 187.128 PxMas.dll
07.04.2009 02:29 1.628.920 PxSFS.DLL
07.04.2009 02:29 551.672 Px.dll
07.04.2009 02:29 518.904 pxdrv.dll
07.04.2009 02:29 379.640 PxWave.dll
21.03.2009 16:06 1.063.424 kernel32.dll
10.03.2009 22:18 970.632 WgaTray.exe
10.03.2009 22:18 1.482.112 LegitCheckControl.dll
10.03.2009 22:18 265.096 SET3E.tmp
06.03.2009 16:19 286.720 pdh.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\WINDOWS\Prefetch
15.10.2009 19:00 11.092 FIND.EXE-0EEAD1A7.pf
15.10.2009 19:00 12.378 CMD.EXE-034B0549.pf
15.10.2009 19:00 36.320 WINRAR.EXE-1A0EFB18.pf
15.10.2009 18:59 63.960 SKYPENAMES.EXE-088A9115.pf
15.10.2009 18:59 99.372 FIREFOX.EXE-28BE8AE1.pf
15.10.2009 18:59 10.390 VERCLSID.EXE-28F52AD2.pf
15.10.2009 18:59 15.648 GUARDGUI.EXE-1FA25B88.pf
15.10.2009 18:55 34.020 AVWSC.EXE-1742FD55.pf
15.10.2009 18:54 23.626 WMIPRVSE.EXE-0D449B4F.pf
15.10.2009 18:36 74.574 THUNDERBIRD.EXE-05833C98.pf
15.10.2009 18:36 28.230 RUNDLL32.EXE-3AFF7B1E.pf
15.10.2009 18:36 36.536 SKYPEPM.EXE-1D416A14.pf
15.10.2009 18:36 44.092 WUAUCLT.EXE-1360D60A.pf
15.10.2009 18:35 30.234 WMIAPSRV.EXE-02740A4B.pf
15.10.2009 18:35 31.754 WSCRIPT.EXE-0C5C5251.pf
15.10.2009 18:35 14.300 SVCHOST.EXE-2D5FBD18.pf
15.10.2009 18:35 61.732 DSC.EXE-2BAB1808.pf
15.10.2009 18:35 27.280 BTSTAC~1.EXE-3169C1A9.pf
15.10.2009 18:35 53.796 DOT1XCFG.EXE-1D3BE19B.pf
15.10.2009 18:35 26.400 NPSWF32_FLASHUTIL.EXE-36FEAB12.pf
15.10.2009 18:35 26.150 BTTRAY.EXE-1B30F52D.pf
15.10.2009 18:35 14.130 IPODSERVICE.EXE-07892C80.pf
15.10.2009 18:35 13.140 DLG.EXE-2B1154B0.pf
15.10.2009 18:35 13.824 SPUVOLUMEWATCHER.EXE-0B66AD2A.pf
15.10.2009 18:35 51.654 SKYPE.EXE-0D322358.pf
15.10.2009 18:35 27.848 DSAGNT.EXE-31D8CE82.pf
15.10.2009 18:35 11.376 RUNDLL32.EXE-5841AB92.pf
15.10.2009 18:35 71.790 DSCA.EXE-2B0BF0D2.pf
15.10.2009 18:35 14.798 FPASSIST.EXE-0FA62707.pf
15.10.2009 18:35 12.218 ITUNESHELPER.EXE-1CC2818B.pf
15.10.2009 18:35 30.722 RUNDLL32.EXE-3CAE7316.pf
15.10.2009 18:35 19.244 AGENT.EXE-20725709.pf
15.10.2009 18:35 72.574 AVGNT.EXE-0B50EBC8.pf
15.10.2009 18:35 25.588 RUNDLL32.EXE-6ACD0C83.pf
15.10.2009 18:35 11.706 NWIZ.EXE-2D374245.pf
15.10.2009 18:35 17.328 KHALMNPR.EXE-39603A2C.pf
15.10.2009 18:35 8.758 QTTASK.EXE-0C419446.pf
15.10.2009 18:35 1.011.262 NTOSBOOT-B00DFAAD.pf
14.10.2009 19:23 24.564 LOGONUI.EXE-312BE1BF.pf
14.10.2009 19:23 4.962 WSCNTFY.EXE-0B14C27D.pf
14.10.2009 19:14 8.274 LOGON.SCR-24ADF392.pf
14.10.2009 18:16 66.928 KEEPASS.EXE-0347A4A6.pf
14.10.2009 18:09 29.562 RUNDLL32.EXE-4068656E.pf
14.10.2009 17:08 336.706 Layout.ini
14.10.2009 16:04 61.054 MSIEXEC.EXE-330626DC.pf
14.10.2009 16:04 29.044 DSCPATCH_2_2_09085_2.0.EXE-1439C612.pf
14.10.2009 16:01 12.954 SPRTCMD.EXE-3033C3E4.pf
14.10.2009 15:50 40.982 WIFILOCATOR.EXE-2854193E.pf
