| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Avira hat TR/Crypt.XPACK.Gen gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.02.2011, 10:40
| #1 |
 |  Avira hat TR/Crypt.XPACK.Gen gefunden Hallo zusammen, ich bin neu hier im Forum und ein ziemlicher Computer-Laie. Trotzdem habe ich mich bemüht, eure Anweisungen zu lesen und zu befolgen. Sollte ich was vergessen oder falsch gemacht haben, bitte ich dies zu entschuldigen. Für jede Hilfe bedanke ich mich schon im voraus. Folgende Meldung erscheint nach jedem Computer-Start: In der Datei 'C:\Dokumente und Einstellungen\K***\Lokale Einstellungen\Temp\mrnvcx.dat' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Ich habe dann gemäß eurer Anleitung alle Schritte durchgeführt. Die Logfiles (hijackthis, MBAM, defogger, Gmer, OTL und Extras) befinden sich als zip-Datei im Anhang. Bitte melden, wenn noch weitere Informationen gebraucht werden. Jetzt bin ich mal gespannt ob ich den Quälgeist mit meinem begrenzen Kenntnissen und eurer professionellen Hilfe wieder loswerde. Vielen Dank für jede Unterstützung |
|
27.02.2011, 21:40
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Avira hat TR/Crypt.XPACK.Gen gefundenZitat:
 Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ |
|
28.02.2011, 01:14
| #3 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Hallo Cosinus,
__________________danke für die schnelle Rückmeldung. Hier die Logdateien: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5898 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 28.02.2011 01:05:57 mbam-log-2011-02-28 (01-05-57).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|M:\|) Durchsuchte Objekte: 230528 Laufzeit: 1 Stunde(n), 8 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{3e0b6ff9-effb-410e-ae6d-69013bd4b106}\RP618\A0114439.exe (Spyware.PWS) -> Quarantined and deleted successfully. Hier nochmal die Logdatei von gestern: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5885 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 26.02.2011 19:25:18 mbam-log-2011-02-26 (19-25-18).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 144009 Laufzeit: 4 Minute(n), 34 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 8 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XTTB00001.XTTB00001Toolbar (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\test3.exe (Spyware.PWS) -> Quarantined and deleted successfully. c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully. Beides auch als Anhang Gruß Rolkoe |
|
28.02.2011, 11:49
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
28.02.2011, 22:44
| #5 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Guten Abend Arne, hier das ComboFix-Log. Danke und Gruß Roland Combofix Logfile: Code:
ATTFilter ComboFix 11-02-28.02 - K**sch 28.02.2011 22:20:22.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.255 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\K**sch\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {82366800-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {F443DC68-FFA4-00EB-0D24-347CA8A3377C}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\audiograbber\audiograbber.exe
c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat
c:\dokumente und einstellungen\K**sch\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\K**sch\LENlab_V2_0_win32.exe
c:\dokumente und einstellungen\K**sch\Lokale Einstellungen\Temp\mrnvcx.dat
c:\windows\system32\STEC3.sys
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_STEC3
-------\Service_STEC3
((((((((((((((((((((((( Dateien erstellt von 2011-01-28 bis 2011-02-28 ))))))))))))))))))))))))))))))
.
2011-02-26 18:16 . 2011-02-26 18:16 -------- d-----w- c:\programme\ERUNT
2011-02-26 18:06 . 2011-02-26 18:06 -------- d-----w- c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-26 18:06 . 2011-02-26 18:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2011-02-26 21:10 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-02-26 18:06 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-27 18:32 . 2011-01-27 18:32 1409 ----a-w- c:\windows\QTFont.for
2010-12-22 07:06 . 2009-07-15 09:09 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-15 09:07 . 2009-07-15 09:07 32467048 ----a-w- c:\programme\avira_antivir_personal_de.exe
2009-04-13 08:49 . 2009-04-13 08:49 3190688 ----a-w- c:\programme\ccsetup218.exe
2007-08-17 16:06 . 2007-08-17 16:02 50005304 ----a-w- c:\programme\iTunesSetup.exe
2006-04-14 17:33 . 2006-04-14 17:32 5651168 ----a-w- c:\programme\FirefoxGoogleToolbarSetup.exe
2004-10-01 12:06 . 2008-10-12 20:53 500736 ----a-w- c:\programme\Unlock_esd.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-19 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-16 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-11 73728]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat 2yMCAGBHNJ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\RadioJack\\RJack.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24669:TCP"= 24669:TCP:BitComet 24669 TCP
"24669:UDP"= 24669:UDP:BitComet 24669 UDP
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15.09.2010 22:23 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 10:09 135336]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [21.08.2009 14:24 70336]
S3 libusb0;LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [20.01.2011 23:33 28672]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [13.07.2009 23:15 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [13.07.2009 23:15 8320]
S4 Gtr960kdmqed;Gtr960kdmqed; [x]
.
