Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
conhost.exe (Crypt.XPACK.Gen)

conhost.exe (Crypt.XPACK.Gen)


Plagegeister aller Art und deren Bekämpfung: conhost.exe (Crypt.XPACK.Gen)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 17.02.2011, 17:24   #16
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Problem:

Combofix meckert rum das AntiVir läuft, dabei läuft es doch gar nicht oder?
Siehe Bild im Anhang mit Taskmanager.

Conhost.exe ist auch wieder aktiv.
Eigentlich dürfte AntiVir ja auch gar nicht laufen, weil wir ja alles aus dem Autostart rausgenommen haben und ich nichts gestartet habe.

Wie soll ich verfahren?
Combofix starten?

conhost.exe (Crypt.XPACK.Gen)-problem.jpg

Alt 17.02.2011, 17:29   #17
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Ja CF einfach starten
__________________

__________________
Alt 17.02.2011, 17:43   #18
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-16.05 - Jonas 17.02.2011  17:31:57.1.4 - x86
Microsoft Windows 7 Ultimate   6.1.7600.0.1252.49.1031.18.2047.1427 [GMT 1:00]
ausgeführt von:: c:\users\Jonas\Desktop\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Desktop

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-17 bis 2011-02-17  ))))))))))))))))))))))))))))))
.

2011-02-17 16:36 . 2011-02-17 16:36	--------	d-----w-	c:\users\Default\AppData\Local\temp
2011-02-16 16:59 . 2011-02-16 16:59	--------	d-----w-	c:\program files\ERUNT
2011-02-16 16:49 . 2011-02-16 16:49	--------	d-----w-	c:\users\Jonas\AppData\Roaming\Malwarebytes
2011-02-16 16:49 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-16 16:49 . 2011-02-16 16:49	--------	d-----w-	c:\programdata\Malwarebytes
2011-02-16 16:49 . 2011-02-16 16:49	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-02-16 16:49 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-16 16:42 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F2C8DE84-A7C6-4DB4-A926-5FDC71796933}\mpengine.dll
2011-02-13 23:43 . 2011-02-14 19:41	--------	d-----w-	c:\program files\SpyNoMore
2011-02-10 13:48 . 2011-01-05 03:37	2329088	----a-w-	c:\windows\system32\win32k.sys
2011-02-10 13:48 . 2010-12-18 05:29	541184	----a-w-	c:\windows\system32\kerberos.dll
2011-02-10 13:48 . 2011-01-05 05:37	428032	----a-w-	c:\windows\system32\vbscript.dll
2011-02-09 21:00 . 2011-02-09 21:00	--------	d-----w-	c:\program files\iPod

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-30 17:51 . 2009-12-30 18:57	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-23 18:31 . 2009-12-30 18:57	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-06-10 15:28	1233288	----a-w-	c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-06-10 1233288]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-06-10 1233288]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="j:\program files\ICQ7.0\ICQ.exe" [2011-01-05 133432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\acaptuser32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2010-09-22 17:11	640440	----a-w-	c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-05-07 18:49	1238352	----a-w-	j:\program files\Steam\Steam.exe

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-05-06 136176]
R3 DAUpdaterSvc;Dragon Age: Origins - Inhaltsupdater;j:\spiele\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [x]
R4 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\program files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [2008-08-15 284016]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-01-03 691696]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-14 135336]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-03-25 490280]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
S3 UsbFltr;Razer Copperhead Driver;c:\windows\system32\drivers\copperhd.sys [2009-11-10 12416]

.
Inhalt des "geplante Tasks" Ordners

2011-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-06 17:41]

2011-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-06 17:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: An vorhandene PDF-Datei anfügen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Jonas\AppData\Roaming\Mozilla\Firefox\Profiles\r3gmtejq.default\
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Winamp Toolbar: {0b38152b-1b20-484d-a11f-5e04a9b0661f} - %profile%\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
FF - Ext: vShare: vshare@toolbar - %profile%\extensions\vshare@toolbar
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-AdobeBridge - (no file)
AddRemove-Ultravnc2_is1 - c:\users\Jonas\Desktop\UltraVNC\unins000.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(2180)
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
Zeit der Fertigstellung: 2011-02-17  17:37:36
ComboFix-quarantined-files.txt  2011-02-17 16:37

Vor Suchlauf: 8 Verzeichnis(se), 67.991.744.512 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 67.899.723.776 Bytes frei

