|
Plagegeister aller Art und deren Bekämpfung: Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.04.2011, 13:32 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
18.04.2011, 21:06 | #17 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Hallo Arne,
__________________ich habe ein Problem mit dem OSAM. Nach dem Download auf meinen Desktop wollte ich ihn öffnen und es kam die Meldung: "Die folgende Datei kann nicht geöffnet werden: osam_autorun_manager_5_0_portable.rar Das Program von dem diese Datei erstellt wurde muss bekannt sein, damit sie geöffnet werden kann... wie möchten Sie vorgehen: Webdienst für Suche nach geeignetem Program verwenden oder Programm aus einer Liste auswählen" In der OSAM Anleitung steht: "Entpacke die osam-autorun_manager_version_portable.rar. Dabei entsteht ein Ordner osam_autorun_manager_version_portable. Öffne ihn." Wie geht "entpacken"? Viele Grüße allure |
18.04.2011, 21:07 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 - Virenscanner deaktivieren
__________________- zum Entpacken sowas wie WinRAR oder 7zip verwenden
__________________ |
18.04.2011, 21:43 | #19 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 kriegs nicht hin Habe den OSAM wieder gelöscht, nochmal runtergeladen, versucht mit WinZip zu öffnen, dann entsteht ein gezipptes File, das sich nicht öffnen lässt, bzw. Name ist unvollständig. Ich kann mit WinZip nicht (so gut) umgehen, WinRAR zeigt es nicht an. |
18.04.2011, 21:54 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Nimm das => File-Upload.net - osam.zip
__________________ Logfiles bitte immer in CODE-Tags posten |
18.04.2011, 22:04 | #21 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Habe es runtergeladen, auf dem Desktop gespeichert, versucht zu öffnen, Fehlermeldung: "Datei kann nicht geöffnet werden. Offenbar handelt es sich nicht um ein gültiges Archiv." |
19.04.2011, 10:40 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Installier mal WinRAR oder 7zip. Damit entpacken.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.04.2011, 18:41 | #23 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Hallo Arne, mit 7Zip hat es endlich geklappt GMER: GMER 1.0.15.15570 - hxxp://www.gmer.net Rootkit scan 2011-04-18 21:16:16 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e WDC_WD1600BB-00GUC0 rev.08.02D08 Running: l702ym7p.exe; Driver: C:\DOKUME~1\Bungel\LOKALE~1\Temp\fwlyipob.sys ---- System - GMER 1.0.15 ---- SSDT F7E3EEFE ZwCreateKey SSDT F7E3EEF4 ZwCreateThread SSDT F7E3EF03 ZwDeleteKey SSDT F7E3EF0D ZwDeleteValueKey SSDT F7E3EF12 ZwLoadKey SSDT F7E3EEE0 ZwOpenProcess SSDT F7E3EEE5 ZwOpenThread SSDT F7E3EF1C ZwReplaceKey SSDT F7E3EF17 ZwRestoreKey SSDT F7E3EF08 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6ECD360, 0x1DEE5D, 0xE8000020] OSAM: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:18:50 on 19.04.2011 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Avira AntiVir PersonalEdition Classic" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "BrPar" (BrPar) - "Brother Industries Ltd." - C:\WINDOWS\System32\drivers\BrPar.sys "catchme" (catchme) - ? - C:\DOKUME~1\Bungel\LOKALE~1\Temp\catchme.sys (File not found) "cdrbsdrv" (cdrbsdrv) - "B.H.A Corporation" - C:\WINDOWS\system32\drivers\cdrbsdrv.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "ENTECH" (ENTECH) - "EnTech Taiwan" - C:\WINDOWS\system32\DRIVERS\ENTECH.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PPdus ASPI Shell" (Afc) - "Arcsoft, Inc." - C:\WINDOWS\System32\drivers\Afc.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Telekom Eumex 724PC DSL" (dtwmnic5) - ? - C:\WINDOWS\System32\DRIVERS\dtwmnic5.sys (File not found) "Telekom ISDN-Adapter (USB)" (ulisa) - ? - C:\WINDOWS\System32\Drivers\ulisa.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 7\PhoneBrowser.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Program Files\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Google" - ? - c:\programme\google\googletoolbar1.dll (File not found) ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {888078C6-70B2-4F88-8EE7-1F50DDEA6120} "CeWe Color AG & Co. OHG Control" - "CeWe Color AG & Co. OHG" - C:\WINDOWS\Downloaded Program Files\ImageUploader6.ocx / https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "DivXBrowserPlugin Object" - "DivX,Inc." - C:\Programme\DivX\DivX Web Player\npdivx32.dll / hxxp://go.divx.com/plugin/DivXBrowserPlugin.cab {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} "EPUImageControl Class" - "eBay, Inc." - C:\WINDOWS\Downloaded Program Files\EPUWALcontrol.dll / hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab {0CCA191D-13A6-4E29-B746-314DEE697D83} "Facebook Photo Uploader 5 Control" - "The Facebook" - C:\WINDOWS\Downloaded Program Files\PhotoUploader5.ocx / hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab {8100D56A-5661-482C-BEE8-AFECE305D968} "Facebook Photo Uploader 5 Control" - "The Facebook" - C:\WINDOWS\Downloaded Program Files\PhotoUploader55.ocx / hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab ImgUploader "ImgUploader" - ? - (File not found | COM-object registry key not found) / hxxp://www.pixum.de/int/EasyUpload/ImgUploader.cab {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} "IPSUploader4 Control" - "IP Labs GmbH - Germany" - C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx / hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab {CAC677B6-4963-4305-9066-0BD135CD9233} "IPSUploader4 Control" - "IP Labs GmbH - Germany" - C:\WINDOWS\Downloaded Program Files\IPSUploader4.ocx / hxxp://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {6F750202-1362-4815-A476-88533DE61D0C} "Kodak Gallery Easy Upload Manager Class" - "KODAK EASYSHARE Gallery" - C:\WINDOWS\Downloaded Program Files\axofupld.dll / hxxp://www.kodakgallery.de/downloads/BUM/BUM_WIN_IE_2/axofupld.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "{8AD9C840-044E-11D1-B3E9-00805F499D93}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll "Messenger" - ? - C:\Programme\Messenger\msmsgs.exe (File not found) -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Google" - ? - c:\programme\google\googletoolbar1.dll (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - ? - c:\programme\google\googletoolbar1.dll (File not found) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "FRITZ!DSL Startcenter.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\StCenter.exe (Shortcut exists | File exists) "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists) "MotionSD STUDIO - Autostart SD Browser -.lnk" - "Matsushita Electric Industrial Co., Ltd." - C:\Programme\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe (Shortcut exists | File exists) "PHOTOfunSTUDIO -viewer-.lnk" - "Matsushita Electric Industrial Co., Ltd." - C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe (Shortcut exists | File exists) "WISO Mein Sparbuch heute.lnk" - "R&S EDV-Beratung, Hannover" - C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Bungel\Startmenü\Programme\Autostart\desktop.ini "Dropbox.lnk" - ? - C:\Dokumente und Einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Shortcut exists | File exists) "FRITZ!DSL Protect.lnk" - "AVM Berlin" - C:\Programme\FRITZ!DSL\FwebProt.exe (Shortcut exists | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "PC Suite Tray" - "Nokia" - "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "ArcSoft Connection Service" - "ArcSoft" - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe" "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "RaidTool" - "VIA Technologies" - C:\Programme\VIA\RAID\raid_tool.exe "RemoteControl" - "Cyberlink Corp." - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "avm:" - "AVM Berlin GmbH" - C:\WINDOWS\system32\avmprmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe "ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft" - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "AVM IGD CTRL Service" (IGDCTRL) - "AVM Berlin" - C:\Programme\FRITZ!DSL\IGDCTRL.EXE "B's Recorder GOLD Library General Service" (bgsvcgen) - "B.H.A Corporation" - C:\WINDOWS\system32\bgsvcgen.exe "Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Canon Camera Access Library 8" (CCALib8) - "Canon Inc." - C:\Programme\Canon\CAL\CALMAIN.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "ServiceLayer" (ServiceLayer) - "Nokia" - C:\Programme\PC Connectivity Solution\ServiceLayer.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\Desktop )----- "SCRNSAVE.EXE" - "ScreenTime Media" - C:\WINDOWS\system32\FLIQLO.scr -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fd Kernel Drivers (total 112): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x806EF000 \WINDOWS\system32\hal.dll 0xF7D2F000 \WINDOWS\system32\KDCOM.DLL 0xF7C3F000 \WINDOWS\system32\BOOTVID.dll 0xF77DF000 ACPI.sys 0xF7D31000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF77CE000 pci.sys 0xF782F000 isapnp.sys 0xF7D33000 viaide.sys 0xF7AAF000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF783F000 MountMgr.sys 0xF77AF000 ftdisk.sys 0xF7AB7000 PartMgr.sys 0xF784F000 VolSnap.sys 0xF7797000 atapi.sys 0xF785F000 viamraid.sys 0xF777F000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xF786F000 disk.sys 0xF787F000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF775F000 fltmgr.sys 0xF774D000 sr.sys 0xF7736000 KSecDD.sys 0xF7723000 WudfPf.sys 0xF7696000 Ntfs.sys 0xF7669000 NDIS.sys 0xF788F000 uagp35.sys 0xF764F000 Mup.sys 0xF7A9F000 \SystemRoot\system32\DRIVERS\amdk7.sys 0xF72F9000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xF72E5000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF78BF000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7B9F000 \SystemRoot\system32\drivers\Afc.sys 0xF78CF000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0xF78DF000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF78EF000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF72C2000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7BA7000 \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys 0xF7BAF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF729E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7BB7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF78FF000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7BBF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7BC7000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF71D5000 \SystemRoot\system32\drivers\cmuda.sys 0xF71B1000 \SystemRoot\system32\drivers\portcls.sys 0xF790F000 \SystemRoot\system32\drivers\drmk.sys 0xF7BD7000 \SystemRoot\system32\DRIVERS\fetnd5.sys 0xF7BDF000 \SystemRoot\system32\DRIVERS\fdc.sys 0xF791F000 \SystemRoot\system32\DRIVERS\serial.sys 0xF7CF3000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF719D000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7CF7000 \SystemRoot\system32\DRIVERS\gameenum.sys 0xF7EFA000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF792F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7CFB000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7186000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF793F000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF794F000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7BE7000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7BEF000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7BF7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF795F000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7D53000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7088000 \SystemRoot\system32\DRIVERS\update.sys 0xF7D03000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF796F000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF797F000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7D5D000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7C17000 \SystemRoot\system32\DRIVERS\flpydisk.sys 0xF7D7F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7E52000 \SystemRoot\System32\Drivers\Null.SYS 0xF7D81000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7C27000 \SystemRoot\System32\drivers\vga.sys 0xF7D83000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7D85000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7C2F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7C37000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF760B000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xF5F2D000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xF79DF000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF5ED4000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xF5EAC000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF5E8A000 \SystemRoot\System32\drivers\afd.sys 0xF79EF000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7AD7000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xF5E5F000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xF5DC7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF79FF000 \SystemRoot\System32\Drivers\Fips.SYS 0xF5DA1000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xF7A0F000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF5D7B000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7DA1000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF7A4F000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF7ADF000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xF5D63000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7DA3000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF5F64000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7AFF000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7F85000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF012000 \SystemRoot\System32\nv4_disp.dll 0xBF3CA000 \SystemRoot\System32\ATMFD.DLL 0xBA573000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xBA4A7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB9216000 \SystemRoot\system32\drivers\wdmaud.sys 0xBA4EB000 \SystemRoot\system32\drivers\sysaudio.sys 0xB902B000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xF7B27000 \SystemRoot\System32\drivers\BrPar.sys 0xB8216000 \SystemRoot\system32\DRIVERS\srv.sys 0xB7DDC000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 54): 0 System Idle Process 4 System 340 C:\WINDOWS\system32\smss.exe 388 csrss.exe 412 C:\WINDOWS\system32\winlogon.exe 456 C:\WINDOWS\system32\services.exe 468 C:\WINDOWS\system32\lsass.exe 628 C:\WINDOWS\system32\svchost.exe 688 svchost.exe 756 C:\WINDOWS\system32\svchost.exe 788 C:\WINDOWS\system32\svchost.exe 960 svchost.exe 1080 svchost.exe 1180 C:\WINDOWS\explorer.exe 1252 C:\WINDOWS\system32\spoolsv.exe 1304 C:\Programme\Avira\AntiVir Desktop\sched.exe 1484 svchost.exe 1588 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe 1604 C:\Programme\VIA\RAID\raid_tool.exe 1612 C:\WINDOWS\system32\rundll32.exe 1620 C:\Programme\Java\jre1.6.0_02\bin\jusched.exe 1628 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe 1636 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe 1664 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 1688 C:\Programme\QuickTime\QTTask.exe 1700 C:\Programme\iTunes\iTunesHelper.exe 1720 C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe 1732 C:\WINDOWS\system32\ctfmon.exe 1964 C:\Programme\FRITZ!DSL\StCenter.exe 116 C:\Programme\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe 132 C:\Programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe 172 C:\Dokumente und Einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\Dropbox.exe 184 C:\Programme\FRITZ!DSL\FwebProt.exe 300 C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe 324 C:\Programme\Avira\AntiVir Desktop\avguard.exe 736 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 780 C:\WINDOWS\system32\bgsvcgen.exe 936 C:\Programme\Bonjour\mDNSResponder.exe 1120 C:\Programme\FRITZ!DSL\IGDCTRL.EXE 1132 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1556 C:\WINDOWS\system32\nvsvc32.exe 1896 C:\WINDOWS\system32\svchost.exe 2616 C:\Programme\Canon\CAL\CALMAIN.exe 2952 C:\Programme\PC Connectivity Solution\ServiceLayer.exe 3028 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe 3088 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe 3120 C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe 3128 C:\Programme\iPod\bin\iPodService.exe 3448 alg.exe 3888 C:\WINDOWS\system32\svchost.exe 3784 C:\Programme\Internet Explorer\iexplore.exe 712 C:\Programme\Internet Explorer\iexplore.exe 1652 C:\Programme\Internet Explorer\iexplore.exe 2496 C:\Dokumente und Einstellungen\Bungel\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000012`a1c98200 (NTFS) PhysicalDrive0 Model Number: WDCWD1600BB-00GUC0, Rev: 08.02D08 Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Viele Grüße allure |
19.04.2011, 20:14 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.04.2011, 05:42 | #25 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Hallo Arne, hier die logs: Malwarebyte: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6399 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.04.2011 22:46:14 mbam-log-2011-04-19 (22-46-14).txt Art des Suchlaufs: Vollständiger Suchlauf (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 250215 Laufzeit: 1 Stunde(n), 20 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Superantispyware: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/20/2011 at 01:39 AM Application Version : 4.50.1002 Core Rules Database Version : 6873 Trace Rules Database Version: 4685 Scan type : Complete Scan Total Scan Time : 02:09:16 Memory items scanned : 567 Memory threats detected : 0 Registry items scanned : 7014 Registry threats detected : 0 File items scanned : 88091 File threats detected : 4 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@adx.chip[2].txt C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@ads.immobilienscout24[1].txt C:\Dokumente und Einstellungen\Bungel\Cookies\bungel@tracking.tchibo[1].txt a.ads2.msads.net [ C:\Dokumente und Einstellungen\Bungel\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\MAGJZ36G ] Viele Grüße allure |
20.04.2011, 17:25 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
20.04.2011, 19:04 | #27 |
| Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Hallo Arne, es ist alles wundervoll Ich habe keinerlei Probleme mehr und es wurde auch nichts mehr gefunden 1000 Dank für deine Mühe, Geduld und Hilfe, du hast meinen Computer (und meine Laune) gerettet Viele Grüße allure PS: Soll ich die ganzen installierten Programme wieder löschen, oder einfach auf dem PC lassen? |
21.04.2011, 14:32 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 Die Programme können wieder runter... Dann wären wir durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2 |
acroiehelpe.dll, adware.180solutions, browser, check, datei, dateien, entfernen, error, extension.mismatch, forum, helper, internet-explorer, malwarebytes, microsoft, neu, programm, programme, runtime error, software, starten, stolen.data, system, system32, userinit, viren, virus, windows, windows xp, winlogon, xmldm, öffnet |