|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.09.2010, 14:03 | #1 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Hallo, Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\Programme\Norton AntiVirus\Savrt\0066NAV~.TMP. Ich habe die Datei in die Quarantäne gesteckt, bin mir aber nicht sicher, ob das Problem damit wirklich gelöst ist. Ich benötige den PC z. B. auch für Online-Banking und habe daher etwas Angst vor Keyloggern etc. Da ich mich nicht allzu sehr mit PCs auskenne benötige ich hier Hilfe, um den Trojaner wieder los zu werden. Norton AntiVirus wurde schon vor einiger Zeit deinstalliert (war Testversion beim Kauf des PCs), weshalb es mich gewundert hat, dass überhaupt noch ein Ordner davon existiert. Auf Grund ähnlicher Threads hier im Forum und den Anleitungen habe ich die Programme Anti-Maleware und OTL ausgeführt und die Log-Dateien hier angehängt. Allerdings habe ich die Programme nach der Installation versehentlich unter dem Admin-Konto ausgeführt und erst anschließend unter dem Benutzer-Konto, in welchem der Trojaner gefunden wurde. Im Admin-Account hat Malewarebytes auch etwas gefunden, ich weiß aber nicht, ob das mit der Trojaner-Warnung in Zusammenhang steht. Ich habe dort dann auf "Ausgewähltes entfernen" geklickt. War das ein Fehler? Hier die Logs vom Admin-Konto: Anhang 9283 Anhang 9284 Anhang 9285 Und hier die Logs vom User-Konto: Anhang 9286 Anhang 9287 Anhang 9288 Ich bin neu hier und kenne mich nicht gut mit PCs aus und danke daher jedem, der mir hier helfen kann. Vielen Dank! Toppy |
30.09.2010, 18:14 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen?Zitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Alle Analyse-Tools müssen als Admin ausgeführt werden!
__________________ |
30.09.2010, 23:37 | #3 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Hallo Cosinus,
__________________danke für deine Hilfe. Hier die Logdatei vom Malewarbyte-Vollscan. Es wurde tatsächlich noch was gefunden. Ob das wohl was mit dem Trojaner zu tun hat? Ich habe die Dateien löschen lassen und nach Aufforderung den PC neu gestartet. Beim Booten wurde komischerweise ein "Scandisc" ausgeführt, aber keine Fehler gefunden. Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4724 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01.10.2010 00:16:04 mbam-log-2010-10-01 (00-16-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 194489 Laufzeit: 45 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009050.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009052.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully. C:\system volume information\_restore{C1470C18-E445-4490-9A01-C5F2D5D880B7}\RP35\A0009053.RBF (Adware.WidgiToolbar) -> Quarantined and deleted successfully. |
01.10.2010, 08:24 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2010, 08:52 | #5 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Ok, die Wiederherstellung ist deaktiviert. In der erwähnten Anleitung heißt es an einer Stelle "... dann das Häkchen wieder rausnehmen.(also wieder aktivieren)". Ich hab die Funktion trotzdem deaktiviert gelassen. Ist das so richtig? Ich brauche die Funktion sowieso nicht. Soll ich nun nochmals nen Malwarebyte-Vollscan laufen lassen? Gruß Toppy |
01.10.2010, 09:12 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Ja ist so richtig. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? |
01.10.2010, 10:44 | #7 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Ok, wurde erledigt. Mit dem CCleaner lief alles wie beschrieben. Allerdings konnte ich vor dem Start von Combofix "Avira AntiVir" nicht vollständig beenden und lediglich den Guard deaktivieren. Auch über den TaskManager ging nichts. Es kam immer die Meldung "Programm kann nicht beendet werden! Zugriff verweigert" (obwohl ich ja als Admin angemeldet war). Hab Combofix dann trotzdem laufen lassen. War das ok? Es lief sonst auch hier alles wie in der Anleitung beschrieben. Edit: Zählt die Windows Firewall auch als Hintergrundwächter? Dann muss ich es nochmal machen, die war nämlich noch an. Code:
ATTFilter ComboFix 10-09-30.03 - Admin 01.10.2010 11:24:58.1.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.267 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\autorun.ini . ((((((((((((((((((((((( Dateien erstellt von 2010-09-01 bis 2010-10-01 )))))))))))))))))))))))))))))) . 2010-10-01 09:04 . 2010-10-01 09:04 -------- d-----w- c:\programme\CCleaner 2010-09-29 10:14 . 2010-09-29 10:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2010-09-29 09:32 . 2010-09-29 09:32 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes 2010-09-29 09:32 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-29 09:32 . 2010-09-29 09:32 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-29 09:32 . 2010-09-29 09:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-29 09:32 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-29 09:21 . 2010-09-29 09:21 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien 2010-09-29 08:12 . 2010-09-29 08:12 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2010-09-29 08:11 . 2010-09-29 08:11 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2010-09-28 13:52 . 2008-06-23 20:20 95744 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINDOWS\Canon MP540 series Printer\LanguageModules\0407\CNMsr9E.dll 2010-09-28 13:50 . 2010-09-28 13:50 -------- d--h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ 2010-09-28 13:50 . 2008-05-26 20:00 69632 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\CNMPP9E.DLL 2010-09-28 13:50 . 2008-05-26 20:00 27136 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\CNMPD9E.DLL 2010-09-28 13:50 . 2008-05-26 20:00 230912 ----a-w- c:\windows\system32\CNMLM9E.DLL 2010-09-28 13:50 . 2010-09-28 13:50 -------- d--h--w- c:\windows\system32\CanonIJ Uninstaller Information 2010-09-28 13:49 . 2008-05-30 00:27 270336 ----a-w- c:\windows\system32\CNC540L.DLL 2010-09-28 13:49 . 2008-04-07 05:58 1339392 ----a-w- c:\windows\system32\CNC540C.DLL 2010-09-28 13:49 . 2008-04-07 05:58 98304 ----a-w- c:\windows\system32\CNC540I.DLL 2010-09-28 13:49 . 2007-03-15 05:12 188416 ----a-w- c:\windows\system32\CNC540O.DLL 2010-09-28 13:49 . 2010-09-28 13:49 -------- d--h--w- c:\programme\CanonBJ 2010-09-28 13:46 . 2010-09-28 13:46 -------- d-----w- c:\programme\Canon 2010-09-28 10:31 . 2010-09-28 10:31 -------- d-sh--w- c:\dokumente und einstellungen\***\IECompatCache 2010-09-25 17:19 . 2010-09-25 17:19 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Identities 2010-09-25 16:38 . 2010-09-25 16:38 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Design Science 2010-09-24 12:44 . 2010-09-24 12:44 -------- d-----w- c:\windows\Sun 2010-09-24 07:19 . 2010-09-24 07:19 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Tracker Software 2010-09-22 21:12 . 2010-09-22 21:12 61440 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-sse.dll 2010-09-22 21:12 . 2010-09-22 21:12 12800 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-72969538-n\decora-d3d.dll 2010-09-22 14:31 . 2009-12-09 15:31 20992 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\4r03ev7s.default\extensions\{de1b245c-de57-11da-ba2d-0050c2490048}\library\WINNT-32\MinimizeToTrayPlus.dll 2010-09-22 13:53 . 2010-09-22 13:53 -------- d-----w- c:\dokumente und einstellungen\***\.tuxguitar-1.2 2010-09-22 13:53 . 2010-09-22 13:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Herac 2010-09-22 13:51 . 2010-09-22 13:51 -------- d-----w- c:\windows\system32\NtmsData 2010-09-21 21:36 . 2010-09-21 21:37 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\vlc 2010-09-21 17:22 . 2010-09-21 17:22 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\vlc 2010-09-21 13:12 . 2010-09-21 13:12 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Avira 2010-09-21 12:50 . 2010-09-21 12:50 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Search Settings 2010-09-21 12:45 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll 2010-09-21 12:44 . 1998-07-06 16:56 125712 ----a-w- c:\windows\system32\VB6DE.DLL 2010-09-21 12:44 . 1998-07-06 16:55 158208 ----a-w- c:\windows\system32\MSCMCDE.DLL 2010-09-21 12:44 . 1998-07-06 16:55 64512 ----a-w- c:\windows\system32\MSCC2DE.DLL 2010-09-21 12:44 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL 2010-09-21 09:05 . 2010-09-21 09:05 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Free Monitor for Google 2010-09-20 21:43 . 2010-09-01 13:52 66112 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper_3004.dll 2010-09-20 21:43 . 2010-09-01 13:52 35136 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll 2010-09-20 21:43 . 2010-09-01 13:52 328080 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe 2010-09-20 21:43 . 2010-09-01 13:52 32032 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8o8fusf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe 2010-09-20 16:48 . 2010-09-20 16:48 -------- d-----w- c:\programme\Microsoft Silverlight 2010-09-20 16:28 . 2010-09-20 16:28 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcp71.dll 2010-09-20 16:28 . 2010-09-20 16:28 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\jmc.dll 2010-09-20 16:28 . 2010-09-20 16:28 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3f09dd44-n\msvcr71.dll 2010-09-20 16:27 . 2010-09-20 16:27 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-sse.dll 2010-09-20 16:27 . 2010-09-20 16:27 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d755812-n\decora-d3d.dll 2010-09-20 15:12 . 