- - End Of File - - AFA8D563B62AF53A4CB1DC4558A6EEA5
--- --- ---
__________________
Alt 17.02.2011, 19:35   #19
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2011, 20:20   #20
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-02-17 20:10:34
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 ST3360320AS rev.3.AAM
Running: g2m3e4r.exe; Driver: C:\Users\Jonas\AppData\Local\Temp\kglcypow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                     82A84589 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                              82AA9092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
?               C:\Windows\system32\Drivers\PROCEXP113.SYS                                                                          Das System kann die angegebene Datei nicht finden. !
?               C:\Users\Jonas\AppData\Local\Temp\catchme.sys                                                                       Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000048                                                                                   halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume6                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume8                                                                              fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                                                                                            fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x32 0xA8 0x66 0xBD ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xC1 0x8B 0xA6 0xF2 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x53 0x24 0x47 0xA1 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                0xC3 0xF8 0xEB 0x33 ...
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2                      
Reg             HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                0xFF 0x28 0x85 0x30 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x32 0xA8 0x66 0xBD ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xC1 0x8B 0xA6 0xF2 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x53 0x24 0x47 0xA1 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12                    0xC3 0xF8 0xEB 0x33 ...
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2@hdf12                    0xFF 0x28 0x85 0x30 ...

---- EOF - GMER 1.0.15 ----
--- --- ---
OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:15:35 on 17.02.2011

OS: Windows 7 Ultimate Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.13

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[AppInit DLLs]
-----( HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows )-----
"AppInit_DLLs" - "Adobe Systems Incorporated" - C:\Windows\System32\acaptuser32.dll

[Common]
-----( %SystemRoot%\Tasks )-----
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"copperhd.cpl" - "Razer Inc." - C:\Windows\system32\copperhd.cpl
"PhysX.cpl" - "NVIDIA Corporation" - C:\Windows\system32\PhysX.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Adobe Version Cue CS4" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.cpl
"mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLCFG32.CPL
"Nero BurnRights 10" - "Nero AG" - C:\Program Files\Nero\Nero 10\Nero BurnRights\NeroBurnRights_10.cpl
"QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"adfs" (adfs) - "Adobe Systems, Inc." - C:\Windows\system32\drivers\adfs.sys
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Jonas\AppData\Local\Temp\catchme.sys  (File not found)
"kglcypow" (kglcypow) - ? - C:\Users\Jonas\AppData\Local\Temp\kglcypow.sys  (Hidden registry entry, rootkit activity | File not found)
"mbr" (mbr) - ? - C:\ComboFix\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Program Files\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - J:\Program Files\iTunes\iTunesMiniPlayer.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{F764812A-132C-4013-9960-5CBBEB408A0E} "NeroShellExt Class" - "Nero AG" - C:\Program Files\Common Files\Nero\NeroShellExt\NeroShellExt.dll
{3D1975AF-48C6-4f8e-A182-BE0E08FA86A9} "NVIDIA CPL Context Menu Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvshext.dll
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\Windows\system32\nvcpl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Nero Toolbar" - "Ask.com" - C:\Program Files\Ask.com\GenericAskToolbar.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_15" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_15.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7" - "ICQ, LLC." - J:\Program Files\ICQ7.0\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{517BDDE4-E3A7-4570-B21E-2B52B6139FC7} "Contribute Toolbar" - "Adobe Systems Incorporated." - J:\Program Files\Adobe\Adobe Contribute CS4\contributeieplugin.dll
<binary data> "Nero Toolbar" - "Ask.com" - C:\Program Files\Ask.com\GenericAskToolbar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{074C1DC5-9320-4A9A-947D-C042949C6216} "ContributeBHO Class" - "Adobe Systems Incorporated." - J:\Program Files\Adobe\Adobe Contribute CS4\contributeieplugin.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{D4027C7F-154A-4066-A1AD-4243D8127440} "Nero Toolbar" - "Ask.com" - C:\Program Files\Ask.com\GenericAskToolbar.dll
{F4971EE7-DAA0-4053-9964-665D8EE6A077} "SmartSelect Class" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Jonas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"ICQ" - "ICQ, LLC." - "J:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Adobe Drive CS4 Network" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Adobe PDF Port Monitor" - "Adobe Systems Inc" - C:\Windows\system32\AdobePDF.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"@C:\Program Files\Nero\Update\NASvc.exe,-200" (NAUpdate) - "Nero AG" - C:\Program Files\Nero\Update\NASvc.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe
"Dragon Age: Origins - Inhaltsupdater" (DAUpdaterSvc) - ? - J:\Spiele\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe  (File not found)
"FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe
"Macromedia Licensing Service" (Macromedia Licensing Service) - ? - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE
"NVIDIA Display Driver Service" (nvsvc) - "NVIDIA Corporation" - C:\Windows\system32\nvvsvc.exe
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Zitat:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: FUJITSU SIEMENS
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: FUJITSU SIEMENS
System Product Name: G31T-M2
Logical Drives Mask: 0x000003fc

