TR/Crypt.XPACK.Gen...auf meinem Rechner

#0
31.01.2010, 12:56
Member

Beiträge: 19
#1 Hallo zusammen..
ich bin neu hier und habe auch gleich ein Problem.
Seit einigen Tagen findet mein Antivir (Premium) die Malware 'TR/Crypt.XPACK.Gen' auf meinem Rechner.
Er wird vom Avira immer in Quarantäne geschoben,ist aber nach Neustart wieder da.

In der Datei 'D:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP1706\A0165307.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Könnt Ihr mir helfen ihn wegzubekommen?
Es ist das erstemal das ich sowas eingefangen habe und keine Ahnung.
LG..Watti
Seitenanfang Seitenende
31.01.2010, 16:38
Member

Beiträge: 3716
#2 arbeite ab, poste logs.
http://board.protecus.de/t23188.htm
Seitenanfang Seitenende
31.01.2010, 16:53
Member

Themenstarter

Beiträge: 19
#3 Hallo..danke
hier schon mal das hijackthis..ich hoffe es ist so richtig.
Bin nicht mehr die jüngste und sowas sind böhmische Dörfer für mich.
LG..watti

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 16:55:13, on 31.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Avira\AntiVir Desktop\avmailc.exe
C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: ImTranslator - C:\PROGRA~1\Smart Link\ImTranslator for IE\startup.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\Smart Link\ImTranslator for IE\startup.html (HKCU)
O9 - Extra 'Tools' menuitem: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\Smart Link\ImTranslator for IE\startup.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper200711281.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251302858453
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1255188389343
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9620 bytes
Seitenanfang Seitenende
31.01.2010, 16:58
Member