14.10.2009 15:50 74.100 PCMSERVICE.EXE-207406AE.pf
14.10.2009 15:12 22.712 RUNDLL32.EXE-52F69C22.pf
14.10.2009 15:12 14.254 CTFMON.EXE-05E57A5E.pf
14.10.2009 15:06 11.876 TEATIMER.EXE-08FD41B0.pf
14.10.2009 15:06 84.152 IEXPLORE.EXE-360BBB5C.pf
14.10.2009 14:43 17.204 IMAPI.EXE-201490BB.pf
13.10.2009 17:51 95.210 HELPSVC.EXE-1C192440.pf
13.10.2009 12:22 14.260 NOTEPAD.EXE-2F2D61E1.pf
13.10.2009 12:20 20.734 HIJACKTHIS.EXE-3643707F.pf
13.10.2009 12:20 14.672 HJTINSTALL.EXE-103B74A7.pf
13.10.2009 12:20 21.732 SPUG4ACCESSOR.EXE-066A3EE6.pf
13.10.2009 12:20 30.938 SPUDCFIMPORTER.EXE-2651B52C.pf
13.10.2009 12:20 15.506 RUNDLL32.EXE-6E8D4657.pf
13.10.2009 12:17 58.412 MBAM.EXE-325FAE38.pf
13.10.2009 12:16 16.496 REGSVR32.EXE-396DEA2C.pf
13.10.2009 12:16 7.772 MBAMGUI.EXE-1253A586.pf
13.10.2009 12:16 14.604 MBAM-SETUP.TMP-22ACA83F.pf
13.10.2009 12:16 14.292 MBAM-SETUP.EXE-0FF45138.pf
13.10.2009 11:49 28.242 RUNDLL32.EXE-47CD8B12.pf
13.10.2009 11:49 26.388 BTSTACKSERVER.EXE-22C08203.pf
12.10.2009 16:33 16.970 RUNDLL32.EXE-41C4C933.pf
11.10.2009 22:16 25.216 RUNDLL32.EXE-5ACE91DC.pf
70 Datei(en) 3.450.616 Bytes
0 Verzeichnis(se), 84.947.820.544 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\WINDOWS\tasks
15.10.2009 18:34 6 SA.DAT
27.08.2009 10:14 276 AppleSoftwareUpdate.job
04.08.2004 15:00 65 desktop.ini
3 Datei(en) 347 Bytes
0 Verzeichnis(se), 84.947.820.544 Bytes frei
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\WINDOWS\Temp
15.10.2009 18:34 483 WGAErrLog.txt
04.09.2009 18:49 4.374 dd_wcf_retCA49D6.txt
04.09.2009 18:49 5.158 ASPNETSetup_00001.log
04.09.2009 18:47 273.268 dd_dotnetfx35install.txt
04.09.2009 18:47 47.392 uxeventlog.txt
04.09.2009 18:47 1.435.532 dd_NET_Framework35_MSI43EB.txt
04.09.2009 18:46 3.988.660 dd_NET_Framework30_Setup42D5.txt
04.09.2009 18:46 4.374 dd_wcf_retCA7C8A.txt
04.09.2009 18:45 19.733 dd_XPS.txt
04.09.2009 18:45 22.317.698 dd_NET_Framework20_Setup405B.txt
04.09.2009 18:43 5.158 ASPNETSetup_00000.log
04.09.2009 18:42 15.915 dd_clwireg.txt
04.09.2009 18:42 204.259 dd_depcheck_NETFX_EXP_35.txt
04.09.2009 18:41 2 dd_dotnetfx35error.txt
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A022-88A9
Verzeichnis von C:\DOKUME~1\Googol\LOKALE~1\Temp
15.10.2009 19:00 0 IMG2E.tmp
15.10.2009 18:59 0 etilqs_xRCMjg53AEi9MT6a5rPk
15.10.2009 18:35 16.384 Perflib_Perfdata_934.dat
15.10.2009 18:35 270 AUInst.log
15.10.2009 18:34 16.384 ~DFA205.tmp
14.10.2009 15:07 16.384 Perflib_Perfdata_ff8.dat
11.10.2009 15:58 16.384 Perflib_Perfdata_534.dat
10.10.2009 16:20 5.248 plf3B4.tmp
10.10.2009 15:49 2.080 java_install_reg.log
10.10.2009 13:37 2.430.976 SkypeToolbars.msi
10.10.2009 13:37 18.788.864 Skype.msi
10.10.2009 10:39 75.678 cvasds1.dll