Kernel Drivers (total 197):
0x82A41000 \SystemRoot\system32\ntkrnlpa.exe
0x82A0A000 \SystemRoot\system32\halmacpi.dll
0x80B9F000 \SystemRoot\system32\kdcom.dll
0x8860C000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x88684000 \SystemRoot\system32\PSHED.dll
0x88695000 \SystemRoot\system32\BOOTVID.dll
0x8869D000 \SystemRoot\system32\CLFS.SYS
0x886DF000 \SystemRoot\system32\CI.dll
0x8878A000 \SystemRoot\system32\drivers\Wdf01000.sys
0x88816000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x88824000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x8886C000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x88875000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8887D000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x88888000 \SystemRoot\system32\DRIVERS\pci.sys
0x888B2000 \SystemRoot\System32\drivers\partmgr.sys
0x888C3000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x888CB000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x888D6000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x888E6000 \SystemRoot\System32\drivers\volmgrx.sys
0x88931000 \SystemRoot\system32\DRIVERS\intelide.sys
0x88938000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x88946000 \SystemRoot\System32\drivers\mountmgr.sys
0x8895C000 \SystemRoot\system32\DRIVERS\atapi.sys
0x88965000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x88988000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x88991000 \SystemRoot\system32\drivers\fltmgr.sys
0x889C5000 \SystemRoot\system32\drivers\fileinfo.sys
0x889D6000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x88A39000 \SystemRoot\System32\Drivers\Ntfs.sys
0x88B68000 \SystemRoot\System32\Drivers\msrpc.sys
0x88B93000 \SystemRoot\System32\Drivers\ksecdd.sys
0x88C3E000 \SystemRoot\System32\Drivers\cng.sys
0x88C9B000 \SystemRoot\System32\drivers\pcw.sys
0x88CA9000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x88CB2000 \SystemRoot\system32\drivers\ndis.sys
0x88D69000 \SystemRoot\system32\drivers\NETIO.SYS
0x88DA7000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x88E38000 \SystemRoot\System32\drivers\tcpip.sys
0x88F81000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x88FB2000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x88FBB000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x88E00000 \SystemRoot\System32\Drivers\spldr.sys
0x88E08000 \SystemRoot\System32\drivers\rdyboost.sys
0x88DCC000 \SystemRoot\System32\Drivers\mup.sys
0x88DDC000 \SystemRoot\System32\drivers\hwpolicy.sys
0x88C00000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x88DE4000 \SystemRoot\system32\DRIVERS\disk.sys
0x88BA6000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x88A00000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x88A1F000 \SystemRoot\System32\Drivers\Null.SYS
0x88A26000 \SystemRoot\System32\Drivers\Beep.SYS
0x88A2D000 \SystemRoot\System32\drivers\vga.sys
0x8D80F000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x8D830000 \SystemRoot\System32\drivers\watchdog.sys
0x8D83D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x8D845000 \SystemRoot\system32\drivers\rdpencdd.sys
0x8D84D000 \SystemRoot\system32\drivers\rdprefmp.sys
0x8D855000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8D860000 \SystemRoot\System32\Drivers\Npfs.SYS
0x8D86E000 \SystemRoot\system32\DRIVERS\tdx.sys
0x8D885000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8D890000 \SystemRoot\system32\drivers\afd.sys
0x8D8EA000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8D91C000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8D923000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8D942000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8D950000 \SystemRoot\system32\DRIVERS\serial.sys
0x8D96A000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8D97D000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8D98D000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8D993000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8D9D4000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8D9DE000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8D9E8000 \SystemRoot\System32\drivers\discache.sys
0x8D220000 \SystemRoot\system32\drivers\csc.sys
0x8D284000 \SystemRoot\System32\Drivers\dfsc.sys
0x8D29C000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8D2AA000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8D2D0000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x8D2D2000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8D2F3000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x8E028000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8EB34000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x8EB36000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8D305000 \SystemRoot\System32\drivers\dxgmms1.sys
0x8E000000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8D33E000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x8EBED000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x8D363000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8D3AE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8D3BD000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x8D200000 \SystemRoot\system32\DRIVERS\parport.sys