Inhalt des "geplante Tasks" Ordners
2011-02-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Download all links using BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm
IE: Download link using &BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Mozilla\Firefox\Profiles\3f2ht9id.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ixquick HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-Nokia PC Suite - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_ger_web.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 22:31
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(1872)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\wscntfy.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-28 22:35:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-28 21:35
Vor Suchlauf: 11 Verzeichnis(se), 17.416.630.272 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.726.672.896 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - 9DA36450C90A8C36D591909D4A20134A
|
|
01.03.2011, 14:40
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Driver::
Gtr960kdmqed
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ --> Avira hat TR/Crypt.XPACK.Gen gefunden |
|
02.03.2011, 00:21
| #7 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Hallo Arne, anbei das neue ComboFix-Log Danke und Gruß Roland Combofix Logfile: Code:
ATTFilter ComboFix 11-02-28.07 - Koelsch 02.03.2011 0:00.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.271 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\K**sch\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\K**sch\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {82366800-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {F443DC68-FFA4-00EB-0D24-347CA8A3377C}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Gtr960kdmqed
((((((((((((((((((((((( Dateien erstellt von 2011-02-01 bis 2011-03-01 ))))))))))))))))))))))))))))))
.
2011-02-26 18:16 . 2011-02-26 18:16 -------- d-----w- c:\programme\ERUNT
2011-02-26 18:06 . 2011-02-26 18:06 -------- d-----w- c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-26 18:06 . 2011-02-26 18:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2011-02-26 21:10 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-02-26 18:06 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-27 18:32 . 2011-01-27 18:32 1409 ----a-w- c:\windows\QTFont.for
2010-12-22 07:06 . 2009-07-15 09:09 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-15 09:07 . 2009-07-15 09:07 32467048 ----a-w- c:\programme\avira_antivir_personal_de.exe
2009-04-13 08:49 . 2009-04-13 08:49 3190688 ----a-w- c:\programme\ccsetup218.exe
2007-08-17 16:06 . 2007-08-17 16:02 50005304 ----a-w- c:\programme\iTunesSetup.exe
2006-04-14 17:33 . 2006-04-14 17:32 5651168 ----a-w- c:\programme\FirefoxGoogleToolbarSetup.exe
2004-10-01 12:06 . 2008-10-12 20:53 500736 ----a-w- c:\programme\Unlock_esd.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-19 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-16 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-11 73728]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat 2yMCAGBHNJ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\RadioJack\\RJack.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24669:TCP"= 24669:TCP:BitComet 24669 TCP
"24669:UDP"= 24669:UDP:BitComet 24669 UDP
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15.09.2010 22:23 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 10:09 135336]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [21.08.2009 14:24 70336]
S3 libusb0;LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [20.01.2011 23:33 28672]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [13.07.2009 23:15 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [13.07.2009 23:15 8320]
.
Inhalt des "geplante Tasks" Ordners
2011-02-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Download all links using BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm
IE: Download link using &BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Mozilla\Firefox\Profiles\3f2ht9id.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ixquick HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-02 00:11
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2544)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-02 00:15:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-03-01 23:14
ComboFix2.txt 2011-02-28 21:35
Vor Suchlauf: 12 Verzeichnis(se), 17.903.710.208 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.888.071.680 Bytes frei
- - End Of File - - 96CFC7D7EEAA585DA94F293DF2B31CC3
|
|
02.03.2011, 12:28
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.03.2011, 21:04
| #9 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Hallo Arne, habe alle Schritte ausgeführt. Anbei die Logs. Gruß Roland GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-02 20:48:00
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_6Y080P0 rev.YAR41BW0
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys
---- System - GMER 1.0.15 ----
SSDT F8BF840E ZwCreateKey
SSDT F8BF8404 ZwCreateThread
SSDT F8BF8413 ZwDeleteKey
SSDT F8BF841D ZwDeleteValueKey
SSDT F8BF8422 ZwLoadKey
SSDT F8BF83F0 ZwOpenProcess
SSDT F8BF83F5 ZwOpenThread
SSDT F8BF842C ZwReplaceKey
SSDT F8BF8427 ZwRestoreKey
SSDT F8BF8418 ZwSetValueKey
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\WgaTray.exe[204] WININET.dll!InternetErrorDlg 771FC31D 5 Bytes JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)
.text C:\WINDOWS\System32\svchost.exe[280] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\System32\svchost.exe[280] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\System32\svchost.exe[280] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\system32\winlogon.exe[672] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\system32\winlogon.exe[672] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\system32\winlogon.exe[672] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\system32\services.exe[720] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\system32\services.exe[720] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\system32\services.exe[720] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\system32\services.exe[720] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\system32\services.exe[720] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\system32\services.exe[720] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\system32\services.exe[720] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\system32\services.exe[720] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\system32\lsass.exe[732] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\system32\lsass.exe[732] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\system32\lsass.exe[732] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\system32\svchost.exe[916] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\system32\svchost.exe[916] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\system32\svchost.exe[916] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 100B3DF8
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!CreateProcessW 7C802332 3 Bytes JMP 100B3C40
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!CreateProcessW + 4 7C802336 1 Byte [93]
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 100B3E7C
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!connect 71A1406A 5 Bytes JMP 100B3AF4
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!send 71A1428A 5 Bytes JMP 100B3268
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100B27F4
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!recv 71A1615A 5 Bytes JMP 100B2788
.text C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 100B3AA0
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\System32\svchost.exe[1100] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\System32\svchost.exe[1100] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\WINDOWS\system32\spoolsv.exe[1508] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\WINDOWS\system32\spoolsv.exe[1508] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\WINDOWS\system32\spoolsv.exe[1508] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] kernel32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ntdll.dll!NtOpenKey 7C91DD3C 5 Bytes JMP 10003DF8
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] KERNEL32.dll!CreateProcessW 7C802332 5 Bytes JMP 10003C40
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] KERNEL32.dll!ExitProcess 7C81CDDA 5 Bytes JMP 10003E7C
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!connect 71A1406A 5 Bytes JMP 10003AF4
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!send 71A1428A 5 Bytes JMP 10003268
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!WSARecv 71A14318 5 Bytes JMP 100027F4
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!recv 71A1615A 5 Bytes JMP 10002788
.text C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!WSASend 71A16233 5 Bytes JMP 10003AA0
.text C:\Programme\Mozilla Firefox\firefox.exe[2696] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Programme\Mozilla Firefox\plugin-container.exe[3048] USER32.dll!TrackPopupMenu 77D64ED6 5 Bytes JMP 10402342 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:55:35 on 02.03.2011 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "GEARAspiWDM" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "kgqoafoc" (kgqoafoc) - ? - C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys (Hidden registry entry, rootkit activity | File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1" (libusb0) - "hxxp://libusb-win32.sourceforge.net" - C:\WINDOWS\System32\DRIVERS\libusb0.sys "Linksys Wireless-G PCI Adapter Driver" (RT2500) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\RT2500.sys "Mass Storage Filter Driver" (massfilter) - ? - C:\WINDOWS\System32\drivers\massfilter.sys (File not found) "Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys "pavboot" (pavboot) - "Panda Security, S.L." - C:\WINDOWS\System32\drivers\pavboot.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys (File signed by Microsoft | File found, but it contains no detailed information) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "ZTE Diagnostic Port" (ZTEusbser6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbser6k.sys (File not found) "ZTE NMEA Port" (ZTEusbnmea) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbnmea.sys (File not found) "ZTE Proprietary USB Driver" (ZTEusbmdm6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbmdm6k.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {ED65AB21-B24F-11d3-BA80-00C0CA16AA37} "Mobile" - ? - (File not found | COM-object registry key not found) {ED65AB22-B24F-11d3-BA80-00C0CA16AA37} "Mobile ContextMenuHandler" - ? - (File not found | COM-object registry key not found) {ED65AB23-B24F-11d3-BA80-00C0CA16AA37} "Mobile PropertySheetHandler" - ? - (File not found | COM-object registry key not found) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (File not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- DirectAnimation Java Classes "DirectAnimation Java Classes" - ? - (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? - (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll "ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (File not found) <binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Shortcut exists | File exists) "Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "HP Image Zone Schnellstart.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\K**sch\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "updateMgr" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "PCSuiteTrayApplication" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup "SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\jusched.exe [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Apple Mobile Device" (Apple Mobile Device) - "Apple, Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe "Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope" (HRService) - ? - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe (File found, but it contains no detailed information) "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe "NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe "ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 2 (build 2600) Logical Drives Mask: 0x0000003c Kernel Drivers (total 120): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EC000 \WINDOWS\system32\hal.dll 0xF8A36000 \WINDOWS\system32\KDCOM.DLL 0xF8946000 \WINDOWS\system32\BOOTVID.dll 0xF84E6000 ACPI.sys 0xF8A38000 \WINDOWS\System32\DRIVERS\WMILIB.SYS 0xF84D5000 pci.sys 0xF8536000 isapnp.sys 0xF8546000 ohci1394.sys 0xF8556000 \WINDOWS\System32\DRIVERS\1394BUS.SYS 0xF8A3A000 viaide.sys 0xF87B6000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS 0xF8566000 MountMgr.sys 0xF84B6000 ftdisk.sys 0xF8A3C000 dmload.sys 0xF8490000 dmio.sys 0xF87BE000 PartMgr.sys 0xF87C6000 pavboot.sys 0xF8576000 VolSnap.sys 0xF8478000 atapi.sys 0xF8586000 disk.sys 0xF8596000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS 0xF8458000 fltmgr.sys 0xF8446000 sr.sys 0xF85A6000 PxHelp20.sys 0xF842F000 KSecDD.sys 0xF83A2000 Ntfs.sys 0xF8375000 NDIS.sys 0xF85B6000 viaagp.sys 0xF87CE000 viaagp1.sys 0xF835B000 Mup.sys 0xF85E6000 \SystemRoot\System32\DRIVERS\nic1394.sys 0xF78E3000 \SystemRoot\System32\DRIVERS\amdk7.sys 0xF7683000 \SystemRoot\System32\DRIVERS\nv4_mini.sys 0xF766F000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS 0xF8836000 \SystemRoot\System32\DRIVERS\usbuhci.sys 0xF764C000 \SystemRoot\System32\DRIVERS\USBPORT.SYS 0xF883E000 \SystemRoot\System32\DRIVERS\usbehci.sys 0xF78D3000 \SystemRoot\System32\DRIVERS\i8042prt.sys 0xF8846000 \SystemRoot\System32\DRIVERS\mouclass.sys 0xF884E000 \SystemRoot\System32\DRIVERS\kbdclass.sys 0xF89F6000 \SystemRoot\system32\drivers\pfc.sys 0xF78C3000 \SystemRoot\System32\DRIVERS\cdrom.sys 0xF78B3000 \SystemRoot\System32\DRIVERS\redbook.sys 0xF7629000 \SystemRoot\System32\DRIVERS\ks.sys 0xF8856000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys 0xF78A3000 \SystemRoot\System32\DRIVERS\imapi.sys 0xF7893000 \SystemRoot\system32\drivers\viaudio.sys 0xF7605000 \SystemRoot\system32\drivers\portcls.sys 0xF7883000 \SystemRoot\system32\drivers\drmk.sys 0xF885E000 \SystemRoot\System32\DRIVERS\fetnd5.sys 0xF8866000 \SystemRoot\System32\DRIVERS\fdc.sys 0xF75F4000 \SystemRoot\System32\DRIVERS\serial.sys 0xF8A02000 \SystemRoot\System32\DRIVERS\serenum.sys 0xF75E0000 \SystemRoot\System32\DRIVERS\parport.sys 0xF8A06000 \SystemRoot\System32\DRIVERS\gameenum.sys 0xF8B77000 \SystemRoot\System32\DRIVERS\audstub.sys 0xF7873000 \SystemRoot\System32\DRIVERS\rasl2tp.sys 0xF8A0A000 \SystemRoot\System32\DRIVERS\ndistapi.sys 0xF75C9000 \SystemRoot\System32\DRIVERS\ndiswan.sys 0xF7863000 \SystemRoot\System32\DRIVERS\raspppoe.sys 0xF7853000 \SystemRoot\System32\DRIVERS\raspptp.sys 0xF886E000 \SystemRoot\System32\DRIVERS\TDI.SYS 0xF75B8000 \SystemRoot\System32\DRIVERS\psched.sys 0xF85F6000 \SystemRoot\System32\DRIVERS\msgpc.sys 0xF8876000 \SystemRoot\System32\DRIVERS\ptilink.sys 0xF887E000 \SystemRoot\System32\DRIVERS\raspti.sys 0xF7562000 \SystemRoot\System32\DRIVERS\rdpdr.sys 0xF8606000 \SystemRoot\System32\DRIVERS\termdd.sys 0xF8A64000 \SystemRoot\System32\DRIVERS\swenum.sys 0xF7506000 \SystemRoot\System32\DRIVERS\update.sys 0xF8A26000 \SystemRoot\System32\DRIVERS\mssmbios.sys 0xF8616000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF8626000 \SystemRoot\System32\DRIVERS\usbhub.sys 0xF8A6A000 \SystemRoot\System32\DRIVERS\USBD.SYS 0xF8A6C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8C18000 \SystemRoot\System32\Drivers\Null.SYS 0xF8A6E000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8896000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xF889E000 \SystemRoot\System32\drivers\vga.sys 0xF8A70000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8A72000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF88A6000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF88AE000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8317000 \SystemRoot\System32\DRIVERS\rasacd.sys 0xF44AB000 \SystemRoot\System32\DRIVERS\ipsec.sys 0xF4452000 \SystemRoot\System32\DRIVERS\tcpip.sys 0xF442A000 \SystemRoot\System32\DRIVERS\netbt.sys 0xF4408000 \SystemRoot\System32\drivers\afd.sys 0xF8656000 \SystemRoot\System32\DRIVERS\netbios.sys 0xF88B6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF43DD000 \SystemRoot\System32\DRIVERS\rdbss.sys 0xF436E000 \SystemRoot\System32\DRIVERS\mrxsmb.sys 0xF8666000 \SystemRoot\System32\Drivers\Fips.SYS 0xF434D000 \SystemRoot\System32\DRIVERS\ipnat.sys 0xF8676000 \SystemRoot\System32\DRIVERS\wanarp.sys 0xF8686000 \SystemRoot\System32\DRIVERS\arp1394.sys 0xF425F000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8A78000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF86D6000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF4247000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8A80000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7552000 \SystemRoot\System32\drivers\Dxapi.sys 0xF88DE000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF8C32000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xF40B2000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xF40CF000 \SystemRoot\System32\DRIVERS\ndisuio.sys 0xF3E2D000 \SystemRoot\System32\DRIVERS\mrxdav.sys 0xF8A82000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xF402E000 \SystemRoot\System32\Drivers\Aspi32.SYS 0xF3D8B000 \SystemRoot\System32\DRIVERS\srv.sys 0xF3C86000 \SystemRoot\system32\drivers\wdmaud.sys 0xF4285000 \SystemRoot\system32\drivers\sysaudio.sys 0xF3774000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xF2DD3000 \??