2010-09-20 15:12 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-09-20 12:14 . 2010-09-20 12:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\IBP 2010-09-20 12:10 . 2010-09-20 12:11 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla 2010-09-20 11:58 . 2010-09-20 11:58 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-09-20 11:52 . 2010-09-20 11:52 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Thunderbird 2010-09-20 11:52 . 2010-09-20 11:52 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Thunderbird 2010-09-20 11:37 . 2010-09-20 11:37 -------- d-sh--w- c:\dokumente und einstellungen\***\IETldCache 2010-09-20 10:33 . 2000-03-10 08:05 863744 ----a-w- c:\windows\system32\Cw3245mt.dll 2010-09-20 10:33 . 2000-03-10 08:05 271872 ----a-w- c:\windows\system32\Cxf0332b.dll 2010-09-20 10:33 . 2000-03-10 08:05 260096 ----a-w- c:\windows\system32\Cxf0332a.dll 2010-09-20 10:33 . 2000-03-10 08:05 25088 ----a-w- c:\windows\system32\Cxf0332c.dll 2010-09-20 10:32 . 2007-05-16 08:30 118784 ----a-w- c:\windows\system32\SciFiSoft.dll 2010-09-20 10:13 . 2010-09-20 10:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Deterministic Networks 2010-09-20 09:49 . 2010-09-20 09:49 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\IBP 2010-09-20 09:47 . 2010-09-20 09:47 10134 ----a-r- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\Foren.exe 2010-09-20 09:47 . 2010-09-20 09:47 766 ----a-r- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft\Installer\{20B1B020-DEAE-48D1-9960-D4C3185D758B}\htmledit.exe 2010-09-20 09:29 . 2010-09-20 09:29 -------- d-----w- c:\windows\Internet Logs 2010-09-20 09:10 . 2010-09-20 09:10 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Help 2010-09-20 09:03 . 1997-08-15 12:20 299008 ----a-w- c:\windows\unin0407.exe 2010-09-20 09:03 . 2010-09-20 09:03 -------- d-----w- c:\dokumente und einstellungen\Admin\WINDOWS 2010-09-20 08:57 . 2010-09-20 08:57 -------- d-----w- c:\windows\ShellNew 2010-09-20 08:56 . 2010-09-20 08:56 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Microsoft Web Folders 2010-09-20 08:52 . 2010-09-20 08:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero 2010-09-20 08:49 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll 2010-09-20 08:49 . 2004-07-26 15:16 476320 ------w- c:\windows\system32\ImagXpr7.dll 2010-09-20 08:49 . 2004-07-26 15:16 471040 ------w- c:\windows\system32\ImagXRA7.dll 2010-09-20 08:49 . 2004-07-26 15:16 262144 ------w- c:\windows\system32\ImagXR7.dll 2010-09-20 08:49 . 2004-07-26 15:16 1568768 ------w- c:\windows\system32\ImagX7.dll 2010-09-20 08:49 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe 2010-09-20 08:49 . 2010-09-20 08:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead 2010-09-20 08:33 . 2010-09-20 08:33 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-09-20 08:14 . 2010-09-20 08:14 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-09-20 07:57 . 2008-04-14 05:52 221184 ----a-w- c:\windows\system32\wmpns.dll 2010-09-20 07:41 . 2010-09-20 07:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Thunderbird 2010-09-20 07:41 . 2010-09-20 07:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Thunderbird 2010-09-20 07:41 . 2010-09-20 07:41 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-09-20 07:27 . 2010-06-24 12:22 599040 ------w- c:\windows\system32\dllcache\msfeeds.dll 2010-09-20 07:27 . 2010-06-24 12:22 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll 2010-09-20 07:27 . 2010-06-24 12:21 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll 2010-09-20 07:27 . 2010-06-24 12:22 1986560 ------w- c:\windows\system32\dllcache\iertutil.dll 2010-09-20 07:27 . 2010-06-24 12:22 12800 ------w- c:\windows\system32\dllcache\xpshims.dll 2010-09-20 07:27 . 2010-06-24 12:21 743424 ------w- c:\windows\system32\dllcache\iedvtool.dll 2010-09-20 07:26 . 2008-06-14 17:32 273024 ------w- c:\windows\system32\dllcache\bthport.sys 2010-09-20 07:24 . 2010-06-21 15:27 354304 ------w- c:\windows\system32\dllcache\srv.sys 2010-09-20 07:13 . 2009-11-21 15:54 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-09-20 07:12 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe 2010-09-20 07:10 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2010-09-20 07:10 . 2010-04-28 18:11 2192256 ------w- c:\windows\system32\dllcache\ntoskrnl.exe 2010-09-20 07:10 . 2010-04-28 05:41 2148864 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe 2010-09-20 07:10 . 2010-04-28 05:41 2069120 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe 2010-09-20 07:10 . 2010-04-28 05:41 2027008 ------w- c:\windows\system32\dllcache\ntkrpamp.exe 2010-09-20 07:03 . 