tr/crypt.zpack.gen Entfernung

huw00 · 17.01.2010, 19:42

Hallo, auf einem meiner Computer hat Avira dan tr/crypt.zpack.gen gefunden.

Neuaufsetzten des Systems kommt nicht in Frage. Habe Entfernung mit ComboFix probiert scheint aber nicht funktioniert zu haben, Avira findet das Programm bei nachfolgenden Scan immer noch.

Log.exe von ComboFix:

ComboFix 10-01-16.04 - Windows XP 17.01.2010 19:10:25.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2612 [GMT 1:00]
ausgeführt von:: e:\download\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira Firewall *enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\WINDOW~1\LOKALE~1\Temp\1.wmv
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Anwendungsdaten\iikgw.dat
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Anwendungsdaten\iikgw_nav.dat
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Anwendungsdaten\iikgw_navps.dat
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\15913497_F86C_4218_8817_F50940D1E1B2.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\2A665EDD_5758_480c_8366_66DFC5F23877.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\362FD6E8_8CDA_4c2a_A8AA_BDA22B321711.jpg
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\3DF04940_9866_4241_A998_0CDDFAFD147A.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\426500D7_0FF3_426c_828D_065DBAEA0581.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\478BD4AE_2691_438d_BDCA_3485DC022700.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\61EA7D69_19D4_421a_A899_0DF4D58CD119.jpg
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\8DA878D5_E80B_4721_B75A_17EFFAF1A700.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\98F6DF79_7171_452d_9C26_C0193E12DBDF.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\A2B240D6_0386_419e_91C5_3F7D90437CD0.jpg
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\C75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\E21285C1_40E6_435c_A69F_3387E7BD89CB.gif
c:\dokumente und einstellungen\Windows XP\Lokale Einstellungen\Temporary Internet Files\E9A4D648_ED73_4ea7_88B2_18332DBA4F3E.jpg
c:\windows\EventSystem.log
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\lowsec\user.ds.lll
c:\windows\system32\sdra64.exe
c:\windows\system32\W6LI1F42.exe.a_a

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Ias
-------\Service_Iprip

((((((((((((((((((((((( Dateien erstellt von 2009-12-17 bis 2010-01-17 ))))))))))))))))))))))))))))))
.

2010-01-13 23:04 . 2009-11-21 15:54 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-11 11:11 . 2010-01-11 11:11 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-13 04:13 . 2004-08-04 10:00 90096 ----a-w- c:\windows\system32\perfc007.dat
2010-01-13 04:13 . 2004-08-04 10:00 473550 ----a-w- c:\windows\system32\perfh007.dat
2009-12-16 05:56 . 2009-11-30 10:16 -------- d-----w- c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Nokia Multimedia Player
2009-12-08 11:02 . 2009-05-30 09:44 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-30 10:39 . 2009-11-29 09:16 -------- d-----w- c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Nokia
2009-11-30 10:09 . 2009-11-29 09:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-11-29 09:16 . 2009-11-29 09:16 -------- d-----w- c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\PC Suite
2009-11-29 09:16 . 2009-11-29 09:16 -------- d-----w- c:\programme\DIFX
2009-11-29 09:16 . 2009-11-29 09:16 -------- d-----w- c:\programme\Gemeinsame Dateien\PCSuite
2009-11-29 09:16 . 2009-11-29 09:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Nokia
2009-11-29 09:16 . 2009-11-29 09:15 -------- d-----w- c:\programme\Nokia
2009-11-29 09:15 . 2009-11-29 09:15 -------- d-----w- c:\programme\PC Connectivity Solution
2009-11-29 09:15 . 2009-11-29 09:15 9728 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Installations\CommonCustomActions\UninstPCS.exe
2009-11-29 09:15 . 2009-11-29 09:15 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Installations\CommonCustomActions\UninstCCD.exe
2009-11-29 09:15 . 2009-11-29 09:15 15360 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}\Installations\CommonCustomActions\UninstPCSFEMsi.exe
2009-11-29 09:13 . 2009-11-29 09:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations
2009-11-21 15:54 . 2004-08-04 10:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-04 11:25 . 2009-11-04 11:25 152576 ----a-w- c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:40 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2004-08-04 10:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 10:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 10:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Duden Korrektor SysTray"="d:\duden korrektor\DKtray.exe" [2009-05-18 619216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"nwiz"="nwiz.exe" [2007-10-04 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-12-27 1454080]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Acrobat Assistant 7.0"="d:\acrobat pro 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"itype"="c:\programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 988584]
"SysTrayApp"="c:\programme\IDT\WDM\sttray.exe" [2007-11-09 409600]
"avgnt"="d:\avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2008-10-11 25214]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-11 113664]
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2008-10-11 29184]
Microsoft Office.lnk - d:\microsoft office xp\Office10\OSA.EXE [2001-2-13 83360]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\FRITZ!DSL\\IGDCTRL.EXE"=
"d:\\FRITZ!DSL\\FBOXUPD.EXE"=
"d:\\FRITZ!DSL\\WebwaIgd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [30.05.2009 13:52 97608]
R2 AntiVirFirewallService;Avira Firewall;d:\avira\AntiVir Desktop\avfwsvc.exe [30.05.2009 13:52 388865]
R2 AntiVirMailService;Avira AntiVir MailGuard;d:\avira\AntiVir Desktop\avmailc.exe [30.05.2009 13:52 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\avira\AntiVir Desktop\sched.exe [30.05.2009 13:52 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;d:\avira\AntiVir Desktop\avwebgrd.exe [30.05.2009 13:52 434945]
R2 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [15.05.2009 01:04 70336]
R2 IGDCTRL;AVM IGD CTRL Service;d:\fritz!dsl\IGDCTRL.EXE [04.09.2007 09:14 87344]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [30.05.2009 13:52 69632]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.10.2008 10:38 265088]
R3 MaBtPort;MA Bluetooth VCOM Driver;c:\windows\system32\drivers\MaBtPort.sys [11.10.2008 14:08 101952]
R3 MaBtVad;Mobile Action Bluetooth Audio;c:\windows\system32\drivers\MaBtVad.sys [11.10.2008 14:08 14414]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [11.10.2008 10:20 29728]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [11.10.2008 10:38 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\common\Database\bin\fbserver.exe [11.10.2008 14:59 1527900]
S3 MaBtc;MA Bluetooth Core Driver;c:\windows\system32\drivers\MaBtc.sys [11.10.2008 14:08 96736]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [11.10.2008 14:59 544768]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - d:\micros~1\Office10\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\acrobat pro 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
LSP: d:\avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Mozilla\Firefox\Profiles\1u9ux7zk.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{6766D2D5-0672-4EB3-B9FC-05E9DA19313B} - c:\windows\system32\obblib.dll
HKCU-Run-iikgw - c:\dokumente und einstellungen\windows xp\lokale einstellungen\anwendungsdaten\iikgw.exe
HKCU-Run-rundll32.exe - (no file)
HKCU-Run-WAB - c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
HKU-Default-Run-WAB - c:\dokumente und einstellungen\Windows XP\Anwendungsdaten\Macromedia\Common\c458c00a19.exe
AddRemove-iikgw - c:\dokumente und einstellungen\windows xp\lokale einstellungen\anwendungsdaten\iikgw.exe
AddRemove-MAGIX Music Manager 2007 D - i:\magix\Music_Manager_2007\instslct.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-17 19:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(964)
d:\avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(2876)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\programme\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\programme\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_ger.nlr
c:\programme\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\avira\AntiVir Desktop\avguard.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Haufe\iDesk\iDeskService\ideskpython.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\IDT\5302009141945\STacSV.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Microsoft IntelliType Pro\dpupdchk.exe
d:\duden korrektor\DKCore.exe
d:\acrobat pro 7.0\Acrobat\Acrobat_sl.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
d:\fritz!dsl\StCenter.exe
d:\duden office-bibliothek\officebib.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-17 19:17:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-17 18:17

Vor Suchlauf: 1.123.033.088 Bytes frei
Nach Suchlauf: 4.008.157.184 Bytes frei

- - End Of File - - 58280FF1A4171F5225D38A9BDC190188

Gibt es inzwischen zuverlässigere Möglichkeiten die Malware zu entfernen bzw. was kann ich noch tun (ohne neu zu installieren)?

Danke,
huw00

cosinus · 18.01.2010, 12:18

Hallo und

Combofix sollte eigentlich nur aufAnweisung hier im Forum ausgeführt werden! Aber nun gut...

Bitte das Logfile von AntiVir mit den Virenfunden posten!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

tr/crypt.zpack.gen Entfernung

Plagegeister aller Art und deren Bekämpfung: tr/crypt.zpack.gen Entfernung

tr/crypt.zpack.gen Entfernung

tr/crypt.zpack.gen Entfernung

Ähnliche Themen: tr/crypt.zpack.gen Entfernung