10.10.2009 10:39 11.366 dd_vcredistUI4BD1.txt
10.10.2009 10:39 491.778 dd_vcredistMSI4BD1.txt
10.10.2009 10:11 380 MSI13430.LOG
08.10.2009 14:45 77.055 cvasds0.dll
03.10.2009 17:30 552.960 .Sony_PMBrowser3000_BrowserDiskCache
03.10.2009 17:30 3.456 .Sony_PMBrowser3000_BrowserDiskCache.idx
03.10.2009 17:28 368 SubDlResult.xml
02.10.2009 15:45 77.799 cvasds6.dll
02.10.2009 10:13 77.594 cvasds5.dll
23.09.2009 17:39 74.172 cvasds4.dll
23.09.2009 17:04 74.172 cvasds3.dll
23.09.2009 16:39 73.674 cvasds2.dll
13.09.2009 17:26 0 IMG30.tmp
10.09.2009 21:32 0 IMG34.tmp
27.08.2009 10:15 2.931.976 SetupAdmin774.log
27.08.2009 10:15 2.208 QTInstallCode.log
27.08.2009 10:15 3.884 qtplugin.log
19.08.2009 11:06 4.060 cmdlog V19.txt
19.08.2009 11:06 197.120 DCCACHE.tmp
11.08.2009 14:10 0 si17.tmp
08.08.2009 11:17 0 JET1DAC.tmp
04.08.2009 09:38 12.818 control.xml
01.08.2009 11:26 0 si29.tmp
31.07.2009 13:52 0 JETB9C5.tmp
31.07.2009 12:35 0 etilqs_JKcZpdHwoZ53TtXgg8JL
31.07.2009 11:44 0 JETC9F5.tmp
31.07.2009 11:04 0 etilqs_CfxfNIxFeLAbWNVAZnnZ
31.07.2009 10:59 0 JET9A85.tmp
29.07.2009 14:23 16.825.216 718631~1.exe
26.07.2009 18:06 115.200 nmdfgds0.dll
21.07.2009 14:48 115.200 nmdfgds1.dll
21.07.2009 14:48 108.497 olhrwef.exe
14.07.2009 11:08 798.234 IMT3B.xml
14.07.2009 11:08 426 IMT3A.xml
14.07.2009 11:08 2.036 IMT39.xml
13.07.2009 10:52 7.542 {D5068583-D569-468B-9755-5FBF5848F46F}.log
13.07.2009 10:49 781 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log
13.07.2009 10:47 932 {D2A98502-8929-420F-AD48-086B1FD5CDEA}.log
13.07.2009 10:47 1.521 {B2C4A8C4-AA20-425D-9FEE-C78039238C81}.log
13.07.2009 10:46 5.509 {36C41D70-56F5-4E2B-81DA-6BEB7502D7A1}.log
12.07.2009 14:23 822 PartCMD45000S.bmp
12.07.2009 14:23 822 PartCMD45002S.bmp
12.07.2009 14:23 822 PartCMD57600S.bmp
12.07.2009 14:23 822 PartCMD40218S.bmp
12.07.2009 14:17 0 srvpack~.reg
12.07.2009 14:17 98 sereg.err
11.07.2009 12:01 106.496 nmdfgds2.dll
05.06.2009 20:20 0 tmpB.tmp
05.06.2009 20:11 0 tmpA.tmp
05.06.2009 19:57 0 tmp9.tmp
05.06.2009 19:52 0 tmp8.tmp
05.06.2009 19:41 0 tmp7.tmp
05.06.2009 19:26 0 tmp6.tmp
05.06.2009 19:16 0 tmp5.tmp
05.06.2009 19:04 0 tmp4.tmp
05.06.2009 18:49 72.192 ~e5.0001
14.05.2009 08:58 117.200 set5A.tmp
07.05.2009 13:37 0 JETD511.tmp
03.03.2009 18:14 798.234 IMT6C.xml
03.03.2009 18:14 426 IMT6B.xml
03.03.2009 18:14 2.036 IMT6A.xml
|
|
15.10.2009, 18:12
| #11 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... 3. passte nichtmehr ins post: Code:
ATTFilter Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.2 - Deutsch
Advanced Audio FX Engine
Advanced Video FX Engine
Apple Mobile Device Support
Apple Software Update
AutoCAD Civil 3D 2008 - Deutsch
Autodesk Design Review 2008
Autodesk DWF Viewer 7
