Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen

TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


Log-Analyse und Auswertung: TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.01.2010, 16:19   #1
pixelstall
 
TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen - Standard

TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


Hallo, ich habe mir am Montag eine neue externe Festplatte gekauft ( Western Digital My Book essential) 1TB , direkt nach dem anschließen meldet mir Antivir dort einen Virenfund ( G ist die "Neue")

"In der Datei 'G:\autorun.inf'
wurde ein Virus oder unerwünschtes Programm 'W32/Autorun.mg' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben"

In der Annahme eines Fehlalarms erlaube ich also naiverweise den Zugriff. Und spiele erste Daten auf , nur Bilddateien. ( letzter Virenscan auf meinem PC war am 2.1.10 ohne Befund , zwei Firewalls ( Win und Fritzbox und Antivr sind auf höchster Stufe)

Heute Morgen dann ist mein Browser extrem lahm ( FF) bis unbrauchbar ich scanne wieder und erhalte wieder einen (!) Fund auf G ?

"Die Datei 'G:\Auto.EXE'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.NSPM.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bcac3d9.qua' verschoben!"

Nach dem Beheben läuft mein Inet wieder einwandfrei ..

Supportanfrage an den Hersteller der Platte habe ich gestellt, ein erneuter

Scan ergab dann : W32/ Autorun.mg auf H

Jetzt habe ich die ganze Anleitung befolgt und Poste hier die Ergebnisse, ich hoffe ihr könnt mir helfen sicherzustellen das das "Ding" (zumindest von G) weg ist, denn ich wollte eigentlich die Tage mein System "plattmachen" da ich C etwas zu klein Angelegt hatte.. wofür ich ja die Externe gekauft hatte

könnt ihr mir helfen (und meinem Nervenkostüm ? da ist die Arbeit von 4 Jahren drauf , ich bin Fotografin)

lg Karin

So hier das Malwaredingens ( das dann NOCH was anderes fand (??))


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3601
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20.01.2010 15:45:01
mbam-log-2010-01-20 (15-45-01).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 259269
Laufzeit: 43 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Programme2\WYSIWYG_Web_Builder_6_-_Deutsch\WYSIWYG_Web_Builder_6_-_Deutsches_Sprachpaket.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
D:\Programme2\WYSIWYG_Web_Builder_6_-_Deutsch(2)\WYSIWYG_Web_Builder_6_-_Deutsches_Sprachpaket.exe (Trojan.Backdoor) -> Quarantined and deleted successfully


Und das Logfile:

Logfile of random's system information tool 1.06 (written by random/random)
Run by pixelstall at 2010-01-20 15:52:46
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 992 MB (9%) free of 11 GB
Total RAM: 2046 MB (75% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:48, on 20.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme2\RSIT.exe
C:\Programme\trend micro\pixelstall.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.unitymedia.de
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: WDDMStatus.lnk = C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O4 - Global Startup: WDSmartWare.lnk = C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

--
End of file - 6466 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-04-20 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-04-20 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"nwiz"=nwiz.exe /install []
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"SoundMAXPnP"=C:\Programme\Analog Devices\Core\smax4pnp.exe [2006-12-18 868352]
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe [2006-07-13 729088]
"avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-04-20 148888]
"ALDI_SUED_FotoSuite_Download"=C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe [2008-11-13 1257472]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2009-11-10 417792]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2006-02-28 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-08-04 1667584]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
Tevion Scanner Finder.lnk - C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
WDDMStatus.lnk - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
WDSmartWare.lnk - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe

C:\Dokumente und Einstellungen\pixelstall\Startmenü\Programme\Autostart
OpenOffice.org 3.1.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\Programme\Java\jre6\bin\java.exe"="C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
shell\Auto\command - G:\auto.exe
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af344ec1-267a-11de-858e-806d6172696f}]
shell\AutoRun\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cf96742d-042d-11df-871e-0018f3ab8fb9}]
shell\AutoRun\command - "F:\WD SmartWare.exe" autoplay=true


======List of files/folders created in the last 1 months======

2010-01-20 15:46:43 ----D---- C:\Programme\trend micro
2010-01-20 15:46:42 ----D---- C:\rsit
2010-01-20 14:48:57 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\Malwarebytes
2010-01-20 14:48:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-20 14:48:48 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2010-01-18 14:38:05 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\Western Digital
2010-01-18 14:38:00 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Western Digital
2010-01-18 14:37:52 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-01-18 14:37:42 ----D---- C:\Programme\Western Digital
2010-01-17 00:28:53 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\Apple Computer
2010-01-16 19:46:12 ----D---- C:\WINDOWS\PixArt
2010-01-16 19:46:12 ----D---- C:\Programme\PC Camera
2010-01-16 19:46:12 ----D---- C:\Programme\Gemeinsame Dateien\PCCamera
2010-01-16 19:45:58 ----D---- C:\WINDOWS\Downloaded Installations
2010-01-15 17:30:13 ----D---- C:\Programme\SMPlayer
2010-01-14 19:19:13 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\MAGIX
2010-01-14 17:28:20 ----D---- C:\Programme\QuickTime
2010-01-14 17:28:19 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-01-14 17:26:05 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2010-01-13 17:33:35 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\MOVAVI
2010-01-13 17:32:33 ----D---- C:\Programme\Movavi Video Editor 5
2010-01-13 17:21:00 ----D---- C:\Programme\ImTOO
2010-01-13 13:20:11 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-01-13 13:20:06 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-01-06 18:57:53 ----HDC---- C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$
2010-01-06 18:57:39 ----HDC---- C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$
2010-01-06 18:57:22 ----HDC---- C:\WINDOWS\$NtUninstallKB915865$
2010-01-06 18:57:20 ----N---- C:\WINDOWS\system32\xmllite.dll
2010-01-06 18:56:25 ----D---- C:\WINDOWS\network diagnostic
2010-01-06 18:56:23 ----HDC---- C:\WINDOWS\$NtUninstallKB914440$
2010-01-06 17:06:24 ----A---- C:\WINDOWS\system32\MRT.exe
2009-12-23 04:17:18 ----A---- C:\WINDOWS\system32\rmoc3260.dll
2009-12-23 04:17:18 ----A---- C:\WINDOWS\system32\pncrt.dll
2009-12-23 04:17:18 ----A---- C:\WINDOWS\system32\msvcr71.dll
2009-12-23 04:17:18 ----A---- C:\WINDOWS\system32\msvcp71.dll
2009-12-23 04:17:18 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-12-21 20:43:31 ----A---- C:\WINDOWS\Ulead32.INI
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMWUD9.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMWUD7.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMWUD13.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMWUD11.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMWUD.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSME6w.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSME5w.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSME4W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMD9W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMD8w.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMD4W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMCFw.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMCEw.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMC9W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMC1W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMBDW.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMB1W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMB0W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSMA7W.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSM8BW.dll
2009-12-21 20:18:12 ----A---- C:\WINDOWS\system32\MSM08w.dll
2009-12-21 20:18:03 ----D---- C:\Kpcms
2009-12-21 20:18:03 ----A---- C:\WINDOWS\system32\Msmusd7.dll
2009-12-21 20:18:03 ----A---- C:\WINDOWS\system32\Msmusd6.dll
2009-12-21 20:18:03 ----A---- C:\WINDOWS\system32\Msmusd5.dll
2009-12-21 20:18:02 ----D---- C:\Programme\Tevion
2009-12-21 20:16:42 ----D---- C:\Medion
2009-12-21 20:04:43 ----D---- C:\Programme\iXi Tools

======List of files/folders modified in the last 1 months======

2010-01-20 15:51:37 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-20 15:51:32 ----D---- C:\WINDOWS\Temp
2010-01-20 15:51:32 ----D---- C:\WINDOWS
2010-01-20 15:51:29 ----A---- C:\WINDOWS\win.ini
2010-01-20 15:49:55 ----D---- C:\WINDOWS\system32\drivers
2010-01-20 15:49:21 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-20 15:49:09 ----D---- C:\WINDOWS\addins
2010-01-20 15:46:49 ----D---- C:\WINDOWS\Prefetch
2010-01-20 15:46:43 ----RD---- C:\Programme
2010-01-20 14:53:38 ----D---- C:\Programme\Mozilla Firefox
2010-01-20 09:37:49 ----D---- C:\WINDOWS\Debug
2010-01-18 22:50:51 ----D---- C:\WINDOWS\system32
2010-01-18 21:48:33 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\gtk-2.0
2010-01-18 14:38:00 ----SHD---- C:\WINDOWS\Installer
2010-01-18 14:37:53 ----HD---- C:\WINDOWS\inf
2010-01-17 00:15:29 ----D---- C:\Dokumente und Einstellungen\pixelstall\Anwendungsdaten\FileZilla
2010-01-17 00:15:14 ----HD---- C:\Programme\InstallShield Installation Information
2010-01-16 19:46:13 ----D---- C:\WINDOWS\twain_32
2010-01-16 19:46:12 ----D---- C:\Programme\Gemeinsame Dateien
2010-01-14 17:26:08 ----D---- C:\WINDOWS\WinSxS
2010-01-13 16:50:33 ----D---- C:\WINDOWS\AppPatch
2010-01-13 13:20:13 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-13 13:20:11 ----HD---- C:\WINDOWS\$hf_mig$
2010-01-06 19:07:20 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-01-06 18:48:51 ----D---- C:\WINDOWS\system32\CatRoot
2010-01-06 18:48:13 ----D---- C:\WINDOWS\system32\CatRoot_bak
2009-12-21 20:17:54 ----D---- C:\Programme\Gemeinsame Dateien\InstallShield

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-04-27 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2006-02-28 14848]
R1 NVTCP;NVIDIA TCP/IP Protocol Driver; C:\WINDOWS\System32\DRIVERS\NVTcp.sys [2006-09-11 110592]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2006-02-28 12032]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-12-07 56816]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:\WINDOWS\system32\drivers\ADIHdAud.sys [2007-01-16 293888]
R3 AEAudio;AE Audio Service; C:\WINDOWS\system32\drivers\AEAudio.sys [2006-08-07 93952]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2004-10-27 138240]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2006-02-28 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2006-02-28 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-09-11 57856]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-09-11 19968]
R3 SenFiltService;SenFilt Service; C:\WINDOWS\system32\drivers\Senfilt.sys [2006-03-17 392960]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2006-02-28 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2006-02-28 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2006-02-28 57600]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2006-02-28 17024]
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856]
R3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 WDC_SAM;WD SCSI Pass Thru driver; C:\WINDOWS\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
S2 ASPI32;ASPI32; C:\WINDOWS\system32\drivers\ASPI32.sys []
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-02-28 5888]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 ForceWare Intelligent Application Manager (IAM);ForceWare Intelligent Application Manager (IAM); C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe [2006-09-11 172032]
R2 ForcewareWebInterface;Forceware Web Interface; C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe [2006-04-13 20543]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-04-20 152984]
R2 NMSAccessU;NMSAccessU; C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-10-20 71096]
R2 nSvcIp;ForceWare IP service; C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe [2006-09-11 135227]
R2 nSvcLog;ForceWare user log service; C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe [2006-09-11 65599]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
R2 WDDMService;WD SmartWare Drive Manager; C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [2009-09-23 98304]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service; C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [2009-06-16 20480]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Alt 20.01.2010, 19:36   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen - Ausrufezeichen

TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


Hallo und

Die Logs sehen okay aus, aber ich hoffe Du ekennst wie gefährlich Adminrechte plus aktiver Autorun auf allen Laufwerken sein können!

Autostart auf allen Laufwerken deaktivieren
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.
__________________

__________________
Alt 20.01.2010, 20:33   #3
pixelstall
 
TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen - Standard

TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


Danke ich hab zwar keine Ahnung wovon du redest ( na doch, so ein wenig ) aber das klingt nach einer guten Idee

Ich bin ja schon stolz wie Bolle das ich "XP installieren" alleine immer mal wieder hinbekomme

Bis zum Flexingtod meines T42 war der Rechner auch nur mein offline Grafikrechner und dementsprechend lasch eingerichtet.

Da ich jetzt das Thinkpad ersetzt habe, werde ich ihn eh neu aufsetzen können was ich schon lange vorhatte da ich beim letzten mal C zu klein gemacht hatte..*nerv*

lg karin
__________________
Alt 20.01.2010, 21:02   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen - Standard

TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


Zitat:
orhatte da ich beim letzten mal C zu klein gemacht hatte..*nerv*
Dafür brauchst Du nicht neu aufsetzen!
Besorg Dir PartedMagic:

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest da ein Symbol "Partition Editor" finden, das starten und Du kannst C vergrößern. VORHERDaten sichern wäre angesagt für den Fall der Fälle!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen
antivir, antivir guard, avg, avgntflt.sys, avira, bho, browser, cdburnerxp, desktop, einstellungen, festplatte, fontcache, frage, hijack, hijackthis, hkus\s-1-5-18, home, logfile, mozilla, ohne befund, plug-in, programm, registrierungsschlüssel, registry, rundll, scan, server, shell32.dll, software, system, tcp/ip, tr/crypt., trojan, trojan.backdoor, virus, windows xp


« Trojan Horse? Sicherheitscenterdeaktiviert, google funktioniert nicht mehr! | Windows Security Alert Problem »


Ähnliche Themen: TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen


  1. Avira Fund von TR/Crypt.XPACK.GEN
    Log-Analyse und Auswertung - 15.04.2014 (19)
  2. Windows 8 - Fund: tr/crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 07.12.2013 (3)
  3. Avira Fund: TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 26.07.2013 (3)
  4. Kann man die Autorun auf einer externen Festplatte einfach löschen?
    Alles rund um Windows - 04.10.2011 (3)
  5. Antivirus Fund: TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 25.02.2011 (37)
  6. Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (51)
  7. Win32.autorun.tmp und TR/Crypt.XPACK.Gen3 gefunden - wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 07.12.2010 (46)
  8. TR/Crypt.XPACK.Gen3 und Gen2 mehrfach gefunden + Autorun.inf auf jedem USB Stick
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (0)
  9. TR/Crypt.ZPACK.Gen in C:\WINDOWS\system32\drivers\gyhmiej.sys und TR/Autorun.AJH bzw .INF.184
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (25)
  10. Fund von Trojan.FakeAV!gen24 und W32.Downadup!autorun
    Log-Analyse und Auswertung - 18.03.2010 (10)
  11. Kido in autorun.inf, malwarebytes hat Fund gefixt, noch was da?
    Log-Analyse und Auswertung - 12.03.2010 (17)
  12. TR/Crypt.XPACK.Gen - Fund
    Plagegeister aller Art und deren Bekämpfung - 03.02.2010 (2)
  13. TR/Crypt.XPACK.Gen auf 2 PC´s und TR/Trash.gen auf externen Festplatte
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (1)
  14. Habe ich mir den Trojaner TR/Crypt.NSPM.Gen
    Log-Analyse und Auswertung - 07.04.2009 (5)
  15. BDS/VB.edn.1 und WORM/Autorun.VDJ auf meiner Externen Platte
    Log-Analyse und Auswertung - 08.08.2008 (4)
  16. TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE
    Mülltonne - 11.06.2008 (19)
  17. [Hyrican] - Nagelneuer PC - startet sich beim spielen von neu
    Log-Analyse und Auswertung - 11.04.2007 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen - Hallo, ich habe mir am Montag eine neue externe Festplatte gekauft ( Western Digital My Book essential) 1TB , direkt nach dem anschließen meldet mir Antivir dort einen Virenfund ( - TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen...
Archiv
Du betrachtest: TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19