Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'

diekatha · 16.06.2010, 20:47

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-06-15.04 - kath.a 16.06.2010  20:50:50.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.696 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\kath.a\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\pdfforge Toolbar\SeARchsettings.dll
c:\windows\system32\Thumbs.db

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-16 bis 2010-06-16  ))))))))))))))))))))))))))))))
.

2010-06-16 09:23 . 2010-06-16 09:23	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Malwarebytes
2010-06-16 09:22 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-16 09:22 . 2010-06-16 09:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-16 09:22 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-16 08:55 . 2010-06-16 08:55	--------	d-----w-	c:\dokumente und einstellungen\kath.a\WINDOWS
2010-06-16 08:55 . 1997-08-01 01:15	35328	----a-w-	c:\windows\system\TECC.DLL
2010-06-16 08:55 . 1993-09-30 04:05	152464	----a-w-	c:\windows\system\BWCC.DLL
2010-06-16 07:34 . 2010-06-16 07:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hps
2010-06-16 07:23 . 2010-06-16 07:23	--------	d-----w-	c:\dokumente und einstellungen\kath.a\.jenny
2010-06-15 18:07 . 2010-06-15 18:06	438272	------w-	c:\windows\system32\regrgwiz32.dll
2010-06-15 18:06 . 2010-06-15 18:06	22016	------w-	c:\windows\system32\srvdev.dll
2010-06-15 17:26 . 2010-06-16 18:56	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\LimeWire
2010-06-15 15:33 . 2010-06-15 15:33	--------	d-----w-	C:\_OTM
2010-06-13 21:22 . 2010-06-13 21:22	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\inkscape
2010-06-12 20:52 . 2010-06-12 20:52	--------	d-s---w-	c:\dokumente und einstellungen\kath.a\UserData
2010-06-11 11:24 . 2010-06-11 11:25	--------	d-----w-	c:\programme\Gemeinsame Dateien\FontLab
2010-06-11 11:07 . 2010-06-15 17:24	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\FontCreator
2010-05-22 19:21 . 2010-05-22 19:21	503808	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-13fa4e37-n\msvcp71.dll
2010-05-22 19:21 . 2010-05-22 19:21	499712	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-13fa4e37-n\jmc.dll
2010-05-22 19:21 . 2010-05-22 19:21	348160	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-13fa4e37-n\msvcr71.dll
2010-05-22 19:21 . 2010-05-22 19:21	61440	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4db7cb50-n\decora-sse.dll
2010-05-22 19:21 . 2010-05-22 19:21	12800	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-4db7cb50-n\decora-d3d.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-16 18:56 . 2010-03-17 20:10	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox
2010-06-16 18:53 . 2009-10-25 14:08	--------	d-----w-	c:\programme\pdfforge Toolbar
2010-06-16 18:40 . 2009-08-15 20:11	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Skype
2010-06-16 16:30 . 2009-08-15 16:39	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-06-08 10:31 . 2010-01-01 12:34	1	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-22 20:40 . 2009-08-15 18:31	--------	d-----w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\vlc
2010-05-13 08:39 . 2010-05-13 08:36	--------	d-----w-	c:\programme\Google
2010-03-29 20:18 . 2004-08-04 12:00	70580	----a-w-	c:\windows\system32\perfc007.dat
2010-03-29 20:18 . 2004-08-04 12:00	405118	----a-w-	c:\windows\system32\perfh007.dat
2009-05-01 21:02 . 2009-05-01 21:02	1044480	----a-w-	c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02	200704	----a-w-	c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
2010-01-08 02:17	700416	----a-w-	c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"= "c:\programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll" [2010-01-08 700416]

[HKEY_CLASSES_ROOT\clsid\{b922d405-6d13-4a2b-ae89-08a030da4402}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-07-08 1657376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-07-14 86016]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"EnvyHFCPL"="c:\programme\Gamesurround Fortissimo 4 mixer\EnMixCPL.exe" [2004-10-14 3893248]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-01-11 246504]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2010-01-08 974848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\kath.a\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Dropbox.lnk - c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]
LimeWire On Startup.lnk - d:\programme-neu\LimeWire\LimeWire.exe [2010-5-26 503808]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\kath.a\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\VLC\\vlc.exe"=
"d:\\Programme-Neu\\LimeWire\\LimeWire.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.08.2009 18:12 108289]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [08.01.2010 01:51 380928]
R3 Envy24HFS;Gamesurround Fortissimo 4 Audio Controller WDM;c:\windows\system32\drivers\Envy24HF.sys [15.08.2009 19:27 575424]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [13.05.2010 10:36 136176]
.
Inhalt des "geplante Tasks" Ordners

2010-06-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-13 08:36]

2010-06-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-13 08:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Mozilla\Firefox\Profiles\una59tm5.default\
FF - prefs.js: browser.startup.homepage - spiegel.de
FF - component: c:\programme\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
FF - component: c:\programme\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
FF - plugin: c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-16 20:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2620)
c:\dokumente und einstellungen\kath.a\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-16  20:59:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-16 18:59

Vor Suchlauf: 4.921.896.960 Bytes frei
Nach Suchlauf: 4.840.194.048 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 2924CBFE3DDE72C7B34FA088F1103A25

--- --- ---

Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'

Plagegeister aller Art und deren Bekämpfung: Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'

Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'

Ähnliche Themen: Trojan TR/Crypt.XPACK.Gen2 in Windows\system32\srvdev.dll' und regrgwiz32.dll'