Autodesk Student Community Download Tool
Avira AntiVir Personal - Free Antivirus
Broadcom Management Programs
Browser Address Error Redirector
CCleaner (remove only)
Cisco Systems VPN Client 5.0.02.0090
Conexant HDA D330 MDC V.92 Modem
Counter-Strike: Source
Dell Support Center (Support Software)
Dell System Restore
Dell Touchpad
Dell Webcam Center
Dell Webcam Manager
DellSupport
Digital Line Detect
DivX Web Player
Foxit Reader
FreePDF (Remove only)
GPL Ghostscript 8.70
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
ICQ6.5
Intel(R) PROSet/Wireless Software
IntelliSonic Speech Enhancement
iTunes
J2SE Runtime Environment 5.0 Update 6
KeePass Password Safe 2.09
Laptop Integrated Webcam Driver (1.03.02.0719)
Logitech Desktop Messenger
Logitech SetPoint
Malwarebytes' Anti-Malware
MediaDirect
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft MSDN 2005 Express Edition - DEU
Microsoft Office Enterprise 2007
Microsoft Visual C# 2005 Express Edition - DEU
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Works
Mixer
Modem-Diagnose-Tool
Mozilla Firefox (3.0.14)
Mozilla Thunderbird (2.0.0.23)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Music Transfer
NetWaiting
NVIDIA Drivers
NVIDIA PhysX
OutlookAddinSetup
QuickSet
QuickTime
RedMon - Redirection Port Monitor
SearchAssist
Skype web features
Skype™ 4.1
Solid Edge V19
Sony Picture Utility
Sound Blaster Audigy ADVANCED MB Demo
Spybot - Search & Destroy
Steam
System Requirements Lab
TeamViewer 4
VideoLAN VLC media player 0.8.6c
VirtualCloneDrive
Warhammer 40,000: Dawn of War II
WIDCOMM Bluetooth Software
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows XP Service Pack 3
WinRAR
mfg jazzgun |
|
15.10.2009, 22:33
| #12 | |
| /// Helfer-Team | TR/Crypt.ZPACK.Gen und eventuell noch mehr... hi 1. **Spybot Tea Timer bitte abstellen! Falls "Tea Timer" auch aktiviert: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit. 2. Diese Dateinamen haben einige interessante Besonderheiten, lassen wir mal prüfen: → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter unter Verzeichnis von C:\
r2g20.exe
f9o8o.exe
ctu8r.exe
sp1jensi.exe
t2hjo0.exe
cqb6wo.exe
bycfht.exe
incwf.bat
ucivd6xi.bat
wrsf.exe
lhh3v.exe
o8tf6l.exe
mjafm.exe
qcoageh.exe
ph.exe
dogyx90.exe
10nb.exe
cj3k.exe
o9bxu.exe
frg89pi.bat
hx.exe
lcw.exe
m1eqos3.exe
9u.exe
wbj.exe
ktly.exe
22yj2fy1.exe
mqhnawe.bat
ukfbi3aw.exe
6rxt26.exe
rx.exe
mb9x.exe
u0riu2.exe
hm1bfpuj.exe
cv8j.exe
q1alx.exe
aphqg.exe
s.exe
8paf1d.com
8rcahp.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) ► Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!: Code:
ATTFilter Datei xxx empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
...sind es insgesamt 41 Online Virus Scanner...also Geduld!!
