TR/Crypt.ZPACK.Gen sowie -Gen2

bluemonday04 · 08.12.2010, 19:00

Hallo,

ich hab gelesen, wie Ihr Delphina helfen konntet - jetzt brauche ich Eure Unterstützung.

Wie gewünscht lasse ich Euch die notwendigen Files als ZIP zukommen.

Im Programm "Malwarebytes" habe ich bis jetzt nur den Suchlauf gestartet, die bösartigen Programme wurden noch nicht entfernt.

Gruß
Andreas

cosinus · 09.12.2010, 11:29

Zitat:

-> No action taken.

Steht da überall. Hast du die Funde nicht entfernt, was du lt. Anleitung aber tun musst?

bluemonday04 · 10.12.2010, 00:37

sorry, habe ich leider übersehen.

anbei der aktuelle log.

cosinus · 10.12.2010, 11:39

Wenn die erst nach dem Erstellen der OTL-Logs entfernt wurden, brauch ich jetzt auch neue OTL-Logs.

bluemonday04 · 10.12.2010, 13:58

Hallo Arne,

hab Dir alle 3 logs neu eingestellt - das sind die aktuellen.

cosinus · 10.12.2010, 19:09

Nur mal so als Tipp: Man kann auch mehere Dateien in eine einzige ZIP Datei packen. Dann musst du nur noch eine Datei hoch und ich nur noch eine Datei runterladen...

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
@Alternate Data Stream - 98 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A11F741D
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

bluemonday04 · 10.12.2010, 20:03

Hier der Log:

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A11F741D deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Andreas
->Temp folder emptied: 80684402 bytes
->Temporary Internet Files folder emptied: 94064466 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 9733 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 19371656 bytes

User: NetworkService
->Temp folder emptied: 1658064 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 75155130 bytes
RecycleBin emptied: 7661734 bytes

Total Files Cleaned = 266,00 mb

OTL by OldTimer - Version 3.2.17.3 log created on 12102010_195605

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\GLYFGH2J\1903447427@Top1,TopRight,Left,Right,Right1,Right2,Right3,Right4,Right5,Middle,Middle1,Middle2,Bottom,Bottom3,Position1,Posi tion2,x01,x02,x03,x04,x05,x06,x07,x08,x09,x10,x[1] not found!
File\Folder C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\4PQBKH2F\1346736345@Top1,TopRight,Left,Right,Right1,Right2,Right3,Right4,Right5,Middle,Middle1,Middle2,Bottom,Bottom3,Position1,Posi tion2,x01,x02,x03,x04,x05,x06,x07,x08,x09,x10,x[1] not found!
File\Folder C:\WINDOWS\temp\TMP00000016964247BEA5A9A578 not found!

Registry entries deleted on Reboot...

cosinus · 10.12.2010, 20:19

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

bluemonday04 · 10.12.2010, 23:38

Hier der Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-09.04 - Andreas 10.12.2010  23:25:32.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.959.499 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andreas\Desktop\Cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\pdfforge Toolbar\SearchSettings.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-10 bis 2010-12-10  ))))))))))))))))))))))))))))))
.

2010-12-10 18:56 . 2010-12-10 18:56	--------	d-----w-	C:\_OTL
2010-12-10 17:36 . 2010-11-10 04:33	6273872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{EB72E68A-6341-4547-B62B-78C88D78C8BF}\mpengine.dll
2010-12-08 17:37 . 2010-12-08 17:37	--------	d-----w-	c:\programme\7-Zip
2010-12-08 15:37 . 2010-12-08 15:37	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\Malwarebytes
2010-12-08 15:35 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-08 15:35 . 2010-12-08 15:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-08 15:35 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-08 15:35 . 2010-12-08 15:35	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-27 20:09 . 2010-11-27 20:10	--------	d-----w-	c:\dokumente und einstellungen\Andreas\Anwendungsdaten\TOMI2.THE GATES OF FATE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-09 23:15 . 2010-05-17 20:10	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-24 21:57 . 2009-06-26 13:43	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-10 04:33 . 2007-04-10 16:47	6273872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
2010-10-19 09:41 . 2009-10-03 08:52	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-18 10:22 . 2000-02-05 07:58	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2000-02-05 07:58	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2000-02-05 07:58	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2000-02-05 07:58	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-15 02:50 . 2010-04-22 20:57	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-09-15 00:29 . 2009-12-07 15:04	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-09-14 21:40 . 2010-09-14 21:40	1046736	----a-w-	c:\programme\Driverwhiz.exe
2007-09-21 16:50 . 2007-09-21 16:50	2293712	----a-w-	c:\programme\FLV PlayerFCSetup.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 68856]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2010-01-07 974848]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-09-08 421888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 68856]

