TR/Crypt.XPAC.Gen - Nach jedem Reboot

stadtaffe · 21.06.2010, 21:40

Code:

ATTFilter

ComboFix 10-06-20.06 - *** 21.06.2010  22:27:30.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.479.207 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Eigene Dateien\Downloads\confi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\WinPCap
c:\programme\WinPCap\rpcapd.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\tmp.reg
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf


(((((((((((((((((((((((   Dateien erstellt von 2010-05-21 bis 2010-06-21  ))))))))))))))))))))))))))))))
.

2010-06-21 19:50 . 2010-06-21 19:50	--------	d-----w-	C:\_OTL
2010-06-21 13:58 . 2010-06-21 13:58	--------	d-----w-	C:\rsit
2010-06-21 13:45 . 2010-06-21 13:45	--------	d-----w-	c:\windows\Performance
2010-06-21 13:45 . 2010-06-21 13:45	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft Corporation
2010-06-21 13:44 . 2010-06-21 13:44	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-06-21 13:44 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-21 13:44 . 2010-06-21 13:44	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-21 13:44 . 2010-06-21 13:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-21 13:44 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-21 13:29 . 2010-06-21 13:29	--------	d-----w-	c:\programme\CCleaner
2010-06-21 13:26 . 2010-06-21 13:28	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\QuickScan
2010-06-09 18:13 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-06 10:13 . 2001-08-18 02:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2010-06-06 10:13 . 2008-04-14 05:52	159232	----a-w-	c:\windows\system32\ptpusd.dll
2010-06-06 09:22 . 2010-06-06 09:30	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2010-06-06 09:21 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2010-06-06 09:21 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2010-06-06 09:21 . 2010-06-06 09:21	--------	d-----w-	c:\programme\iPod
2010-06-06 09:20 . 2010-06-06 09:21	--------	d-----w-	c:\programme\iTunes
2010-06-06 09:20 . 2010-06-06 09:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-06-06 09:19 . 2010-06-06 09:20	--------	d-----w-	c:\programme\QuickTime
2010-06-06 09:19 . 2010-06-06 09:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-06-06 09:19 . 2010-06-06 09:19	--------	d-----w-	c:\programme\Apple Software Update
2010-06-06 09:19 . 2010-04-16 06:33	41472	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2010-06-06 09:19 . 2010-04-16 06:33	3003680	----a-w-	c:\windows\system32\usbaaplrc.dll
2010-06-06 09:19 . 2010-06-06 09:19	--------	d-----w-	c:\programme\Bonjour
2010-06-06 09:18 . 2010-06-06 09:20	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-06-06 09:18 . 2010-06-06 09:22	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-21 15:41 . 2009-01-19 21:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-06-21 13:58 . 2008-07-28 11:25	--------	d-----w-	c:\programme\Trend Micro
2010-06-10 16:07 . 1979-12-31 23:00	86604	----a-w-	c:\windows\system32\perfc007.dat
2010-06-10 16:07 . 1979-12-31 23:00	464418	----a-w-	c:\windows\system32\perfh007.dat
2010-06-06 09:26 . 2007-12-18 11:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-05-22 13:34 . 2007-01-24 17:57	27184	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-06 10:31 . 1979-12-31 23:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:05 . 1979-12-31 23:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-28 13:45 . 2010-04-28 13:45	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-20 05:29 . 1979-12-31 23:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-08 11:20 . 2010-04-08 11:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7561216]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^web'n'walk Manager.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\web'n'walk Manager.lnk
backup=c:\windows\pss\web'n'walk Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^netuza32.exe]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\netuza32.exe
backup=c:\windows\pss\netuza32.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 12:08	209153	----a-w-	c:\programme\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 05:52	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
2006-11-13 11:50	1289000	----a-w-	c:\programme\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2006-04-27 02:48	7561216	----a-w-	c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-04-27 02:48	1519616	----a-w-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2006-04-28 14:13	766041	----a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2008-05-06 08:42	202088	----a-w-	c:\programme\TomTom HOME 2\HOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 19:16 108289]
R2 GtDetectSc;GtDetectSc;c:\programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe [05.11.2007 15:28 204915]
S0 klfclerv;klfclerv;c:\windows\system32\drivers\jxjt.sys --> c:\windows\system32\drivers\jxjt.sys [?]
S2 SCUSBHW;%SCUSBHW.SvcDesc%;c:\windows\system32\drivers\SCUSB.SYS [30.01.2007 18:05 175900]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [09.07.2007 15:17 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [26.06.2007 14:38 51968]
.
Inhalt des "geplante Tasks" Ordners

2010-06-21 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-12-04 19:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.benq.com/
uInternet Connection Wizard,ShellNext = "c:\programme\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = 10.0.0.253:3182
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\7v88eylo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Picasa2\npPicasa2.dll
FF - plugin: c:\programme\Picasa2\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-65967740 - c:\dokume~1\ALLUSE~1\ANWEND~1\65967740\65967740.exe
MSConfigStartUp-CTFMON - c:\windows\Temp\_ex-08.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-21 22:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1952)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\fxssvc.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-21  22:38:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-06-21 20:38

Vor Suchlauf: 7 Verzeichnis(se), 25.015.742.464 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 24.947.073.024 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP" /fastdetect /usepmtimer

- - End Of File - - C34B306C85333B8C0832C94EAF98B3B2

uff

TR/Crypt.XPAC.Gen - Nach jedem Reboot

Log-Analyse und Auswertung: TR/Crypt.XPAC.Gen - Nach jedem Reboot

TR/Crypt.XPAC.Gen - Nach jedem Reboot

Ähnliche Themen: TR/Crypt.XPAC.Gen - Nach jedem Reboot