2008-05-01 14:34 331776 ------w- c:\windows\system32\dllcache\msadce.dll 2010-09-20 06:44 . 2009-02-06 10:10 227840 ------w- c:\windows\system32\dllcache\wmiprvse.exe 2010-09-20 06:44 . 2009-03-06 14:19 286720 ------w- c:\windows\system32\dllcache\pdh.dll 2010-09-20 06:44 . 2009-02-09 11:21 111104 ------w- c:\windows\system32\dllcache\services.exe 2010-09-20 06:44 . 2009-02-09 10:51 401408 ------w- c:\windows\system32\dllcache\rpcss.dll 2010-09-20 06:44 . 2009-02-09 10:51 473600 ------w- c:\windows\system32\dllcache\fastprox.dll 2010-09-20 06:44 . 2009-02-09 10:51 740352 ------w- c:\windows\system32\dllcache\ntdll.dll 2010-09-20 06:44 . 2009-02-09 10:51 678400 ------w- c:\windows\system32\dllcache\advapi32.dll 2010-09-20 06:44 . 2009-02-09 10:51 453120 ------w- c:\windows\system32\dllcache\wmiprvsd.dll 2010-09-20 06:35 . 2008-10-15 16:35 337408 ------w- c:\windows\system32\dllcache\netapi32.dll 2010-09-20 06:34 . 2008-04-21 21:13 217600 ------w- c:\windows\system32\dllcache\wordpad.exe 2010-09-20 06:29 . 2010-09-20 06:29 -------- d-----w- c:\windows\ie8updates 2010-09-20 06:29 . 2010-09-20 06:29 -------- d-----w- c:\programme\MSXML 4.0 2010-09-20 06:26 . 2010-02-24 13:11 455680 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2010-09-20 06:25 . 2009-10-15 16:28 81920 ------w- c:\windows\system32\dllcache\fontsub.dll 2010-09-20 06:25 . 2009-10-15 16:28 119808 ------w- c:\windows\system32\dllcache\t2embed.dll 2010-09-20 06:24 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2010-09-20 06:21 . 2010-06-18 13:36 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe 2010-09-19 22:10 . 2008-05-08 14:02 203136 ------w- c:\windows\system32\dllcache\rmcast.sys 2010-09-17 13:27 . 2010-09-17 13:27 -------- d-----w- c:\windows\system32\autorun 2010-09-17 12:13 . 2010-09-17 12:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Logitech . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-10-01 07:39 . 2006-08-04 16:01 12 ----a-w- c:\windows\bthservsdp.dat 2010-09-24 06:43 . 2006-08-02 12:59 64848 ----a-w- c:\windows\system32\perfc007.dat 2010-09-24 06:43 . 2006-08-02 12:59 393086 ----a-w- c:\windows\system32\perfh007.dat 2010-09-20 12:17 . 2009-08-06 08:42 43096 ----a-w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-20 11:37 . 2010-09-17 11:55 43096 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-20 09:04 . 2010-09-20 09:04 -------- d-----w- c:\programme\Gemeinsame Dateien\Kodak 2010-09-17 11:57 . 2010-09-17 11:55 136 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat 2010-09-17 11:27 . 2004-06-25 15:13 176 ----a-w- c:\windows\HotFix.bat 2010-08-17 13:17 . 2004-08-04 03:00 58880 ----a-w- c:\windows\system32\spoolsv.exe 2010-07-22 15:48 . 2004-08-04 03:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll 2010-07-22 06:19 . 2010-07-22 06:19 5632 ------w- c:\windows\system32\xpsp4res.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "AGRSMMSG"="AGRSMMSG.exe" [2005-12-13 88204] "RTHDCPL"="RTHDCPL.EXE" [2006-07-19 16248320] "AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2006-07-19 53248] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088] "Acer ePresentation HPD"="c:\acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-06-07 208896] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-13 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-13 118784] "ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-07-12 438272] "Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584] "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2006-07-14 471040] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-6-29 45056] Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-6 692224] Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2009-8-6 67128] Microsoft Office.lnk - d:\programmed\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] VPN Client.lnk - c:\windows\Installer\{B0BF7057-6869-4E4B-920C-EA2A58DA07F0}\Icon3E5562ED7.ico [2010-9-20 6144] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.08.2009 23:39 135336] S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\DRIVERS\lv321av.sys --> c:\windows\system32\DRIVERS\lv321av.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\2dk4fxlo.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npSfAppM.dll FF - plugin: d:\programmed\PDF x-Change\PDF Viewer\npPDFXCviewNPPlugin.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-IBP - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-10-01 11:29 Windows 5.1.2600 Service Pack 3 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . Zeit der Fertigstellung: 2010-10-01 11:31:16 ComboFix-quarantined-files.txt 2010-10-01 09:31 Vor Suchlauf: 6.030.303.232 Bytes frei Nach Suchlauf: 6.007.472.128 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - 0EB822C526BA6FDC1E23FB9A3155C249 |