0x8D3E9000 \SystemRoot\system32\DRIVERS\serenum.sys
0x8EBF8000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x8D3F3000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x88BE9000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x889E0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8D9F4000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x93807000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x93829000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x93841000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x93858000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x9386F000 \SystemRoot\system32\DRIVERS\tap0901.sys
0x93876000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x93880000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x9388D000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x9389A000 \SystemRoot\system32\DRIVERS\swenum.sys
0x9389C000 \SystemRoot\system32\DRIVERS\ks.sys
0x938D0000 \SystemRoot\system32\DRIVERS\umbus.sys
0x938DE000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x93922000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x93933000 \SystemRoot\system32\drivers\HdAudio.sys
0x93983000 \SystemRoot\system32\drivers\portcls.sys
0x939B2000 \SystemRoot\system32\drivers\drmk.sys
0x95EC0000 \SystemRoot\System32\win32k.sys
0x939CB000 \SystemRoot\System32\drivers\Dxapi.sys
0x939D5000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x939EB000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8D800000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8E01F000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x88BCB000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x89A37000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x89A4E000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x89A50000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x89A5B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x89A6E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x89A75000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x89A81000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0x89A98000 \SystemRoot\system32\drivers\copperhd.sys
0x89A9C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x89AA7000 \SystemRoot\system32\DRIVERS\monitor.sys
0x96120000 \SystemRoot\System32\TSDDD.dll
0x96150000 \SystemRoot\System32\cdd.dll
0x96170000 \SystemRoot\System32\ATMFD.DLL
0x89AB2000 \SystemRoot\system32\drivers\luafv.sys
0x89ACD000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x89AE2000 \SystemRoot\system32\drivers\WudfPf.sys
0x89AFC000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x89B0C000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x89B1F000 \SystemRoot\system32\drivers\HTTP.sys
0x89BA4000 \SystemRoot\system32\DRIVERS\bowser.sys
0x89BBD000 \SystemRoot\System32\drivers\mpsdrv.sys
0x89BCF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9B014000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9B04F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9B06A000 \SystemRoot\system32\DRIVERS\parvdm.sys
0x9B071000 \SystemRoot\System32\Drivers\adfs.SYS
0x9B082000 \SystemRoot\system32\drivers\peauth.sys
0x9B119000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9B123000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x9B144000 \SystemRoot\System32\drivers\tcpipreg.sys
0x99E13000 \SystemRoot\System32\DRIVERS\srv2.sys
0x99E62000 \SystemRoot\System32\DRIVERS\srv.sys
0x99ED4000 \SystemRoot\System32\Drivers\fastfat.SYS
0x99EFE000 \??\C:\Windows\system32\Drivers\PROCEXP113.SYS
0x99F00000 \??\C:\Users\Jonas\AppData\Local\Temp\catchme.sys
0x99F0F000 \??\C:\Users\Jonas\AppData\Local\Temp\kglcypow.sys
0x77110000 \Windows\System32\ntdll.dll
0x47E90000 \Windows\System32\smss.exe
0x77350000 \Windows\System32\apisetschema.dll
0x00B30000 \Windows\System32\autochk.exe
0x77270000 \Windows\System32\user32.dll
0x770B0000 \Windows\System32\difxapi.dll
0x76F50000 \Windows\System32\ole32.dll
0x77260000 \Windows\System32\normaliz.dll
0x76D50000 \Windows\System32\iertutil.dll
0x76D30000 \Windows\System32\imm32.dll
0x76C80000 \Windows\System32\rpcrt4.dll
0x76C40000 \Windows\System32\ws2_32.dll
0x76C20000 \Windows\System32\sechost.dll
0x76B70000 \Windows\System32\msvcrt.dll
0x76AA0000 \Windows\System32\msctf.dll
0x76A10000 \Windows\System32\oleaut32.dll
0x768D0000 \Windows\System32\urlmon.dll
0x76830000 \Windows\System32\usp10.dll
0x76750000 \Windows\System32\kernel32.dll
0x766D0000 \Windows\System32\comdlg32.dll
0x75A80000 \Windows\System32\shell32.dll
0x75A20000 \Windows\System32\shlwapi.dll
0x759F0000 \Windows\System32\imagehlp.dll
0x75850000 \Windows\System32\setupapi.dll
0x75800000 \Windows\System32\gdi32.dll
0x75700000 \Windows\System32\wininet.dll
0x75660000 \Windows\System32\advapi32.dll
0x75610000 \Windows\System32\Wldap32.dll
0x75580000 \Windows\System32\clbcatq.dll
0x77250000 \Windows\System32\psapi.dll
0x75570000 \Windows\System32\nsi.dll
0x75560000 \Windows\System32\lpk.dll
0x75540000 \Windows\System32\devobj.dll
0x754F0000 \Windows\System32\KernelBase.dll
0x75460000 \Windows\System32\comctl32.dll
0x75430000 \Windows\System32\cfgmgr32.dll
0x75310000 \Windows\System32\crypt32.dll
0x752E0000 \Windows\System32\wintrust.dll
0x752D0000 \Windows\System32\msasn1.dll

