Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Avira meldet TR/Crypt.ULPM.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 08.03.2009, 20:33   #1
taz
 
Avira meldet TR/Crypt.ULPM.Gen - Standard

Avira meldet TR/Crypt.ULPM.Gen



Hi Leute,

seit kurzem meldet Avira folgendes immer nach der WinXP-Anmeldung, wenn alle Prozesse geladen werden. Vermutlich genau an der Stelle, wo mein Coolmenu (kleines übersichtliches Verknüpfungstool, um sich immer Start-Programme-blabla zu sparen) geladen wird, was eine Verknüpfung auf JV16 enthält, die bestimmt schon ewig darin vorhanden ist.

Die Datei 'C:\Programme\jv16 PowerTools 2007\jv16PT.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan].

Dieses Programm habe ich schon seit langem, aber auch lang nicht mehr benutzt. Kürzlich wurde auch kein Update darauf gemacht.

Kann es sein, dass es sich hierbei um ein Fehlalarm handelt, da JV16 u.a. auch echt starke RegCleaner beinhaltet?

Nach meinen Recherchen soll es ein Messenger-Wurm sein. Ich benutzte den MSN-Messenger noch nie und deinstallierte ihn auch direkt nach WinXP-Installation. Dennoch fiel mir auf, dass völlig unspezifisch auftretend mein Firefox aus mir unbekannten Gründen hin und wieder einen neuen Task aufmacht, der die MSN-Seite beinhaltet. Meine Startseite in Firefox ist eine ganz andere. Es fiel mir nur deshalb ein, weil es genau heute mal wieder passierte, kurz bevor ich diesen Post hier schrieb. Die im HJThis-Log fett markierten URLs führen genau auf diese Seite.

Außerdem hängt mein Rechner regelmäßig mal bei "Benutzereinstellungen werden geladen", so dass ich ihn runterzwingen (Power gedrückt halten) muss, um zu rebooten. Dann bootet er meist wieder normal.

Wie auch immer, bitte checked mal mein HJThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:30, on 08.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Samsung\MagicTune Premium\MagicTuneEngine.exe
C:\Programme\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Neolog\Neolog.exe
C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE
C:\Programme\Samsung\MagicTune Premium\GammaTray.exe
C:\Programme\Samsung\Natural Color Pro\NCProTray.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\CoolMenu tazUser\CoolMenu.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Samsung\MagicTune Premium\MagicTune.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Miranda IM\miranda32.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpyBotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Run: [CTCheck] C:\Programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunOnce: [NSIS.Library.RegTool.v2] "C:\Programme\GMX\GMX Upload-Manager\NSIS.Library.RegTool.v2.{A42BAAF1-BA29-4C68-AC8B-5DEEFDD7939C}.exe" /S
O4 - HKCU\..\Run: [neolog] C:\Programme\Neolog\Neolog.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [AllToTray] C:\Programme\AllToTray\AllToTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1935655697-1035525444-839522115-1004\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'tazUser')
O4 - HKUS\S-1-5-21-1935655697-1035525444-839522115-1004\..\Run: [AllToTray] C:\PROGRA~1\ALLTOT~1\ALLTOT~1.EXE (User 'tazUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-1935655697-1035525444-839522115-1004 Startup: CoolMenu.lnk = C:\Programme\CoolMenu tazUser\CoolMenu.exe (User 'tazUser')
O4 - Startup: CoolMenu.lnk = C:\Programme\CoolMenu tazAdmin\CoolMenu.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GammaTray.lnk = ?
O4 - Global Startup: NCProTray.lnk = C:\Programme\Samsung\Natural Color Pro\NCProTray.exe
O4 - Global Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{20C5348D-A08B-454C-A42D-B90B9AE72290}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\Samsung\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 9298 bytes


Vielen Dank, der taz

Geändert von taz (08.03.2009 um 20:44 Uhr)

Alt 10.03.2009, 23:42   #2
taz
 
Avira meldet TR/Crypt.ULPM.Gen - Standard

Avira meldet TR/Crypt.ULPM.Gen



ComboFix 09-03-06.02 - tazAdmin 2009-03-10 8:18:32.1 - NTFSx86 NETWORK
ausgeführt von:: c:\dokumente und einstellungen\tazUser\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-10 bis 2009-03-10 ))))))))))))))))))))))))))))))
.