Zitat:
|
|
16.10.2009, 09:51
| #13 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... zu 4. Code:
ATTFilter 10/16/09 10:37:04 [Info]: BlackLight Engine 2.2.1092 initialized
10/16/09 10:37:04 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/16/09 10:37:04 [Note]: 7019 4
10/16/09 10:37:04 [Note]: 7005 0
10/16/09 10:38:00 [Note]: 7006 0
10/16/09 10:38:00 [Note]: 7011 220
10/16/09 10:38:00 [Note]: 7035 0
10/16/09 10:38:00 [Note]: 7026 0
10/16/09 10:38:00 [Note]: 7026 0
10/16/09 10:38:03 [Note]: FSRAW library version 1.7.1024
10/16/09 10:47:13 [Note]: 7007 0
|
|
16.10.2009, 11:52
| #14 |
| | TR/Crypt.ZPACK.Gen und eventuell noch mehr... weiter komme ich jetzt leider nicht... zu 5. Gmer Scan: Code:
ATTFilter GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-16 12:44:59
Windows 5.1.2600 Service Pack 3
Running: 8bkf9dnr.exe; Driver: C:\DOKUME~1\Googol\LOKALE~1\Temp\fwldypog.sys
---- System - GMER 1.0.15 ----
SSDT B8716BAE ZwCreateKey
SSDT B8716BA4 ZwCreateThread
SSDT B8716BB3 ZwDeleteKey
SSDT B8716BBD ZwDeleteValueKey
SSDT spiy.sys ZwEnumerateKey [0xB7EC6CA2] <-- ROOTKIT !!!
SSDT spiy.sys ZwEnumerateValueKey [0xB7EC7030] <-- ROOTKIT !!!
SSDT B8716BC2 ZwLoadKey
SSDT spiy.sys ZwOpenKey [0xB7EA80C0] <-- ROOTKIT !!!
SSDT B8716B90 ZwOpenProcess
SSDT B8716B95 ZwOpenThread
SSDT spiy.sys ZwQueryKey [0xB7EC7108] <-- ROOTKIT !!!
SSDT spiy.sys ZwQueryValueKey [0xB7EC6F88] <-- ROOTKIT !!!
SSDT B8716BCC ZwReplaceKey
SSDT B8716BC7 ZwRestoreKey
SSDT B8716BB8 ZwSetValueKey
SSDT B8716B9F ZwTerminateProcess
INT 0x62 ? 8A791BF8
INT 0x63 ? 8A791BF8
INT 0x63 ? 8A791BF8
INT 0x94 ? 8A55DBF8
INT 0xA4 ? 8A55DBF8
INT 0xA4 ? 8A55DBF8
INT 0xA4 ? 8A55DBF8
INT 0xB4 ? 8A55DBF8
INT 0xB4 ? 8A55DBF8
INT 0xB4 ? 8A55DBF8
INT 0xB4 ? 8A55DBF8
---- Kernel code sections - GMER 1.0.15 ----
? spiy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B6C488AC 5 Bytes JMP 8A55D1D8
.text al5lxyh8.SYS B68E9386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text al5lxyh8.SYS B68E93AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text al5lxyh8.SYS B68E93C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text al5lxyh8.SYS B68E93C9 1 Byte [2E]
.text al5lxyh8.SYS B68E93C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EA9040] spiy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EA913C] spiy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EA90BE] spiy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EA97FC] spiy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EA96D2] spiy.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EB9048] spiy.sys
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\al5lxyh8.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A71F1F8
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \Driver\usbuhci \Device\USBPDO-0 8A55C1F8
Device \Driver\sptd \Device\2151704218 spiy.sys
Device \Driver\usbuhci \Device\USBPDO-1 8A55C1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A7211F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A7211F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A7211F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A7211F8
Device \Driver\usbehci \Device\USBPDO-2 8A5451F8
Device \Driver\usbuhci \Device\USBPDO-3 8A55C1F8
Device \Driver\usbuhci \Device\USBPDO-4 8A55C1F8
Device \Driver\usbuhci \Device\USBPDO-5 8A55C1F8
Device \Driver\usbehci \Device\USBPDO-6 8A5451F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A7921F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A7921F8