Processes (total 44):
0 System Idle Process
4 System
248 C:\Windows\System32\smss.exe
344 csrss.exe
412 C:\Windows\System32\wininit.exe
420 csrss.exe
468 C:\Windows\System32\services.exe
488 C:\Windows\System32\lsass.exe
496 C:\Windows\System32\lsm.exe
552 C:\Windows\System32\winlogon.exe
620 C:\Windows\System32\svchost.exe
724 C:\Windows\System32\nvvsvc.exe
764 C:\Windows\System32\svchost.exe
864 C:\Windows\System32\svchost.exe
896 C:\Windows\System32\svchost.exe
932 C:\Windows\System32\svchost.exe
1096 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\nvvsvc.exe
1248 C:\Windows\System32\svchost.exe
1456 C:\Windows\System32\spoolsv.exe
1488 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1508 C:\Windows\System32\svchost.exe
1648 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1676 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1688 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
1696 C:\Windows\System32\conhost.exe
1732 C:\Program Files\Bonjour\mDNSResponder.exe
1768 C:\Windows\System32\svchost.exe
1880 C:\Windows\System32\svchost.exe
2216 C:\Windows\System32\svchost.exe
2460 C:\Windows\System32\dwm.exe
3208 C:\Windows\System32\SearchIndexer.exe
4080 C:\Program Files\Nero\Update\NASvc.exe
2240 C:\Windows\System32\svchost.exe
2304 C:\Program Files\Windows Media Player\wmpnetwk.exe
2180 C:\Windows\explorer.exe
1896 C:\Program Files\Mozilla Firefox\firefox.exe
3628 C:\Windows\System32\SearchProtocolHost.exe
2448 C:\Windows\System32\SearchFilterHost.exe
2880 C:\Windows\System32\svchost.exe
792 C:\Windows\explorer.exe
2816 C:\Windows\System32\audiodg.exe
1292 C:\Users\Jonas\Desktop\MBRCheck.exe
2720 C:\Windows\System32\conhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000039`08100000 (NTFS)
\\.\J: --> \\.\PhysicalDrive0 at offset 0x00000002`ee100000 (NTFS)