01.10.2010, 11:12 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
01.10.2010, 12:52 | #9 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Hier mal die Logs von GMER und OSAM und Bootkit Remover. GMER ist beim Schließen des Programmes abgestürtzt, musste Reset drücken. Beim Booten wurde dann eine Meldung angezeigt, dass eine Datei (wurde nicht näher benannt) wiederhergestellt werden musste. GMER-Log: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-10-01 13:10:49 Windows 5.1.2600 Service Pack 3 Running: qucnopvj.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\agldqpog.sys ---- System - GMER 1.0.15 ---- SSDT F8C3ECB6 ZwCreateKey SSDT F8C3ECAC ZwCreateThread SSDT F8C3ECBB ZwDeleteKey SSDT F8C3ECC5 ZwDeleteValueKey SSDT F8C3ECCA ZwLoadKey SSDT F8C3EC98 ZwOpenProcess SSDT F8C3EC9D ZwOpenThread SSDT F8C3ECD4 ZwReplaceKey SSDT F8C3ECCF ZwRestoreKey SSDT F8C3ECC0 ZwSetValueKey Code \??\C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys pIofCallDriver ---- Kernel code sections - GMER 1.0.15 ---- ? C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\Admin\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- User IAT/EAT - GMER 1.0.15 ---- IAT D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [00EE2BC8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) IAT D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!UnhandledExceptionFilter] [00EE2CE9] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) IAT D:\ProgrammeD\VPN\cvpnd.exe[428] @ C:\WINDOWS\system32\msvcrt.dll [KERNEL32.dll!TerminateProcess] [00EE2CB8] C:\WINDOWS\system32\VSINIT.dll (TrueVector Service/Zone Labs, LLC) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cedc7b19 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cedc7b19 (not active ControlSet) ---- EOF - GMER 1.0.15 ---- Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 13:42:59 on 01.10.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.10 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "CAMCPL.CPL" - "FotoNation inc." - C:\WINDOWS\system32\CAMCPL.CPL "JAVACPL.CPL" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\JAVACPL.CPL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\WINDOWS\system32\Drivers\CVPNDRVA.sys "Deterministic Network Enhancer Miniport" (DNE) - "Deterministic Networks, Inc." - C:\WINDOWS\System32\DRIVERS\dne2000.sys "int15" (int15) - ? - C:\WINDOWS\system32\drivers\int15.sys (File found, but it contains no detailed information) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "Logitech USB PC Camera (VC0321)" (lv321av) - ? - C:\WINDOWS\System32\DRIVERS\lv321av.sys (File not found) "Microsoft HID Class-Treiber" (HidUsb) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\hidusb.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "psdfilter" (psdfilter) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdfilter.sys "psdvdisk" (psdvdisk) - "HiTRUST" - C:\WINDOWS\system32\Drivers\psdvdisk.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "SYMIDSCO" (SYMIDSCO) - ? - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20050901.036\symidsco.sys (File not found) "tvicport" (tvicport) - "EnTech Taiwan" - C:\WINDOWS\system32\drivers\tvicport.sys "Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\WINDOWS\System32\DRIVERS\NTIDrvr.sys "vsdatant" (vsdatant) - "Zone Labs, LLC" - C:\WINDOWS\system32\vsdatant.sys "WAN Miniport (ATW)" (wanatw) - ? - C:\WINDOWS\System32\DRIVERS\wanatw4.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "zntport" (zntport) - "Zeal SoftStudio" - C:\WINDOWS\system32\drivers\zntport.sys [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {9462A756-7B47-47BC-8C80-C34B9B80B32B} "BackWeb GA Pluggable Protocol" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {2b45bd21-71f8-4c8c-a87a-7eeb25a1a3e0} "EPM-PO Shell Extensions" - "Acer Labs USA" - C:\WINDOWS\system32\epm-po.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\kbcplext.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {B9B9F083-2B04-452A-8691-83694AC1037B} "LogiExt Class" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\mcplext.dll {C56C4E21-706D-11d0-AFC5-444553540002} "Meine Digitalkamera" - "FotoNation Inc." - d:\programmed\Adobe\FotoNation Explorer\camview.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~1\Office\OLKFSTUB.DLL {CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll {67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll {EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\XCShInfo.dll {5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - D:\ProgrammeD\PDF x-Change\Shell Extensions\PXCPrevHost.exe {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - D:\ProgrammeD\WinRar\rarext.dll XCShInfo "{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A}" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "Messenger" - ? - C:\Programme\Messenger\msmsgs.exe (File not found) -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Acer eDataSecurity Management" - "HiTRUST" - C:\WINDOWS\system32\eDStoolbar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Acer Empowering Technology.