2009-03-10 00:27 . 2009-03-10 00:27 0 --a------ C:\23990098.$$$
2009-03-09 21:46 . 2009-03-09 21:46 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\GMX
2009-03-09 21:11 . 2009-03-09 22:06 54 --a------ c:\windows\Lic.xxx
2009-03-09 21:09 . 2009-03-09 21:09 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MicroWorld
2009-03-09 21:09 . 2009-03-09 21:09 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-09 21:09 . 2009-03-09 21:09 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-09 21:09 . 2004-08-04 00:58 153,600 --a------ c:\windows\R.COM
2009-03-09 21:09 . 2004-08-04 00:58 140,800 --a------ c:\windows\system32\T.COM
2009-03-09 21:09 . 2009-03-09 21:09 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-09 21:09 . 2005-09-22 23:22 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-08 20:16 . 2009-03-08 20:16 <DIR> d-------- c:\programme\Trend Micro
2009-02-23 12:50 . 2009-02-23 13:08 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\GeoSetter
2009-02-23 12:30 . 2009-02-23 12:30 <DIR> d-------- c:\programme\GeoSetter
2009-02-23 12:30 . 2009-02-23 12:50 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\GeoSetter
2009-02-23 11:54 . 2009-02-23 12:30 <DIR> d-------- c:\programme\Thumbs7
2009-02-23 11:54 . 2009-02-23 11:54 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\ThumbsPlus
2009-02-23 10:45 . 2009-02-23 10:54 <DIR> d-------- c:\programme\IrfanView
2009-02-22 20:45 . 2009-02-22 20:45 <DIR> d-------- c:\programme\Microsoft Silverlight
2009-02-22 01:30 . 2009-02-22 01:33 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\vlc
2009-02-20 15:15 . 2009-02-20 15:15 <DIR> d-------- c:\programme\Google
2009-02-20 14:14 . 2009-02-22 01:28 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\LightScribe
2009-02-20 14:13 . 2009-02-20 14:13 <DIR> d-------- c:\programme\Gemeinsame Dateien\LightScribe
2009-02-19 20:14 . 2009-02-19 20:14 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\GMX
2009-02-19 20:07 . 2009-02-19 20:07 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\vlc
2009-02-19 20:07 . 2009-02-19 20:07 <DIR> d-------- c:\dokumente und einstellungen\tazAdmin\Anwendungsdaten\dvdcss
2009-02-19 20:02 . 2009-02-19 20:02 <DIR> d-------- c:\dokumente und einstellungen\tazUser\Anwendungsdaten\dvdcss
2009-02-19 19:58 . 2009-02-19 19:58 <DIR> d-------- c:\programme\GMX
2009-02-19 19:58 . 2009-02-19 19:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2009-02-19 19:58 . 2008-07-29 09:43 149,120 --a------ c:\windows\system32\drivers\uigxrdr.SYS
2009-02-19 19:58 . 2008-07-29 09:43 7,680 --a------ c:\windows\system32\uigxnp.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-09 21:01 --------- d-----w c:\programme\Trojancheck 6
2009-03-09 19:57 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-07 12:07 --------- d-----w c:\programme\Soulseek
2009-03-01 14:15 --------- d-----w c:\programme\Gemeinsame Dateien\ACD Systems
2009-02-22 20:33 --------- d-----w c:\dokumente und einstellungen\tazUser\Anwendungsdaten\BOM
2009-02-21 18:07 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-02-19 15:02 --------- d-----w c:\programme\DVD Shrink
2009-02-15 14:36 --------- d-----w c:\programme\Biet-O-Matic
2009-02-03 20:40 --------- d-----w c:\programme\Miranda IM
2009-02-01 18:51 --------- d-----w c:\programme\ACD Systems
2009-02-01 18:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ACD Systems
2009-02-01 18:36 --------- d-----w c:\programme\Picasa2
2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2008-02-10 17:27 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-07-25 09:59 28,672 ----a-w c:\programme\mozilla firefox\components\mintray-9178506d-2005072516-trunk.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"neolog"="c:\programme\Neolog\Neolog.exe" [2006-09-20 797184]
"CTSyncU.exe"="c:\programme\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]
"AllToTray"="c:\programme\AllToTray\AllToTray.exe" [2004-01-26 728576]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Trojancheck 6 Guard"="c:\programme\Trojancheck 6\tcguard.exe" [2002-11-14 590336]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"SpyBotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 1460560]
"CTCheck"="c:\programme\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"VX1000"="c:\windows\vVX1000.exe" [2006-06-30 707376]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2006-06-30 269104]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2005-09-28 172544]
"nwiz"="nwiz.exe" [2007-10-04 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\tazUser\Startmen\Programme\Autostart\
CoolMenu.lnk - c:\programme\CoolMenu tazUser\CoolMenu.exe [2007-11-20 531968]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-10-13 110592]
GammaTray.lnk - c:\programme\Samsung\MagicTune Premium\GammaTray.exe [2008-10-11 36864]
NCProTray.lnk - c:\programme\Samsung\Natural Color Pro\NCProTray.exe [2008-10-11 49220]
SpywareGuard.lnk - c:\programme\SpywareGuard\sgmain.exe [2003-08-29 360448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
--a------ 2004-12-14 02:12 483328 c:\programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 00:57 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2006-07-25 15:55 1043968 c:\programme\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
--a------ 2001-11-29 01:00 28672 c:\programme\Creative\SBLive\Program\ADGJDet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-10-04 17:14 8491008 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-10-04 17:14 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
-ra------ 2004-06-11 11:15 83968 c:\windows\system32\nvraidservice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
--------- 2000-05-11 01:00 90112 c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-10-04 17:14 1626112 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch]
--a------ 2002-07-02 17:56 24576 c:\windows\system32\CTHELPER.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Adobe LM Service"=3 (0x3)
"InCDsrv"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"ose"=3 (0x3)
"NBService"=3 (0x3)
"MDM"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2009-02-19 149120]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.sys --> c:\windows\system32\drivers\as6eio.sys [?]
S2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [2005-01-27 241731]
S2 PV8630;USB Flatbed Scanner Driver;c:\windows\system32\A1236.SYS [2008-05-14 19144]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PV8630

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners

2009-02-20 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
MSConfigStartUp-MSMSGS - c:\programme\Messenger\msmsgs.exe


.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MSOFFI~1\OFFICE11\EXCEL.EXE/3000
TCP: {20C5348D-A08B-454C-A42D-B90B9AE72290} = 192.168.0.1
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-10 08:19:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

? [25416]
? [26240]
Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1935655697-1035525444-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Zeit der Fertigstellung: 2009-03-10 8:20:27
ComboFix-quarantined-files.txt 2009-03-10 07:20:14

Vor Suchlauf: 1.625.436.160 Bytes frei
Nach Suchlauf: 3,830,636,544 Bytes frei

180
__________________


Alt 10.03.2009, 23:52   #3
taz
 
Avira meldet TR/Crypt.ULPM.Gen - Standard

Avira meldet TR/Crypt.ULPM.Gen



ESCAN
Das meiste ist spy-/adware oder ungültige objekte. Bei den Virusfunden (weiter unten fett markiert) handelt es sich NICHT um installierte Programme. Die Dateien liegen einfach in meinem Archiv rum. Oder es scheinen Dateien aus Systemwiederherstellungspunkten zu sein.


Objekt "ezula Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "PurityScan Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "bonzibuddy Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "MultiPassRecover Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Objekt "SecureExpertCleaner Corrupted Adware/Spyware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.PathControl" verweist auf das ungültige Objekt "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.Sequence" verweist auf das ungültige Objekt "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.SequencerControl" verweist auf das ungültige Objekt "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.SpriteControl" verweist auf das ungültige Objekt "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\DirectAnimation.StructuredGraphicsControl" verweist auf das ungültige Objekt "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\NMUIEngine.NMUIResourceLoaderHarddisk" verweist auf das ungültige Objekt "{03DC5606-EA66-4f02-AB52-2065524B03821}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\PPServer.TIMEFilterAnimation" verweist auf das ungültige Objekt "{8C98DAE2-DD96-AD59-68F4-DC09F977E430}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SharePoint.WebPartPage.Document.1.0" verweist auf das ungültige Objekt "{388ED91D-7FD2-11D0-A60B-00A0C90A43FF}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SPhoneParser.FoundSkypeNumber" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\SPhoneParser.FoundSkypeNumber.1" verweist auf das ungültige Objekt "{E40A96CC-4A5B-47F4-9957-87CDED1DFF45}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPShell.HWEventHandler" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCR\WMPShell.HWEventHandler.1" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "C:\Programme\Audible\Bin\adhelper.exe". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\DIMM.DLL". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\DOKUME~1\tazAdmin\LOKALE~1\Temp\_ISTMP1.DIR\_ISTMP0.DIR\FileGrp\Msvcrt10.dll". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\icons\default\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\chrome\icons\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" verweist auf das ungültige Objekt "C:\Programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".3fr". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".msf". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".s". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".sv2i". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25po". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25pp". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".v25ppf". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".x3f". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".zaska0". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB913433". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "KB936782_WMP11". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.11)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.13)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (2.0.0.8)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.3)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.5)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Firefox (3.0.6)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Thunderbird (2.0.0.16)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Mozilla Thunderbird (2.0.0.6)". Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\tazAdmin\Lokale Einstellungen\Temp\812.exe ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\Dokumente und Einstellungen\tazAdmin\Lokale Einstellungen\Temp\812.exe ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061114.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061115.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061117.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061118.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061124.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061125.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061126.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061128.scr ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061129.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061130.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061131.scr ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061132.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061133.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061134.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{937E6A5B-60A3-46D8-994D-B88A8B31F6B5}\RP243\A0061135.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\8.1.99.zip ist durch den Virus "Trojan.Generic.1408490 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\2.40.ZIP ist durch den Virus "Trojan.Packed.47612 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\7.5.7_eng.exe ist durch den Virus "THREAT_TYPE_ARCHBOMB (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\stuff\Pro7.rar ist durch den Virus "Backdoor.Pcclient.GV (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\system\2.20.exe ist durch den Virus "Dialer.Generic.19384 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Install_exe\Progs\system\pd7.0.zip ist durch den Virus "Dialer.Generic.18172 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei D:\My_Files\sYstem\Treiber etc\codecs\klcodec210f.exe ist durch den Virus "Adware.Gator.C (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
__________________

Geändert von taz (11.03.2009 um 00:04 Uhr)

Alt 12.03.2009, 11:23   #4
myrtille
/// TB-Ausbilder
 
Avira meldet TR/Crypt.ULPM.Gen - Standard

Avira meldet TR/Crypt.ULPM.Gen



Hi,

dein Hijackthislog ist unauffällig die von dir fettmarkierten Linien sind Start- und Suchseite vom Internet Explorer, die dürften deinen Firefox nicht beeinflussen.

Weiterhin handelt es sich bei Tr.Crypt...-Meldungen in der Regel um den Packer einer Datei, das heißt nicht das die Datei bösartig sein muss.
Sende sie eventuell als Verdacht auf Fehlalarm bei Antivir ein: Anleitung

Du solltest in den nächsten Tagen eine ausführlichere Antwort von Antivir erhalten. Poste diese bitte auch hier im Thread.

Dein CF-Log sieht soweit auch ganz gut aus.

Den Escan habe ich nur überflogen, da es da einfach zuviele Fehlalarme gibt., da war direkt aber auch nichts auffälliges zu sehen.

Erstelle bitte noch einen Scan mit Malwarebytes und poste das Ergebnis hier.
Sowie ein Log von GMER und ein aktuelles HijackThis log:
Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
  • Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
  • (Wichtig: "Show all" darf nicht angehakt sein)
  • Starte den Durchlauf mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 15.03.2009, 13:47   #5
taz
 
Avira meldet TR/Crypt.ULPM.Gen - Standard

Avira meldet TR/Crypt.ULPM.Gen



*puh* Super, vielen Dank soweit. Hab mir schon gedacht, dass es ein Fehlalarm sein müsste. Mittlerweile kommt diese Meldung auch nicht mehr. Zwischendurch gabs ja wieder mindestens ein Avira-Auto-Update. Da haben sie es vermutlich gefixt. Sollte bei Avira dennoch ein Fehlalarm gemeldet werden?

Bei nächster Gelegenheit werde ich auch die verbleibenden Scans machen, die Logs hier posten und alle infizierten, aber nicht auf der aktuellen Win-Installation installierten, Archivdateien löschen.

Vielen Dank, der taz


Antwort

Themen zu Avira meldet TR/Crypt.ULPM.Gen
'tr/crypt.ulpm.gen', ad-aware, adobe, antivir, avira, bho, excel, explorer, fehlalarm, firefox, google, handel, hijack, hijackthis, hkus\s-1-5-18, hängt, internet, internet explorer, mozilla, msn-messenger, prozesse, regcleaner, rundll, software, system, tr/crypt.ulpm.gen, trojan, virus, windows, windows xp



Ähnliche Themen: Avira meldet TR/Crypt.ULPM.Gen


  1. TR/crypt.ulpm.gm gefunden von AVIRA aber nur in Quarantäne verschoben
    Log-Analyse und Auswertung - 09.01.2015 (11)
  2. Avira meldet Funde (TR/Crypt.ZPACK.104691)
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (11)
  3. Windows 8.1: Avira meldet TR/Crypt.XPACK.Gen7
    Log-Analyse und Auswertung - 04.06.2014 (9)
  4. Avira meldet: TR/Crypt.ZPACK.15568
    Plagegeister aller Art und deren Bekämpfung - 01.10.2013 (13)
  5. Avira Fund: TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 26.07.2013 (3)
  6. avira findet TR/Crypt.ULPM.Gen [trojan] während java download in jre-7u13-windows-i586-iftw.exe.part
    Plagegeister aller Art und deren Bekämpfung - 06.02.2013 (5)
  7. Avira meldet 'TR/Crypt.EPACK.Gen2'
    Log-Analyse und Auswertung - 05.01.2013 (16)
  8. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  9. TR/Crypt.ULPM.Gen von Avira gefunden-kann nicht gelöscht werden.
    Plagegeister aller Art und deren Bekämpfung - 20.03.2012 (16)
  10. Avira Echtzeitscanner meldet TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (4)
  11. Avira Fund EXP/CVE-2011-3544 & TR/Crypt.ULPM.Gen
    Log-Analyse und Auswertung - 24.02.2012 (22)
  12. Avira findet Trojaner TR/Crypt.ULPM.Gen in Webot
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (1)
  13. Avira AntiVir meldet Trojaner TR/Crypt.XPACK.Gen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  14. AntiVir meldet HTML/Rce.gen - TR/Crypt.ULPM.Gen und Verwandte
    Plagegeister aller Art und deren Bekämpfung - 13.11.2010 (3)
  15. Avira AntiVir Personal - Free Antivirus meldet TR/Crypt.ULPM.Gen, möglicherweise Fehlalarm
    Plagegeister aller Art und deren Bekämpfung - 02.09.2010 (5)
  16. Avira meldet Fund von TR/Crypt.Xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (3)
  17. Avira meldet TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.03.2009 (1)

Zum Thema Avira meldet TR/Crypt.ULPM.Gen - Hi Leute, seit kurzem meldet Avira folgendes immer nach der WinXP-Anmeldung, wenn alle Prozesse geladen werden. Vermutlich genau an der Stelle, wo mein Coolmenu (kleines übersichtliches Verknüpfungstool, um sich immer - Avira meldet TR/Crypt.ULPM.Gen...
Archiv
Du betrachtest: Avira meldet TR/Crypt.ULPM.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.