\C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 34): 0 System Idle Process 4 System 580 C:\WINDOWS\system32\smss.exe 644 csrss.exe 672 C:\WINDOWS\system32\winlogon.exe 720 C:\WINDOWS\system32\services.exe 732 C:\WINDOWS\system32\lsass.exe 916 C:\WINDOWS\system32\svchost.exe 1004 svchost.exe 1100 C:\WINDOWS\system32\svchost.exe 1180 svchost.exe 1336 svchost.exe 1508 C:\WINDOWS\system32\spoolsv.exe 1564 C:\Programme\Avira\AntiVir Desktop\sched.exe 1696 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1712 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1772 C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe 2040 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 216 C:\WINDOWS\explorer.exe 280 C:\WINDOWS\system32\svchost.exe 448 wdfmgr.exe 948 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe 956 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 788 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe 1784 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe 264 C:\Programme\PC Connectivity Solution\ServiceLayer.exe 204 C:\WINDOWS\system32\WgaTray.exe 1064 C:\WINDOWS\system32\wscntfy.exe 1624 alg.exe 1852 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe 2104 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe 2696 C:\Programme\Mozilla Firefox\firefox.exe 3048 C:\Programme\Mozilla Firefox\plugin-container.exe 1944 C:\Dokumente und Einstellungen\K**sch\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS) PhysicalDrive0 Model Number: Maxtor6Y080P0, Rev: YAR41BW0 Size Device Name MBR Status -------------------------------------------- 76 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
|
02.03.2011, 21:10
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.03.2011, 20:56
| #11 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Hallo Arne, Avira hat immer noch angeschlagen. Auch nach dem Malwarbytes-Scan. Nach dem SUPER AntiSpyware-Scan kam bis jetzt keine Meldung mehr. Danke und Gruß Roland Hier die beiden Logs: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5944 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 03.03.2011 18:17:32 mbam-log-2011-03-03 (18-17-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 222003 Laufzeit: 47 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 03/03/2011 at 08:25 PM Application Version : 4.49.1000 Core Rules Database Version : 6522 Trace Rules Database Version: 4334 Scan type : Complete Scan Total Scan Time : 01:53:09 Memory items scanned : 502 Memory threats detected : 0 Registry items scanned : 7365 Registry threats detected : 0 File items scanned : 82130 File threats detected : 6 Adware.Tracking Cookie C:\Dokumente und Einstellungen\K**sch\Cookies\k**sch@yadro[2].txt Trojan.Agent/Gen-Turnover C:\DOKUMENTE UND EINSTELLUNGEN\K**SCH\LOKALE EINSTELLUNGEN\TEMP\MRNVCX.DAT C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\K**SCH\LOKALE EINSTELLUNGEN\TEMP\MRNVCX.DAT.VIR C:\QOOBOX\QUARANTINE\C\DOKUME~1\K**SCH\LOKALE~1\TEMP\MRNVCX.DAT.VIR Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E0B6FF9-EFFB-410E-AE6D-69013BD4B106}\RP648\A0122315.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E0B6FF9-EFFB-410E-AE6D-69013BD4B106}\RP648\A0122316.DLL |
|
04.03.2011, 13:05
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Das sind nur Überreste, tw. im Combofix-Quarantäneordner und tw. in der Systemwiederherstellung (SWH) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
05.03.2011, 17:36
| #13 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Hallo Arne, die Systemherstellung habe ich deaktiviert. Es kamen auch keine weiteren Meldungen. Sollte ich alle in diesem Zusammenhang installierte Programme wieder deinstallieren? Arne, dir auf jeden Fall an dieser Stelle schon mal vielen, vielen Dank für deine Zeit und Geduld. Auch vielen Dank an Trojaner-Board.de. Sehr professionel aufgemacht. Die Schritt-für-Schritt-Anleitungen sind auch für Laien wie mich durchführbar mit Hilfe der fachkundigen Helfern. Ich werde euch weiterempfehlen und euch eine kleine Spende zukommen lassen. Viele Grüße |
|
07.03.2011, 15:35
| #14 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Avira hat TR/Crypt.XPACK.Gen gefunden Ja die Programme können alle wieder runter. Rechner ist soweit wieder ok oder noch weitere meldungen/Funde/Probleme? Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
07.03.2011, 19:05
| #15 |
| | Avira hat TR/Crypt.XPACK.Gen gefunden Rechner läuft wieder wie am Schnürchen. Nochmals vielen Dank Gruß Roland |
|
| Themen zu Avira hat TR/Crypt.XPACK.Gen gefunden |
| anleitung, avira, datei, einstellungen, falsch, forum, gebraucht, gen, gmer, hallo zusammen, hijack, hijackthis, logfiles, lokale, mbam, meldung, neu, programm, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trojan, unerwünschtes programm, virus, zip-datei, zugriff |
Linear-Darstellung