Device \Driver\Cdrom \Device\CdRom0 8A4B71F8
Device \Driver\Cdrom \Device\CdRom1 8A4B71F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [B7DFBB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort0 [B7DFBB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdePort1 [B7DFBB40] atapi.sys[unknown section]
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [B7DFBB40] atapi.sys[unknown section]
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A7921F8
Device \Driver\Cdrom \Device\CdRom2 8A4B71F8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A7921F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89FA3500
Device \Driver\NetBT \Device\NetbiosSmb 89FA3500
Device \Driver\NetBT \Device\NetBT_Tcpip_{E063DA0C-57A7-4E38-B39D-5E6CCE0F0651} 89FA3500
Device \Driver\PCI_PNP2968 \Device\0000005e spiy.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{D31ECCE7-CA5E-4022-ACA1-7C07162617F5} 89FA3500
Device \Driver\usbuhci \Device\USBFDO-0 8A55C1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A55C1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F9D500
Device \Driver\usbehci \Device\USBFDO-2 8A5451F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F9D500
Device \Driver\usbuhci \Device\USBFDO-3 8A55C1F8
Device \Driver\usbuhci \Device\USBFDO-4 8A55C1F8
Device \Driver\Ftdisk \Device\FtControl 8A7921F8
Device \Driver\usbuhci \Device\USBFDO-5 8A55C1F8
Device \Driver\usbehci \Device\USBFDO-6 8A5451F8
Device \Driver\VClone \Device\Scsi\VClone1 89F3C1F8
Device \Driver\al5lxyh8 \Device\Scsi\al5lxyh81 8A473500
Device \Driver\VClone \Device\Scsi\VClone1Port2Path0Target0Lun0 89F3C1F8
Device \Driver\al5lxyh8 \Device\Scsi\al5lxyh81Port3Path0Target0Lun0 8A473500
Device \FileSystem\Fastfat \Fat 89FEA500
Device \FileSystem\Fastfat \Fat B1906297
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 89FB6500
---- Services - GMER 1.0.15 ----
Service C:\Programme\Dell (*** hidden *** ) [AUTO] sprtsvc_dellsupportcenter <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0x9B 0xD1 0x71 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3C 0x03 0x3F 0x05 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xBC 0x2D 0xF8 0x14 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0x9B 0xD1 0x71 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3C 0x03 0x3F 0x05 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xBC 0x2D 0xF8 0x14 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x6B 0x9B 0xD1 0x71 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x3C 0x03 0x3F 0x05 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xBC 0x2D 0xF8 0x14 ...
---- EOF - GMER 1.0.15 ----
|
|
17.10.2009, 15:22
| #15 |
| /// Helfer-Team | TR/Crypt.ZPACK.Gen und eventuell noch mehr... hi kommt noch was von dir? |
|
| Themen zu TR/Crypt.ZPACK.Gen und eventuell noch mehr... |
| adware.quadregclean, adware.whenu, anfang, antivir, antivir guard, antivirus, avira, bho, cleaning, desktop, excel, festplatte, firefox, flash player, helper, hijack, hijack.system.hidden, hijackthis, hilfreich, hkus\s-1-5-18, logfile, malwarebytes' anti-malware, mozilla, object, plug-in, problem, registrierungsschlüssel, registry, registry cleaner, rogue.winantivirus, software, system, tr/crypt.zpack.gen, trojan.antileechplugin, trojaner, usb-stick, viren, vlc media player, windows, windows xp |
Linear-Darstellung