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe (Shortcut exists | File exists) "DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DESKTOP.INI "Logitech Desktop Messenger.lnk" - "Logitech Inc." - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Shortcut exists | File exists) "Logitech SetPoint.lnk" - "Logitech Inc." - C:\Programme\Logitech\SetPoint\SetPoint.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - D:\ProgrammeD\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists) "VPN Client.lnk" - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\vpngui.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "DESKTOP.INI" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\DESKTOP.INI -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Acer ePresentation HPD" - "Acer Inc." - C:\Acer\Empowering Technology\ePresentation\ePresentation.exe "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "AzMixerSel" - "Realtek Semiconductor Corp." - C:\Programme\Realtek\InstallShield\AzMixerSel.exe "Boot" - ? - C:\Acer\Empowering Technology\ePower\Boot.exe (File found, but it contains no detailed information) "eDataSecurity Loader" - "HiTRUST" - C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0 "ePower_DMC" - ? - C:\Acer\Empowering Technology\ePower\ePower_DMC.exe "eRecoveryService" - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRAgent.exe "LaunchApp" - "Acer Inc." - Alaunch "LManager" - "Dritek System Inc." - C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - D:\ProgrammeD\VPN\cvpnd.exe "HID Input Service" (HidServ) - ? - C:\WINDOWS\System32\hidserv.dll (File not found) "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe "Memory Check Service" (AcerMemUsageCheckService) - "Acer Inc." - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Geändert von Toppy (01.10.2010 um 13:00 Uhr) |
01.10.2010, 14:43 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
02.10.2010, 13:00 | #11 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Sorry, hat bisschen länger gedauert. Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 178): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806E5000 \WINDOWS\system32\hal.dll 0xF8AF5000 \WINDOWS\system32\KDCOM.DLL 0xF8A05000 \WINDOWS\system32\BOOTVID.dll 0xF84C5000 ACPI.sys 0xF8AF7000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF84B4000 pci.sys 0xF85F5000 isapnp.sys 0xF8605000 ohci1394.sys 0xF8615000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF8A09000 compbatt.sys 0xF8A0D000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF8BBD000 pciide.sys 0xF8875000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8AF9000 aliide.sys 0xF8AFB000 intelide.sys 0xF8AFD000 toside.sys 0xF8AFF000 viaide.sys 0xF8B01000 cmdide.sys 0xF8625000 MountMgr.sys 0xF8477000 ftdisk.sys 0xF8A11000 ACPIEC.sys 0xF8BBE000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF887D000 PartMgr.sys 0xF8635000 VolSnap.sys 0xF8A15000 cpqarray.sys 0xF845F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xF8447000 atapi.sys 0xF8A19000 aha154x.sys 0xF8885000 sparrow.sys 0xF8A1D000 symc810.sys 0xF8645000 aic78xx.sys 0xF8A21000 dac960nt.sys 0xF8655000 ql10wnt.sys 0xF8A25000 amsint.sys 0xF888D000 asc.sys 0xF8A29000 asc3550.sys 0xF8895000 mraid35x.sys 0xF889D000 i2omp.sys 0xF8A2D000 ini910u.sys 0xF8665000 ql1240.sys 0xF8675000 aic78u2.sys 0xF88A5000 symc8xx.sys 0xF88AD000 sym_hi.sys 0xF88B5000 sym_u3.sys 0xF88BD000 ABP480N5.SYS 0xF88C5000 asc3350p.sys 0xF8B03000 cd20xrnt.sys 0xF8685000 ultra.sys 0xF842E000 adpu160m.sys 0xF88CD000 dpti2o.sys 0xF8695000 ql1080.sys 0xF86A5000 ql1280.sys 0xF86B5000 ql12160.sys 0xF88D5000 perc2.sys 0xF8B05000 perc2hib.sys 0xF88DD000 hpn.sys 0xF8A31000 cbidf2k.sys 0xF8402000 dac2w2k.sys 0xF86C5000 disk.sys 0xF86D5000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF83E2000 fltmgr.sys 0xF83D0000 sr.sys 0xF83AC000 Fastfat.sys 0xF8395000 KSecDD.sys 0xF8368000 NDIS.sys 0xF86E5000 sisagp.sys 0xF86F5000 viaagp.sys 0xF834E000 Mup.sys 0xF8705000 agp440.sys 0xF8715000 alim1541.sys 0xF8725000 amdagp.sys 0xF8735000 agpCPQ.sys 0xF8765000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF8110000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF80FC000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF80D4000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF8935000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF80B0000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF893D000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF8038000 \SystemRoot\system32\DRIVERS\ar5211.sys 0xF8775000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF8945000 \SystemRoot\system32\DRIVERS\DKbFltr.sys 0xF894D000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF8008000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF8B09000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8955000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF8785000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8795000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF87A5000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF7FE5000 \SystemRoot\system32\DRIVERS\ks.sys 0xF8B0B000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys 0xF8AB1000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF8AB5000 \SystemRoot\system32\DRIVERS\wmiacpi.sys 0xF7FC6000 \SystemRoot\system32\DRIVERS\dne2000.sys 0xF8C0D000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF895D000 \SystemRoot\system32\DRIVERS\rasirda.sys 0xF8965000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF87B5000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8ABD000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7FAF000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF87C5000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF87D5000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7EFE000 \SystemRoot\system32\DRIVERS\psched.sys 0xF87E5000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF896D000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF8975000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF87F5000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8B0D000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7EA0000 \SystemRoot\system32\DRIVERS\update.sys 0xF8ACD000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF8805000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xAA37E000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xAA35A000 \SystemRoot\system32\drivers\portcls.sys 0xF8835000 \SystemRoot\system32\drivers\drmk.sys 0xAA247000 \SystemRoot\system32\DRIVERS\AGRSM.sys 0xF897D000 \SystemRoot\System32\Drivers\Modem.SYS 0xF8855000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8272000 \SystemRoot\System32\Drivers\i2omgmt.SYS 0xF8B11000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8C6F000 \SystemRoot\System32\Drivers\Null.SYS 0xF8B13000 \SystemRoot\System32\Drivers\Beep.SYS 0xF899D000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF89A5000 \SystemRoot\System32\drivers\vga.sys 0xF8B15000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8B17000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF89AD000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF89B5000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF826A000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAA1EC000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAA193000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAA16B000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAA149000 \SystemRoot\System32\drivers\afd.sys 0xF8865000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF89BD000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAA02E000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA9FBE000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF832E000 \SystemRoot\System32\Drivers\Fips.SYS 0xA9F9C000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xA9F4E000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF831E000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF8B1B000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF89C5000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xF7E9C000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF82FE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF89CD000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys 0xF82EE000 \SystemRoot\system32\DRIVERS\WDFLDR.SYS 0xA9ED3000 \SystemRoot\system32\DRIVERS\Wdf01000.sys 0xF7E98000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0xF7E94000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF89D5000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys 0xF82DE000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA9EBB000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8B1D000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7E7C000 \SystemRoot\System32\drivers\Dxapi.sys 0xF89DD000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8C90000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF021000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF043000 \SystemRoot\System32\ialmdev5.DLL 0xBF07E000 \SystemRoot\System32\ialmdd5.DLL 0xA9D66000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA9BE8000 \SystemRoot\system32\DRIVERS\irda.sys 0xA9C92000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA99DB000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA98AB000 \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys 0xA989A000 \??