Themenstarter

Beiträge: 19
#4 Uninstall Liste




20/20 v2.2
3D Shadow by Lokas Software
AcronisTrueImageHome
Ad-aware 6 Personal
Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 6.0
Adobe Photoshop 7.0
Adobe Photoshop CS
Adobe Reader 8.1.6 - Deutsch
AFPL Ghostscript 8.54
AFPL Ghostscript Fonts
Alien Skin Eye Candy 5 Impact
Alien Skin Eye Candy 5 Nature
Alien Skin Eye Candy 5 Textures
Alien Skin Splat! 1.0 Demo
Alien Skin Xenofex 2.0
Allway Sync
Apophysis 2.0
ArcSoft PhotoStudio 5.5
ATI Control Panel
ATI Display Driver
Avira AntiVir Premium
Canon Camera Access Library
Canon Camera Support Core Library
Canon CanoScan Toolbox 5.0
Canon EOS 5D WIA-Treiber
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities Digital Photo Professional 3.4
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities Original Data Security Tools
Canon Utilities PhotoStitch
Canon Utilities Picture Style Editor
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities WFT-E1/E2/E3 Utility
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
CanoScan LiDE 70
Caplio Software
CCleaner (remove only)
CompuServe Instant Messenger
Corel Paint Shop Pro X
Corel Painter Essentials 3
Corel Painter Essentials 3
CSS Kurs 2001 (Preview) 1
EPSON PhotoQuicker3.5
EPSON Print CD
EPSON PRINT Image Framer Tool2.1
EPSON-Drucker-Software
ESPR200 Referenzhandbuch
EVEREST Home Edition v2.20
Eye Candy 3
Eye Candy 4000 Demo
Filters Unlimited 2.0
Firebird SQL Server - MAGIX Edition
FreePDF XP (Remove only)
FreshDiagnose
Gekko Mahjongg (Oster-Edition)
Gekko Mahjongg (Weihnachts-Edition)
GIMP 2.4.7
Harry's Filters
HiJackThis
HijackThis 1.99.1
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
HTML Kurs 2001 (Share-Ware) 3
HTML-Kit
ImTranslator for IE
Informationen über Ihren PC
InstantCopy
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Jasc Paint Shop Pro 8
Jasc Paint Shop Pro 8.10 Update Patch
Jasc Paint Shop Pro 8.103 Update Patch
Jasc Paint Shop Pro 9
Java(TM) 6 Update 11
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
Kai's Power Tools 5
KPT Gel
Krusty's FX vol. II 2.0
Language Pack for Ad-aware 6
Macromedia Dreamweaver MX 2004
Macromedia Extension Manager
Macromedia Fireworks MX 2004
MacromediaDreamweaver MX
Medi@Show
Medion Flash XL
Micrografx Simply 3D 3
Microsoft .NET Framework (German)
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.0 Hotfix (KB928367)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Choice Guard
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Encarta Enzyklopädie 2003
Microsoft Office PowerPoint 2003 Template Pack 2
Microsoft Office PowerPoint 2003 Template Pack 3
Microsoft Office XP Professional mit FrontPage
Microsoft Picture It! Foto 7.0
Microsoft PowerPoint Viewer 97
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Windows-Journal-Viewer
Microsoft Word 2002
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (3.6)
MSN Messenger 7.0
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Suite
Ninotech Path Copy 4.0
Paint Shop Pro 7 Anniversary Edition
PDF Editor 3
phase5
PhotoScape
Plugin Galaxy 1.0
PowerCinema
PowerCinema 2.0
PowerDirector Pro
PowerDVD
PSP Thumbnail Handler
Realtek AC'97 Audio
RedMon - Redirection Port Monitor
ScanSoft OmniPage SE 4.0
ScanToWeb
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Segoe UI
Serif PhotoPlus 6.0
ShiftN 2.7.1
Shockwave
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Media Encoder (KB954156)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371-v2)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB971961)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
SiS 900 PCI Fast Ethernet Adapter Driver
Spelling Dictionaries Support For Adobe Reader 8
Spybot - Search & Destroy
Sqirlz Water Reflections
Ulead ArtTexture.Plugin 1.0
Ulead PhotoImpact 10
Ulead PhotoImpact 8
Ulead PhotoImpact X3
Ultra Fractal 5.03 Standard Edition
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB973874)
Update für Windows XP (KB951978)
Update für Windows XP (KB961503)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB973815)
Viewpoint Media Player (Remove Only)
WEB.DE Club SmartFax
Windows Internet Explorer 8
Windows Live Anmelde-Assistent
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Live-Uploadtool
Windows Media Encoder 9-Reihe
Windows Media Encoder 9-Reihe
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player Firefox Plugin
Windows XP Service Pack 3
Windows-Sicherungsprogramm
WinRAR Archivierer
WinZip
X10 Hardware(TM)
Xara3D6
Xenofex 1.0
XVID Codec Installation
Yahoo! Extras
Yahoo! Mail
Yahoo! Messenger
Yahoo! Toolbar
Seitenanfang Seitenende
31.01.2010, 17:17
Member

Themenstarter

Beiträge: 19
#5 punkt 3_mbam

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3668
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2010 17:22:14
mbam-log-2010-01-31 (17-22-14).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115332
Laufzeit: 7 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ps.a3d (Stolen.data) -> Quarantined and deleted successfully.


die beiden gefundenen Dateien hebe ich entfernt
Seitenanfang Seitenende
31.01.2010, 17:36
Member

Themenstarter

Beiträge: 19
#6 punkt 3_mbam nach neustart und erneutem Durchlauf

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3668
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31.01.2010 17:39:35
mbam-log-2010-01-31 (17-39-35).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 115096
Laufzeit: 7 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
31.01.2010, 17:57
Member

Themenstarter

Beiträge: 19
#7 punkt4

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-31 18:02:55
Windows 5.1.2600 Service Pack 3
Running: pt4kw6kb.exe; Driver: C:\DOKUME~1\ilse\LOKALE~1\Temp\fgtdrpow.sys


