| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen3Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.10.2010, 12:29
| #1 |
| |  TR/Crypt.XPACK.Gen3 Guten Tag, mein Avira (aktuell) wirft auf beiden PC´s seit ein paar Tagen auf beiden PCs für Dateien im Verzeichnis C:\WIDNOWS\Temp\TMP....tmp die Meldung "Ist das Trojanische Pferd TR/Crypt.XPACK.Gen3" aus, wobei ... für verschiedene hexadezimale Ziffern steht. Diese Meldung kommt für bis zu ca. 35 Dateien. Auch nach dem Löschen/Quarantänisieren taucht diese Meldung am nächsten Tag wieder auf, da diese Dateien laufend erzeugt werden. Auf den Rechnern befindet sich neben Avira jeweils noch ein PC Tools Spyware Doctor (ebenfalls laufend aktualisiert.) Ich habe MBAM laufan lassen. Von PC 1 ergibt das folgenden Log: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4773 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 08.10.2010 12:01:21 mbam-log-2010-10-08 (12-01-21).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 250198 Laufzeit: 53 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Mit OTL habe ich PC1 anschließend ebenfalls gescannt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 08.10.2010 10:57:40 - Run 2 OTL by OldTimer - Version 3.2.14.1 Folder = D:\Installer Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 76,00% Memory free 5,00 Gb Paging File | 4,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 116,21 Gb Total Space | 97,46 Gb Free Space | 83,87% Space Free | Partition Type: NTFS Drive D: | 232,88 Gb Total Space | 95,03 Gb Free Space | 40,81% Space Free | Partition Type: NTFS Drive E: | 1,91 Gb Total Space | 1,80 Gb Free Space | 94,25% Space Free | Partition Type: FAT F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: JC-PC-02 Current User Name: JO Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - D:\Installer\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools) PRC - C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools) PRC - C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools) PRC - C:\Programme\Spyware Doctor\TFEngine\TFService.exe (PC Tools) PRC - C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.) PRC - C:\Programme\FileZilla Server\FileZilla server.exe (FileZilla Project) PRC - C:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org) PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org) PRC - C:\Programme\OpenOffice.org 3\program\scalc.exe () PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Mediencenter\tonline.exe (Deutsche Telekom AG) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNet, Inc) PRC - C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNet, Inc.) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.) PRC - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe () PRC - C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe (Adobe Systems Incorporated) PRC - C:\Programme\Lantronix\UBox\nhciTaskL.exe (Lantronix) PRC - C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.) PRC - C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) PRC - C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation) PRC - C:\Programme\Miramar\PC MACLAN\ATSPOOL.EXE (Miramar Systems Inc.) PRC - C:\Programme\Miramar\PC MACLAN\ATSERVER.EXE (Miramar Systems Inc.) PRC - C:\Programme\Miramar\PC MACLAN\ATMSG.EXE (Miramar Systems Inc.) PRC - C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe (Nokia Mobile Phones) PRC - C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones) PRC - C:\Programme\Dantz\Retrospect\launcher.exe (Dantz Development Corporation) ========== Modules (SafeList) ========== MOD - D:\Installer\OTL.exe (OldTimer Tools) MOD - C:\Programme\Spyware Doctor\TFEngine\TFWAH.dll (PC Tools) MOD - C:\WINDOWS\system32\nview.dll () MOD - C:\WINDOWS\system32\nvwimg.dll () MOD - C:\WINDOWS\system32\nvwrsde.dll (NVIDIA Corporation) MOD - C:\WINDOWS\system32\nvwddi.dll (NVIDIA Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (sdCoreService) -- C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools) SRV - (sdAuxService) -- C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools) SRV - (ThreatFire) -- C:\Programme\Spyware Doctor\TFEngine\TFService.exe (PC Tools) SRV - (Browser Defender Update Service) -- C:\Programme\Spyware Doctor\BDT\BDTUpdateService.exe (Threat Expert Ltd.) SRV - (FileZilla Server) -- C:\Programme\FileZilla Server\FileZilla Server.exe (FileZilla Project) SRV - (OpenVPNService) -- C:\Programme\OpenVPN\bin\openvpnserv.exe () SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (SolidWorks Licensing Service) -- C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe (SolidWorks) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (SentinelProtectionServer) -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe (SafeNet, Inc) SRV - (SentinelKeysServer) -- C:\Programme\Gemeinsame Dateien\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe (SafeNet, Inc.) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple, Inc.) SRV - (AdobeActiveFileMonitor6.0) -- C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe () SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (Miramar AppleTalk Print Server) -- C:\Programme\Miramar\PC MACLAN\ATSPOOL.EXE (Miramar Systems Inc.) SRV - (Miramar AppleTalk File Server) -- C:\Programme\Miramar\PC MACLAN\ATSERVER.EXE (Miramar Systems Inc.) SRV - (ATMsg) -- C:\Programme\Miramar\PC MACLAN\ATMsg.exe (Miramar Systems Inc.) SRV - (RetroLauncher) -- C:\Programme\Dantz\Retrospect\launcher.exe (Dantz Development Corporation) ========== Driver Services (SafeList) ========== DRV - (pctplsg) -- C:\WINDOWS\system32\drivers\pctplsg.sys (PC Tools) DRV - (PCTCore) -- C:\WINDOWS\system32\drivers\PCTCore.sys (PC Tools) DRV - (pctgntdi) -- C:\WINDOWS\system32\drivers\pctgntdi.sys (PC Tools) DRV - (TfSysMon) -- C:\WINDOWS\system32\drivers\TfSysMon.sys (PC Tools) DRV - (TfFsMon) -- C:\WINDOWS\system32\drivers\TfFsMon.sys (PC Tools) DRV - (TfNetMon) -- C:\WINDOWS\system32\drivers\TfNetMon.sys (PC Tools) DRV - (tap0901) -- C:\WINDOWS\system32\drivers\tap0901.sys (The OpenVPN Project) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (WIBUKEY) -- C:\WINDOWS\system32\drivers\WibuKey.sys (WIBU-SYSTEMS AG) DRV - (eusk3usb) -- C:\WINDOWS\system32\drivers\eusk3usb.sys (Eutron) DRV - (npdrv) -- C:\WINDOWS\system32\drivers\npdrv.sys (Moxa Inc. ) DRV - (Wibukey2) -- C:\WINDOWS\system32\drivers\Wibukey2.sys (WIBU-SYSTEMS AG) DRV - (Haspnt) -- C:\WINDOWS\system32\drivers\Haspnt.sys (Aladdin Knowledge Systems) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (skeyusb) -- C:\WINDOWS\system32\drivers\skeyusb.sys (Aladdin Knowledge Systems Ltd.) DRV - (eusk2par) -- C:\WINDOWS\system32\drivers\eusk2par.sys (Aladdin Knowledge Systems Ltd.) DRV - (thomedav) -- C:\WINDOWS\system32\drivers\thomedav.sys () DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (VIAHdAudAddService) -- C:\WINDOWS\system32\drivers\viahduaa.sys (VIA Technologies, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (Sentinel) -- C:\WINDOWS\System32\Drivers\SENTINEL.SYS (SafeNet, Inc.) DRV - (monfilt) -- C:\WINDOWS\system32\drivers\monfilt.sys (Creative Technology Ltd.) DRV - (SNTNLUSB) -- C:\WINDOWS\system32\drivers\SNTNLUSB.SYS (SafeNet, Inc.) DRV - (NHCIMONO_L) -- C:\WINDOWS\system32\drivers\nhcimonoL.sys (Lantronix) DRV - (Hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.) DRV - (aksusb) -- C:\WINDOWS\system32\drivers\aksusb.sys (Aladdin Knowledge Systems Ltd.) DRV - (akshasp) -- C:\WINDOWS\system32\drivers\akshasp.sys (Aladdin Knowledge Systems Ltd.) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (atfsd) -- C:\WINDOWS\system32\drivers\ATFSD.SYS (Miramar Systems Inc.) DRV - (atalk) -- C:\WINDOWS\system32\drivers\ATALK.SYS (Miramar Systems Inc.) DRV - (Pei16Wdm) -- C:\WINDOWS\system32\drivers\Pei16Wdm.sys (EIBA s.c.) DRV - (Pei10Wdm) -- C:\WINDOWS\system32\drivers\Pei10Wdm.sys (EIBA s.c.) DRV - (ElgTaDrv) -- C:\WINDOWS\system32\drivers\ElgTaDrv.sys (elmeg Kommunikationstechnik) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.http: "192.168.0.101" FF - prefs.js..network.proxy.http_port: 800 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.16 08:31:55 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 08:31:55 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.09.20 11:39:34 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.07.09 09:00:33 | 000,000,000 | ---D | M] [2010.01.05 12:08:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.01.05 12:08:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.10.07 13:32:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ilqxafgf.default\extensions [2010.05.03 15:02:12 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ilqxafgf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.10.07 13:32:15 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2008.01.16 02:28:50 | 000,155,648 | ---- | M] (Solidworks Corporation) -- C:\Programme\Mozilla Firefox\plugins\npEModelPlugin.dll [2009.07.09 09:00:33 | 000,072,960 | ---- | M] (Foxit Software Company) -- C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll [2009.11.03 10:40:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.11.03 10:40:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.11.03 10:40:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.11.03 10:40:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.11.03 10:40:04 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (PC Tools Browser Guard BHO) - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.) O3 - HKLM\..\Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - No CLSID value found. O3 - HKLM\..\Toolbar: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (PC Tools Browser Guard) - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (Threat Expert Ltd.) O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FileZilla Server Interface] C:\Programme\FileZilla Server\FileZilla Server Interface.exe (FileZilla Project) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck##.exe File not found O4 - HKLM..\Run: [ISTray] C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools) O4 - HKLM..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper##.exe File not found O4 - HKLM..\Run: [Miramar Systems, Inc.] C:\Programme\Miramar\PC MACLAN\ATMSG.EXE (Miramar Systems Inc.) O4 - HKLM..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe (Nokia Mobile Phones) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKCU..\Run: [Mediencenter Software] C:\Programme\Mediencenter\tonline.exe (Deutsche Telekom AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lantronix UBox USB Device Server Task.lnk = C:\Programme\Lantronix\UBox\nhciTaskL.exe (Lantronix) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe (Oki Data Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 0 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Programme\Gemeinsame Dateien\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.) O15 - HKCU\..Trusted Ranges: Range1 ([*] in Trusted sites) O15 - HKCU\..Trusted Ranges: Range1 ([http] in Trusted sites) O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} hxxp://eic.lgservice.com/DjvuViewer/DjVuControl-6.1.4.cab (DjVuCtl Class) O16 - DPF: {15A7CF10-CB3E-4265-8779-9FD22619E8ED} hxxp://192.168.0.101/XPanel.cab (XPanel Class) O16 - DPF: {673204A0-F8B3-4090-8506-80658C5D02C6} hxxp://192.168.0.101/nwcv3setup.exe (WebVideoCtrl Class) O16 - DPF: {6F83F815-49D0-46BB-A81C-A9D18C33A0E7} hxxp://192.168.0.201/cab/Dibos80.CAB (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {F74959B0-1779-472E-BE6E-3023E1DBEC73} hxxp://192.168.0.101/XInit.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (硅汰牯牥攮數DOWS\S) - File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.21 10:26:27 | 000,000,000 | ---D | C] -- C:\Programme\Crestron [2010.09.16 08:21:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.09.16 08:21:47 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.16 08:21:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.16 08:21:45 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.16 08:21:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.14 11:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer [2010.09.14 11:06:50 | 000,000,000 | ---D | C] -- C:\Programme\TeamViewer [2010.09.09 11:57:06 | 000,000,000 | ---D | C] -- C:\Programme\ADVANTECH [2010.09.09 10:05:46 | 000,000,000 | ---D | C] -- C:\Programme\RealVNC [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.10.08 09:12:39 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2010.10.08 09:12:20 | 000,186,500 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.10.08 09:10:50 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.10.08 09:10:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.10.08 09:10:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.10.08 08:16:59 | 000,003,459 | ---- | M] () -- C:\WINDOWS\wincmd.ini [2010.10.07 15:09:30 | 000,001,092 | ---- | M] () -- C:\WINDOWS\wcx_ftp.ini [2010.10.07 14:58:48 | 006,553,600 | ---- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.10.05 21:38:52 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.10.04 12:00:11 | 000,141,240 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.09.30 10:40:51 | 000,000,745 | ---- | M] () -- C:\WINDOWS\unins000.dat [2010.09.30 10:40:45 | 000,707,418 | ---- | M] () -- C:\WINDOWS\unins000.exe [2010.09.30 08:48:01 | 000,014,336 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\JC Adressen öffnen.FP3 [2010.09.16 12:06:20 | 000,007,793 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Unbenannt 1.odt [2010.09.16 08:37:01 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for [2010.09.16 08:21:50 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.15 03:04:49 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.09.14 11:06:56 | 000,000,877 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 5.lnk [2010.09.09 12:06:31 | 000,000,997 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ADAM-5000TCP-6000 Utility.lnk [2010.09.09 10:02:45 | 000,013,493 | ---- | M] () -- C:\WINDOWS\ODBC.INI [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.30 10:40:46 | 000,707,418 | ---- | C] () -- C:\WINDOWS\unins000.exe [2010.09.30 10:40:46 | 000,000,745 | ---- | C] () -- C:\WINDOWS\unins000.dat [2010.09.16 12:06:20 | 000,007,793 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Unbenannt 1.odt [2010.09.16 08:37:01 | 000,001,409 | ---- | C] () -- C:\WINDOWS\QTFont.for [2010.09.16 08:37:00 | 000,054,156 | -H-- | C] () -- C:\WINDOWS\QTFont.qfn [2010.09.16 08:21:50 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.14 11:06:56 | 000,000,877 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 5.lnk [2010.09.09 11:57:19 | 000,000,997 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ADAM-5000TCP-6000 Utility.lnk [2010.09.09 11:57:18 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\ADAMTCP.dll [2010.09.09 11:57:17 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\adv5ktcp.dll [2010.08.13 20:03:48 | 000,277,792 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.06.24 09:26:10 | 000,011,275 | ---- | C] () -- C:\WINDOWS\System32\vgttsd.dll [2010.04.19 14:16:52 | 000,077,759 | ---- | C] () -- C:\WINDOWS\System32\rxtxSerial.dll [2010.04.19 14:16:52 | 000,047,421 | ---- | C] () -- C:\WINDOWS\System32\rxtxParallel.dll [2010.03.11 12:17:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Comms.INI [2010.03.11 12:13:33 | 000,000,060 | ---- | C] () -- C:\WINDOWS\BACKUP~1.INI [2010.03.08 11:09:30 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\SKEYVDD.DLL [2010.03.08 11:09:29 | 000,131,580 | ---- | C] () -- C:\WINDOWS\System32\DMXCRD32.DLL [2010.03.08 10:50:44 | 000,000,184 | ---- | C] () -- C:\WINDOWS\WinScript.INI [2010.03.05 12:14:13 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.03.05 12:13:52 | 000,034,639 | ---- | C] () -- C:\WINDOWS\System32\drivers\axblan.sys [2010.03.03 10:33:43 | 000,000,719 | ---- | C] () -- C:\WINDOWS\Soundweb.ini [2010.01.20 10:34:46 | 000,066,560 | ---- | C] () -- C:\WINDOWS\System32\usbdrv.sys [2010.01.04 11:56:25 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll0545.old [2010.01.04 11:56:25 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll.old [2010.01.04 11:56:25 | 000,767,952 | ---- | C] () -- C:\WINDOWS\BDTSupport.dll [2009.12.02 15:19:26 | 000,014,336 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.11.20 13:06:40 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\VPN.dll [2009.11.12 15:42:01 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CsvImExport.INI [2009.10.28 13:11:49 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\nhciClassInstallL.dll [2009.08.18 10:10:54 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI [2009.08.12 07:51:22 | 000,013,493 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.08.12 07:39:08 | 000,000,383 | ---- | C] () -- C:\WINDOWS\System32\haspdos.sys [2009.08.06 11:49:43 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll [2009.07.09 09:50:40 | 000,001,563 | ---- | C] () -- C:\WINDOWS\cmvpt32.ini [2009.07.07 09:55:01 | 000,001,092 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini [2009.07.01 15:22:47 | 000,479,301 | ---- | C] () -- C:\WINDOWS\System32\DOWCommon.dll [2009.07.01 15:22:47 | 000,083,072 | ---- | C] () -- C:\WINDOWS\System32\drivers\thomedav.sys [2009.07.01 15:22:47 | 000,061,514 | ---- | C] () -- C:\WINDOWS\System32\thomevnp.dll [2009.06.18 15:22:26 | 000,274,432 | ---- | C] () -- C:\WINDOWS\System32\Cmpnl32.dll [2009.06.18 15:22:26 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\SSLeay32.dll [2009.06.18 15:22:26 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\GCL52FWZ.DLL [2009.06.18 15:22:26 | 000,109,568 | ---- | C] () -- C:\WINDOWS\System32\GCL52FW.DLL [2009.06.18 15:22:26 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\CMUpdate.dll [2009.06.16 11:46:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eDrawingOfficeAutomator.INI [2009.06.16 11:38:18 | 000,106,047 | ---- | C] () -- C:\WINDOWS\System32\NWNETAPI.DLL [2009.06.16 11:38:18 | 000,035,308 | ---- | C] () -- C:\WINDOWS\System32\NWIPXSPX.DLL [2009.06.16 08:21:25 | 000,003,459 | ---- | C] () -- C:\WINDOWS\wincmd.ini [2009.06.15 11:42:56 | 000,096,071 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log [2009.06.15 11:36:22 | 000,018,412 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2009.06.15 11:35:35 | 000,018,169 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2009.06.15 11:35:35 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2009.06.15 11:35:22 | 000,012,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008.05.16 20:31:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008.05.16 20:31:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.05.16 20:31:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008.05.16 20:31:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008.05.16 20:31:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2005.12.21 17:57:36 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\nsldap32v50.dll [2005.12.21 17:57:04 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\nsldappr32v50.dll [2005.12.21 17:54:34 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\nsldapssl32v50.dll [2004.04.14 17:53:52 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\retlongpfadnameB.dll [2003.10.02 17:21:24 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\dsci.dll [2003.03.16 14:20:22 | 000,044,480 | ---- | C] () -- C:\WINDOWS\System32\MATRIX16.DLL [2002.05.31 09:04:00 | 000,495,616 | ---- | C] () -- C:\WINDOWS\System32\Tx32.dll [2001.03.06 14:08:30 | 000,077,824 | R--- | C] () -- C:\WINDOWS\System32\gidReg.dll [1999.01.14 04:10:00 | 000,036,352 | ---- | C] () -- C:\WINDOWS\System32\SX32W.DLL [1998.07.11 23:13:00 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll ========== LOP Check ========== [2010.06.04 11:13:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3rd Eye Solutions [2009.08.12 07:38:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elka Shared [2010.02.09 10:59:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2010.06.24 09:26:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GAEB-Viewer [2009.11.24 13:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GKsrv [2010.03.08 13:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Medialon [2009.11.30 10:32:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MediaMatrix [2010.10.08 09:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2009.11.20 12:34:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\EIBA sc [2010.02.09 11:02:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\elsterformular [2009.06.16 10:56:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Foxit [2009.11.24 13:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GAEB-Viewer [2009.11.24 13:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\GKsrv [2010.06.08 16:45:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\IPP2 [2009.06.18 08:46:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org [2010.10.04 15:29:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TeamViewer [2010.01.05 12:08:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird [2010.01.21 15:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TPDesign4 ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 171 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2 @Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1CA73D29 @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8 < End of report > Kann mir jemand weiterhelfen? Die Rechner verhalten sich ansonsten unauffällig; ich habe ja die Hoffnung, daß es sich um einen Antivir Fehlalarm handelt. Gruß ich |
| Themen zu TR/Crypt.XPACK.Gen3 |
| .com, 0x00000001, adobe, alternate, antivir, avgntflt.sys, avira, bho, bonjour, browser, browser guard, components, defender, desktop, downloader, einstellungen, error, fehlalarm, firefox, firefox.exe, fontcache, format, homepage, location, logfile, mozilla, mozilla thunderbird, oldtimer, otl logfile, otl.exe, pc tools spyware doctor, plug-in, realtek, registry, sched.exe, searchplugins, server, software, spyware, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen3, usb |
Baum-Darstellung