\C:\WINDOWS\system32\drivers\int15.sys 0xA981B000 \SystemRoot\system32\DRIVERS\srv.sys 0xA987E000 \??\C:\WINDOWS\system32\drivers\tvicport.sys 0xF8CF4000 \??\C:\WINDOWS\system32\drivers\zntport.sys 0xA9446000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9B40000 \SystemRoot\system32\drivers\sysaudio.sys 0xA92EF000 \SystemRoot\System32\Drivers\HTTP.sys 0xAA089000 \??\C:\WINDOWS\system32\Drivers\psdfilter.sys 0xA914C000 \??\C:\WINDOWS\system32\Drivers\psdvdisk.sys 0x7C910000 \WINDOWS\System32\ntdll.dll Processes (total 49): 0 System Idle Process 4 System 652 C:\WINDOWS\System32\SMSS.EXE 736 CSRSS.EXE 760 C:\WINDOWS\System32\WINLOGON.EXE 804 C:\WINDOWS\System32\SERVICES.EXE 816 C:\WINDOWS\System32\LSASS.EXE 960 C:\Programme\Avira\AntiVir Desktop\AVGUARD.EXE 980 C:\Programme\Avira\AntiVir Desktop\AVSHADOW.EXE 1136 C:\WINDOWS\System32\SVCHOST.EXE 1204 SVCHOST.EXE 1244 C:\WINDOWS\System32\SVCHOST.EXE 1344 SVCHOST.EXE 1404 SVCHOST.EXE 1716 C:\WINDOWS\System32\SPOOLSV.EXE 1752 C:\Programme\Avira\AntiVir Desktop\SCHED.EXE 1796 SVCHOST.EXE 1852 C:\Acer\Empowering Technology\ePerformance\MemCheck.exe 1912 SVCHOST.EXE 1948 D:\ProgrammeD\VPN\cvpnd.exe 1996 C:\Programme\Java\JRE6\BIN\JQS.EXE 2024 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 176 C:\WINDOWS\System32\SVCHOST.EXE 1524 C:\WINDOWS\System32\WBEM\WMIAPSRV.EXE 1548 WMIPRVSE.EXE 1556 ALG.EXE 1620 WMIPRVSE.EXE 2216 C:\WINDOWS\Explorer.EXE 2548 C:\WINDOWS\AGRSMMSG.exe 2608 C:\WINDOWS\RTHDCPL.EXE 2656 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 2800 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 2840 C:\Acer\Empowering Technology\ePresentation\ePresentation.exe 2872 C:\WINDOWS\System32\hkcmd.exe 2880 C:\WINDOWS\System32\igfxpers.exe 2892 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe 2908 C:\Acer\Empowering Technology\eRecovery\eRAgent.exe 3040 C:\Programme\Launch Manager\QtZgAcer.EXE 3072 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe 3084 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 3264 C:\WINDOWS\System32\WBEM\unsecapp.exe 3628 C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe 3712 C:\Programme\Logitech\SetPoint\SetPoint.exe 3756 C:\WINDOWS\System32\igfxext.exe 3792 C:\WINDOWS\System32\igfxsrvc.exe 3824 C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe 3848 C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\RtkBtMnt.exe 2064 C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE 1652 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (FAT32) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000005`3507be00 (FAT32) PhysicalDrive0 Model Number: HTS421240H9AT00, Rev: HACOA70S Size Device Name MBR Status -------------------------------------------- 37 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
03.10.2010, 13:08 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus den Bootkit Remover nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
03.10.2010, 22:32 | #13 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? |
04.10.2010, 08:57 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
04.10.2010, 12:36 | #15 |
| TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? Ok mit beiden Programmen wurde nichts gefunden. Heißt das, dass ich den Trojaner endgültig los bin? Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4737 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.10.2010 11:45:35 mbam-log-2010-10-04 (11-45-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 183152 Laufzeit: 38 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 10/04/2010 bei 12:56 PM Version der Applikation : 4.44.1000 Version der Kern-Datenbank : 5624 Version der Spur-Datenbank : 3436 Scan Art : kompletter Scann Totale Scann-Zeit : 01:02:06 Gescannte Speicherelemente : 651 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 5686 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 43728 Erfasste Datei-Elemente : 0 |
Themen zu TR/Crypt.XPACK.Gen3 gefunden! Wie entfernen? |
antivir, antivir meldet, antivirus, datei, e-banking, entfernen, fehler, forum, gelöst, installation, keylogger, meldet, neu, nicht sicher, norton, online-banking, ordner, pcs, problem, programme, quarantäne, rojaner gefunden, testversion, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen3, trojaner, trojaner gefunden, trojaner-warnung, version, welchem, wie entfernen, wie entfernen?, wirklich |