---- System - GMER 1.0.15 ----

SSDT B68BD9B6 ZwCreateKey
SSDT B68BD9AC ZwCreateThread
SSDT B68BD9BB ZwDeleteKey
SSDT B68BD9C5 ZwDeleteValueKey
SSDT spot.sys ZwEnumerateKey [0xF85B3CA2]
SSDT spot.sys ZwEnumerateValueKey [0xF85B4030]
SSDT B68BD9CA ZwLoadKey
SSDT spot.sys ZwOpenKey [0xF85950C0]
SSDT B68BD998 ZwOpenProcess
SSDT B68BD99D ZwOpenThread
SSDT spot.sys ZwQueryKey [0xF85B4108]
SSDT spot.sys ZwQueryValueKey [0xF85B3F88]
SSDT B68BD9D4 ZwReplaceKey
SSDT B68BD9CF ZwRestoreKey
SSDT B68BD9C0 ZwSetValueKey
SSDT B68BD9A7 ZwTerminateProcess

INT 0x62 ? 82F72BF8
INT 0x82 ? 82F72BF8
INT 0x84 ? 82CEFBF8
INT 0x94 ? 82CEFBF8
INT 0xA4 ? 82CEFBF8
INT 0xB4 ? 82CEFBF8

---- Kernel code sections - GMER 1.0.15 ----

? ecelrru.sys Das System kann die angegebene Datei nicht finden. !
? spot.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload F79D08AC 5 Bytes JMP 82CEF1D8
.text C:\WINDOWS\System32\drivers\ACEDRV08.sys section is writeable [0xB5C58000, 0x328BA, 0xE8000020]
.pklstb C:\WINDOWS\System32\drivers\ACEDRV08.sys entry point in ".pklstb" section [0xB5C9C000]
.relo2 C:\WINDOWS\System32\drivers\ACEDRV08.sys unknown last section [0xB5CB8000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[2484] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82F742D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F85C6C4C] spot.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F85C6CA0] spot.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F8596040] spot.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F859613C] spot.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F85960BE] spot.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F85967FC] spot.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F85966D2] spot.sys
IAT \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 82CEF2D8
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F85A6048] spot.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82F711F8

AttachedDevice \FileSystem\Ntfs \Ntfs tdrpm251.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device \FileSystem\Fastfat \FatCdrom 82822500
Device \Driver\NetBT \Device\NetBT_Tcpip_{AA602B3B-3FD7-4E05-ADB2-CFA7FB4D6F19} 8284E500
Device \Driver\usbohci \Device\USBPDO-0 82CEE500
Device \Driver\usbohci \Device\USBPDO-1 82CEE500
Device \Driver\usbohci \Device\USBPDO-2 82CEE500
Device \Driver\usbehci \Device\USBPDO-3 82CCB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 82FDF1F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 tdrpm251.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device \Driver\Ftdisk \Device\HarddiskVolume2 82FDF1F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 tdrpm251.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device \Driver\Cdrom \Device\CdRom0 82D80500
Device \Driver\Ftdisk \Device\HarddiskVolume3 82FDF1F8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 tdrpm251.sys (Acronis Try&Decide Volume Filter Driver/Acronis)

Device \Driver\Cdrom \Device\CdRom1 82D80500
Device \Driver\atapi \Device\Ide\IdePort0 [F850EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [F850EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F850EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [F850EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 [F850EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 8284E500
Device \Driver\NetBT \Device\NetbiosSmb 8284E500
Device \Driver\usbstor \Device\0000006a 827D31F8
Device \Driver\usbstor \Device\0000006b 827D31F8
Device \Driver\usbstor \Device\0000006c 827D31F8
Device \Driver\usbohci \Device\USBFDO-0 82CEE500
Device \Driver\usbstor \Device\0000006d 827D31F8
Device \Driver\usbohci \Device\USBFDO-1 82CEE500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8283D1F8
Device \Driver\usbstor \Device\0000006e 827D31F8
Device \Driver\usbohci \Device\USBFDO-2 82CEE500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8283D1F8
Device \Driver\usbehci \Device\USBFDO-3 82CCB1F8
Device \Driver\Ftdisk \Device\FtControl 82FDF1F8
Device \FileSystem\Fastfat \Fat 82822500