c:\dokumente und einstellungen\Andreas\Startmen\Programme\Autostart\
Internet Explorer Browser starten.lnk - c:\programme\Internet Explorer\iexplore.exe [2006-7-18 638816]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Messenger\\Msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.05.2010 21:10 135336]
R2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [07.01.2010 23:51 380928]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [25.08.2007 13:51 24652]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 17:19 13592]
S2 gupdate1c9fa739de896fe;Google Update Service (gupdate1c9fa739de896fe);c:\programme\Google\Update\GoogleUpdate.exe [01.07.2009 18:44 133104]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 15:05 14904]
.
Inhalt des "geplante Tasks" Ordners

2010-11-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-12-10 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-26 17:43]

2010-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-01 17:44]

2010-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-07-01 17:44]

2010-12-10 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 16:20]

2010-06-19 c:\windows\Tasks\NSSstub.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe [2009-10-21 16:51]

2010-12-10 c:\windows\Tasks\User_Feed_Synchronization-{910AD509-C55F-4801-8045-B9E6118E4B8B}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.vol.at/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Trusted Zone: banking.co.at\www
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-RunOnce-FlashPlayerUpdate - c:\windows\system32\Macromed\Flash\GetFlash.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-10 23:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-12-10  23:34:13
ComboFix-quarantined-files.txt  2010-12-10 22:34

Vor Suchlauf: 16 Verzeichnis(se), 169.290.653.696 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 169.342.586.880 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 480A975FB07E017F1B421FD19FE12D28

--- --- ---

bluemonday04 · 11.12.2010, 02:08

Weiterer Log: GMER

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-11 01:51:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-e ST3200827A rev.3.AAE
Running: q7ulb6pj.exe; Driver: C:\DOKUME~1\Andreas\LOKALE~1\Temp\fxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT      F7C1336E                                           ZwCreateKey
SSDT      F7C13364                                           ZwCreateThread
SSDT      F7C13373                                           ZwDeleteKey
SSDT      F7C1337D                                           ZwDeleteValueKey
SSDT      F7C13382                                           ZwLoadKey
SSDT      F7C13350                                           ZwOpenProcess
SSDT      F7C13355                                           ZwOpenThread
SSDT      F7C1338C                                           ZwReplaceKey
SSDT      F7C13387                                           ZwRestoreKey
SSDT      F7C13378                                           ZwSetValueKey

INT 0x01  ?                                                  F793DC42

Code      \??\C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?         C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !
?         C:\WINDOWS\system32\Drivers\PROCEXP113.SYS         Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device                                                       Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                       mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

bluemonday04 · 11.12.2010, 02:08

Weiterer Log: OSAM

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-11 01:51:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-e ST3200827A rev.3.AAE
Running: q7ulb6pj.exe; Driver: C:\DOKUME~1\Andreas\LOKALE~1\Temp\fxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT      F7C1336E                                           ZwCreateKey
SSDT      F7C13364                                           ZwCreateThread
SSDT      F7C13373                                           ZwDeleteKey
SSDT      F7C1337D                                           ZwDeleteValueKey
SSDT      F7C13382                                           ZwLoadKey
SSDT      F7C13350                                           ZwOpenProcess
SSDT      F7C13355                                           ZwOpenThread
SSDT      F7C1338C                                           ZwReplaceKey
SSDT      F7C13387                                           ZwRestoreKey
SSDT      F7C13378                                           ZwSetValueKey

INT 0x01  ?                                                  F793DC42

Code      \??\C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys  pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?         C:\DOKUME~1\Andreas\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !
?         C:\WINDOWS\system32\Drivers\PROCEXP113.SYS         Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device                                                       Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                       mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

bluemonday04 · 11.12.2010, 11:49

Hier der MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000c

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABC000 \WINDOWS\system32\KDCOM.DLL
0xF79CC000 \WINDOWS\system32\BOOTVID.dll
0xF748C000 ACPI.sys
0xF7ABE000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747B000 pci.sys
0xF75BC000 isapnp.sys
0xF75CC000 ohci1394.sys
0xF75DC000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF7B84000 pciide.sys
0xF783C000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF75EC000 MountMgr.sys
0xF745C000 ftdisk.sys
0xF7844000 PartMgr.sys
0xF75FC000 VolSnap.sys
0xF7444000 atapi.sys
0xF760C000 disk.sys
0xF761C000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7424000 fltmgr.sys
0xF7412000 sr.sys
0xF73FB000 KSecDD.sys
0xF73E8000 WudfPf.sys
0xF735B000 Ntfs.sys
0xF732E000 NDIS.sys
0xF7314000 Mup.sys
0xF768C000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF76FC000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF6BD6000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
0xF6BC2000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7974000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF6B9E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF797C000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF770C000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF771C000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF772C000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF6B7B000 \SystemRoot\system32\DRIVERS\ks.sys
0xF6B53000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF773C000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7AAC000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF6B3F000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF7CFE000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF774C000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7AB0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B28000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF775C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF776C000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7984000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF6B17000 \SystemRoot\system32\DRIVERS\psched.sys
0xF777C000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF798C000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7994000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF778C000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF799C000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF79A4000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6AB9000 \SystemRoot\system32\DRIVERS\update.sys
0xF72F0000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF779C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF77CC000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7AF4000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF2A25000 \SystemRoot\system32\drivers\HdAudio.sys
0xF2A01000 \SystemRoot\system32\drivers\portcls.sys
0xF77EC000 \SystemRoot\system32\drivers\drmk.sys
0xF7AF8000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7BBF000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AFA000 \SystemRoot\System32\Drivers\Beep.SYS
0xF79C4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF7854000 \SystemRoot\System32\drivers\vga.sys
0xF7AFC000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AFE000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7894000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF789C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7A4C000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF29CE000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF2975000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF294D000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2927000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xF77FC000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF2865000 \SystemRoot\System32\drivers\afd.sys
0xF780C000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF78A4000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF2812000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF27A2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF781C000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF782C000 \SystemRoot\System32\Drivers\Fips.SYS
0xF78AC000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF7A78000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF6DE9000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF7A7C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF7A84000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF11DC000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7B0E000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF6D69000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF11C4000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7B1A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF6AA1000 \SystemRoot\System32\drivers\Dxapi.sys
0xF78CC000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7CC3000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\ati2dvag.dll
0xBF055000 \SystemRoot\System32\ati2cqag.dll
0xBF094000 \SystemRoot\System32\atikvmag.dll
0xBF0CA000 \SystemRoot\System32\ati3duag.dll
0xBF355000 \SystemRoot\System32\ativvaxx.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xEEF6F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xEEE73000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xEEBFA000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xEEBBD000 \SystemRoot\system32\drivers\wdmaud.sys
0xEEE8F000 \SystemRoot\system32\drivers\sysaudio.sys
0xEE7BD000 \SystemRoot\system32\DRIVERS\srv.sys
0xEDFA9000 \SystemRoot\System32\Drivers\HTTP.sys
0xF7B0C000 \SystemRoot\system32\DRIVERS\psi_mf.sys
0xED7C1000 \SystemRoot\system32\drivers\kmixer.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
0 System Idle Process
4 System
440 C:\WINDOWS\system32\smss.exe
488 csrss.exe
516 C:\WINDOWS\system32\winlogon.exe
560 C:\WINDOWS\system32\services.exe
576 C:\WINDOWS\system32\lsass.exe
764 C:\WINDOWS\system32\ati2evxx.exe
780 C:\WINDOWS\system32\svchost.exe
880 svchost.exe
964 C:\Programme\Windows Defender\MsMpEng.exe
1004 C:\WINDOWS\system32\svchost.exe
1048 C:\WINDOWS\system32\svchost.exe
1176 svchost.exe
1260 svchost.exe
1344 C:\WINDOWS\system32\spoolsv.exe
1396 C:\Programme\Avira\AntiVir Desktop\sched.exe
1500 svchost.exe
1624 C:\WINDOWS\system32\ati2evxx.exe
1732 C:\WINDOWS\explorer.exe
1904 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1916 C:\Programme\Application Updater\ApplicationUpdater.exe
2016 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
2044 C:\Programme\Java\jre6\bin\jqs.exe
144 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
364 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
404 C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
432 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
612 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
708 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
800 C:\Programme\QuickTime\QTTask.exe
956 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
1164 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
1496 C:\WINDOWS\system32\svchost.exe
1548 C:\Programme\Viewpoint\Common\ViewpointService.exe
1800 C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
2360 C:\Programme\Internet Explorer\iexplore.exe
2568 C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
2604 C:\Programme\Secunia\PSI\psi.exe
2692 C:\Programme\HP\Digital Imaging\bin\hpqste08.exe
3648 alg.exe
3968 C:\Programme\Microsoft Office\Office10\WINWORD.EXE
240 C:\WINDOWS\system32\ctfmon.exe
1884 C:\WINDOWS\system32\svchost.exe
2872 C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
3912 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
3892 C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
3336 C:\Programme\Internet Explorer\iexplore.exe
2076 C:\Programme\Internet Explorer\iexplore.exe
3028 C:\Dokumente und Einstellungen\Andreas\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: ST3200827A, Rev: 3.AAE

Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

Done!

cosinus · 11.12.2010, 14:33

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

bluemonday04 · 11.12.2010, 17:36

Hier der neueste Log von MWB; SSW folgt.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5271

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.12.2010 17:34:24
mbam-log-2010-12-11 (17-34-24).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 250212
Laufzeit: 58 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bluemonday04 · 11.12.2010, 19:39

Hier der Log von Super-Anti-SW:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/11/2010 at 07:34 PM

Application Version : 4.46.1000

Core Rules Database Version : 5989
Trace Rules Database Version: 3801

Scan type : Complete Scan
Total Scan Time : 01:57:58

Memory items scanned : 753
Memory threats detected : 0
Registry items scanned : 7059
Registry threats detected : 0
File items scanned : 121662
File threats detected : 27

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@smartadserver[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@adx.chip[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ww251.smartadserver[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@tracking.mindshare[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad4.adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad3.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@doubleclick[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@webadgency.solution.weborama[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad.zanox[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@webmasterplan[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@eas4.emediate[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad2.adfarm1.adition[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@serving-sys[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@weborama[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad.chip[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@skydeutschland.122.2o7[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@ad.adc-serv[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@zanox[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Andreas\Cookies\andreas@bs.serving-sys[1].txt
ia.media-imdb.com [ C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\XXDFSK27 ]

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99C5AF18-78D9-4A58-BCCF-7C874BC9DA34}\RP1513\A0097849.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99C5AF18-78D9-4A58-BCCF-7C874BC9DA34}\RP1513\A0097850.EXE

10.12.2010, 11:39	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Crypt.ZPACK.Gen sowie -Gen2 Wenn die erst nach dem Erstellen der OTL-Logs entfernt wurden, brauch ich jetzt auch neue OTL-Logs. __________________ Logfiles bitte immer in CODE-Tags posten

11.12.2010, 14:33	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Crypt.ZPACK.Gen sowie -Gen2 Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

TR/Crypt.ZPACK.Gen sowie -Gen2

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen sowie -Gen2