PhysicalDrive0 Model Number: ST3360320AS, Rev: 3.AAM

Size Device Name MBR Status
--------------------------------------------
335 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!


Alt 17.02.2011, 20:23   #21
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
--> conhost.exe (Crypt.XPACK.Gen)

Alt 17.02.2011, 23:23   #22
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Nach deinen Anweisungen und nach jeweiligen Updates die geforderten Kontrolllogs.

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5786

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

17.02.2011 21:32:13
mbam-log-2011-02-17 (21-32-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 368378
Laufzeit: 1 Stunde(n), 1 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/17/2011 at 11:18 PM

Application Version : 4.48.1000

Core Rules Database Version : 6423
Trace Rules Database Version: 4235

Scan type : Complete Scan
Total Scan Time : 01:40:10

Memory items scanned : 594
Memory threats detected : 0
Registry items scanned : 9117
Registry threats detected : 0
File items scanned : 212410
File threats detected : 1

Adware.Casino Games (Golden Palace Casino)
J:\CASINO\BWIN CASINO\CASINO.EXE
Die Casino Software habe ich persönlich installiert und wird auch von mir genutzt.

Habe eben nebenbei auch meinen Laptop mal mit Malewarebytez durchlaufen lassen.
Leider wurden dort auch einiges gefunden. Aber dafür sollte ich dann der Übersichtlichkeit halber ein neuen Thread erstellen oder?

Alt 17.02.2011, 23:25   #23
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Sieht gut aus. Was hast du denn jetzt noch mit der conhost? Das ist ein legitimer Prozess bzw. eine legitime Datei (Windows Console Host)
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2011, 23:30   #24
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Ich habe nix, alles prima

Wenn wir dann soweit durch sind dann bedanke ich mich recht herzlich für deine Mühe und für dein Engagement dich mit meinem Problem zu beschäftigen. Wie oben bereits erwähnt werd ich dann auch noch mit meinem Laptop ein wenig Hilfe benötigen. Aber dafür melde ich mich dann Morgen in aller Ruhe.
Wünsche dir dann noch einen schönen Abend.

Gruß Jonas.

Achso, wie bekomme ich Antivir wieder in den Autostart nachdem du es rausgenommen hast bei einer dieser vielen Aktionen ^^
Weil im Moment lädt null komma nix beim starten.

Alt 17.02.2011, 23:37   #25
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Analog nur umgekehrt wie du es deaktiviert hast?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 17.02.2011, 23:42   #26
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Wenn ich mich recht erinnere, wurde die Autostartdatei im gleichem Atemzug wie die host-Datei gelöscht. Ich habe da nichts gemacht, das passierte durch die Eingabe des von dir vorgegebenen Befehls.

Oder seh ich das jetzt falsch?

Alt 17.02.2011, 23:51   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Nein, Virenscannereinträge hab ich nicht in den OTL-Fixes.
Schonmal über msconfig nachgesehen? Laufen alle Dienste von Antivir, nachgesehen über services.msc?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.02.2011, 00:01   #28
ArXs
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


conhost.exe (Crypt.XPACK.Gen)-dienste.jpg

conhost.exe (Crypt.XPACK.Gen)-systemstart.jpg

Unter den Systemstart existierten früher Einträge von Avira, die gibt es jetzt nicht mehr. Unten rechts wurde mir auch immer das Avira Symbol eingeblendet in der Taskleiste, das gibt jetzt auch nicht mehr.

Unter Dienste ist es gestartet, also sollte eigentlich alles ok sein oder?

Alt 18.02.2011, 00:17   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
conhost.exe (Crypt.XPACK.Gen) - Standard

conhost.exe (Crypt.XPACK.Gen)


Öffne doch mal das Menü Virenscanner und vergewissere dich da nochmal. Ein laufender aktiver Regenschirm ist nur ein optisches nice2have
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 2 von 2 1 2

Themen zu conhost.exe (Crypt.XPACK.Gen)
anlage, avira, befindet, browser, crypt.xpack.gen, datei, daten, desktop, diverse, extras.txt, fehlermeldung, gefahr, gelöscht, host.exe, interne, internetseite, mas, not, ordner, panik, seite, seiten, server, system, temp, this, thread, trojaner-board, vorhanden


« Virus deaktiviert administrative Funktionen | Da hat mich der Virus voll im Griff.. »


Ähnliche Themen: conhost.exe (Crypt.XPACK.Gen)


  1. [3x Conhost?] Ständig laufen 3 Conhost.exe -Anwendungen
    Log-Analyse und Auswertung - 17.06.2014 (7)
  2. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  3. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  4. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  5. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  6. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  7. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  8. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  9. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  10. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  11. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  12. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  13. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  14. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  15. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  16. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  17. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema conhost.exe (Crypt.XPACK.Gen) - Problem: Combofix meckert rum das AntiVir läuft, dabei läuft es doch gar nicht oder? Siehe Bild im Anhang mit Taskmanager. Conhost.exe ist auch wieder aktiv. Eigentlich dürfte AntiVir ja auch - conhost.exe (Crypt.XPACK.Gen)...
Archiv
Du betrachtest: conhost.exe (Crypt.XPACK.Gen) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131