AttachedDevice \FileSystem\Fastfat \Fat tdrpm251.sys (Acronis Try&Decide Volume Filter Driver/Acronis)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 8280F500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-154c-998b-414cfa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-154c-998b-414cfa6d031f}\InprocServer32@Class 0xD4 0xB1 0xFD 0x8F ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-154c-998b-414cfa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-154c-998b-414cfa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1b93-6ce3-8e4afa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1b93-6ce3-8e4afa6d031f}\InprocServer32@Class 0x1D 0xA4 0xB3 0x44 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1b93-6ce3-8e4afa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-1b93-6ce3-8e4afa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9743-c522-dce2fa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9743-c522-dce2fa6d031f}\InprocServer32@Class 0xEF 0x44 0x85 0x78 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9743-c522-dce2fa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9743-c522-dce2fa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9e7c-4de3-d10bfa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9e7c-4de3-d10bfa6d031f}\InprocServer32@Class 0xAC 0x96 0xDA 0x5F ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9e7c-4de3-d10bfa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-9e7c-4de3-d10bfa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aecc-aae2-3f43fa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aecc-aae2-3f43fa6d031f}\InprocServer32@Class 0xD7 0x17 0xD8 0x04 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aecc-aae2-3f43fa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-aecc-aae2-3f43fa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b8df-2ed3-5ed9fa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b8df-2ed3-5ed9fa6d031f}\InprocServer32@Class 0x7E 0x40 0x71 0xCD ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b8df-2ed3-5ed9fa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-b8df-2ed3-5ed9fa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e3a8-b486-0fbcfa6d031f}\InprocServer32
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e3a8-b486-0fbcfa6d031f}\InprocServer32@Class 0xAA 0x51 0x2F 0x76 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e3a8-b486-0fbcfa6d031f}\InprocServer32@ThreadingModel Apartment
Reg HKLM\SOFTWARE\Classes\CLSID\{C09C5BC9-8988-e3a8-b486-0fbcfa6d031f}\InprocServer32@ C:\WINDOWS\System32\OLE32.DLL

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
31.01.2010, 18:04
Member

Beiträge: 3716
#8 kannst du bitte das combofix log einstellen.
hast alles wunderbar gemacht :-)
Seitenanfang Seitenende
31.01.2010, 18:05
Member

Themenstarter

Beiträge: 19
#9 Temporäre Dateien beseitigen

(außer alte Dateien komprimieren)
das geht bei mir nicht,da steht immer das die alten Dateien komprimiert werden



LG..watti

Anhang: punkt2.jpg
Seitenanfang Seitenende
31.01.2010, 18:06
Member

Beiträge: 3716
#10 lass das weg :-)
Seitenanfang Seitenende
31.01.2010, 18:07
Member

Themenstarter

Beiträge: 19
#11 Combofix?????
Seitenanfang Seitenende
31.01.2010, 18:18
Member

Themenstarter

Beiträge: 19
#12 hier nochmal die beiden Übeltäter die gefunden wurden.




aber das ist doch nicht TR/Crypt.XPACK.Gen oder???
Seitenanfang Seitenende
31.01.2010, 18:28
Member

Beiträge: 3716
#13 In der oben Verlinkten anleitung ist doch combofix zu finden.
Seitenanfang Seitenende
31.01.2010, 18:31
Member

Themenstarter

Beiträge: 19
#14 Sorry..hatte ich übersehen.
Soll ich das jetzt noch machen?
Seitenanfang Seitenende
31.01.2010, 19:10
Member

Themenstarter

Beiträge: 19
#15 ich habe mir gerade die Anleitung von Combofix durchgelesen.
Braucht Ihr das dringend?
Das hört sich kompliziert an.
LG..watti
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: