Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Plagegeister aller Art und deren Bekämpfung: TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.03.2012, 22:49   #1
Swillswissen
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Hallo,

ich habe Avira Antivir und bei mir kam ganz oft die gleiche Meldung, dass etwas schädliches gefunden wurde. Die Auswahl "In Quarantäne verschieben" gab es nicht, deshalb habe ich "Entfernen" gedrückt. Gleichzeit hat sich ein Suchlauf gestartet. So ging das über eine Stunde... dann habe ich einen Suchlauf durch Antivir gemacht, der hat die vorherigen Viren/Trojaner alle immer noch gefunden (knapp 170 Dateien betroffen), dann ging es auch sie in Quarantäne zu verschieben. Leider wird aber weiterhin etwas gefunden, d.h. das ganze ist irgendwie immer noch nciht weg. Angezeigt wurde:
TR/Sirefef.BP.1 --> am öftesten
Tr/Crypt.XPACK.Gen --> selten
TR/Rootkit.Gen2 --> selten

Ich hab die verlangten Programme laufen lassen, hier das Ergebnis. Ich hoffe das passt so? Ich kenn mich mit solchen Programmen etc. sehr wenig aus... Danke für Hilfe!
Lg Swillswissen

Defogger:

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:17 on 15/03/2012 (admin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

DDS:

DDS Logfile:
Code:
ATTFilter
DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_29
Run by admin at 18:19:53 on 2012-03-15
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.503.321 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe
C:\Programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\program files\real\realplayer\update\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
.
============== Pseudo HJT Report ===============
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Settings,ProxyOverride = *.local;<local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
uURLSearchHooks: ZoneAlarm Toolbar: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - c:\programme\zonealarm\prxtbZon0.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\dokumente und einstellungen\all users\anwendungsdaten\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll
BHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\DLASHX_W.DLL
BHO: ZoneAlarm Toolbar: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - c:\programme\zonealarm\prxtbZon0.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File
TB: ZoneAlarm Toolbar: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - c:\programme\zonealarm\prxtbZon0.dll
TB: &Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - 
TB: {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No File
TB: {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No File
TB: {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [<NO NAME>] 
mRun: [Dell QuickSet] c:\programme\dell\quickset\quickset.exe
mRun: [Broadcom Wireless Manager UI] c:\windows\system32\WLTRAY.exe
mRun: [igfxtray] c:\windows\system32\igfxtray.exe
mRun: [igfxhkcmd] c:\windows\system32\hkcmd.exe
mRun: [igfxpers] c:\windows\system32\igfxpers.exe
mRun: [DLA] c:\windows\system32\dla\DLACTRLW.EXE
mRun: [NokiaMServer] c:\programme\gemeinsame dateien\nokia\mplatform\NokiaMServer /watchfiles startup
mRun: [QuickTime Task] "c:\programme\quicktime\qttask.exe" -atboottime
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [TkBellExe] "c:\program files\real\realplayer\update\realsched.exe"  -osboot
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [Adobe Reader Speed Launcher] "c:\programme\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: Free YouTube Download - c:\dokumente und einstellungen\admin\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\admin\anwendungsdaten\dvdvideosoftiehelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\programme\google\google toolbar\component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office11\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {49232000-16E4-426C-A231-62846947304B} - hxxp://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - hxxp://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178992216781
DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab
DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} - hxxp://esupport.epson-europe.com/selftest/de/Prg/ESTPTest.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {A3256902-51FA-45A0-8A97-FC1143C169D9} - hxxp://support.microsoft.com/mats/DiagWebControl.cab
DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - hxxp://www.sibelius.com/download/software/win/ActiveXPlugin.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{D7C20709-6F15-4A19-A72B-64383BD5111B} : DhcpNameServer = 192.168.1.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No File
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\admin\anwendungsdaten\mozilla\firefox\profiles\2hfot8x9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - component: c:\dokumente und einstellungen\admin\anwendungsdaten\mozilla\firefox\profiles\2hfot8x9.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
.
---- FIREFOX POLICIES ----
FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service
.
============= SERVICES / DRIVERS ===============
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-11-10 36000]
R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2010-12-12 148992]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\avira\antivir desktop\sched.exe [2011-11-10 86224]
R2 AntiVirService;Avira Echtzeit Scanner;c:\programme\avira\antivir desktop\avguard.exe [2011-11-10 110032]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-7-14 74640]
R2 EmmaDevMgmtSvc;Emma Device Management;c:\programme\gemeinsame dateien\sony ericsson\emma core\services\EmmaDeviceMgmt.exe [2010-7-1 306296]
R2 EmmaUpdMgmtSvc;Emma Update Management;c:\programme\gemeinsame dateien\sony ericsson\emma core\services\EmmaUpdateMgmt.exe [2010-7-1 162936]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\sony ericsson\sony ericsson pc suite\SupServ.exe [2010-6-29 90112]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [2010-6-29 27632]
S2 mclserviceatl;Mssqlserveradhelper;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S2 mcshield;Modemcsa;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S2 mksvirmonsvc;MREMPR5;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S2 navap;Vpctcom;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S2 pav_security;Fetnd5bv;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S2 vetmonnt;DFUBTUSB;c:\windows\system32\svchost.exe -k netsvcs [2004-8-18 14336]
S3 WN4501HLFZZ;802.11g Wireless USB Adapter;c:\windows\system32\drivers\o4501u.sys --> c:\windows\system32\drivers\O4501U.sys [?]
.
=============== Created Last 30 ================
.
2012-03-15 02:31:00	0	--sha-w-	c:\windows\system32\dds_log_ad13.cmd
2012-03-15 02:28:29	--------	d-sh--w-	c:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\f4631c47
.
==================== Find3M  ====================
.
2012-02-16 16:45:11	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20:28	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-17 19:43:23	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43:23	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23	1469440	------w-	c:\windows\system32\inetcpl.cpl
2008-12-01 16:30:46	12681040	-c--a-w-	c:\programme\mm20deu.exe
.
============= FINISH: 18:22:34,90 ===============
--- --- ---



Attach von DDS:

Code:
ATTFilter
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume2
Install Date: 13.04.2006 16:05:51
System Uptime: 15.03.2012 16:57:36 (2 hours ago)
.
Motherboard: Dell Inc. |  | 0RJ272
Processor: Intel(R) Celeron(R) M processor         1.50GHz | Microprocessor | 1496/133mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 34 GiB total, 2,286 GiB free.
D: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E978-E325-11CE-BFC1-08002BE10318}
Description: Mehrfach-Kommunikationsanschluss
Device ID: ROOT\PORTS\0001
Manufacturer: (Standardanschlusstypen)
Name: Mehrfach-Kommunikationsanschluss (COM6)
PNP Device ID: ROOT\PORTS\0001
Service: Serial
.
Class GUID: {4D36E978-E325-11CE-BFC1-08002BE10318}
Description: ECP-Druckeranschluss
Device ID: ROOT\PORTS\0002
Manufacturer: (Standardanschlusstypen)
Name: ECP-Druckeranschluss (LPT3)
PNP Device ID: ROOT\PORTS\0002
Service: Parport
.
==== System Restore Points ===================
.
RP1715: 25.01.2012 22:22:43 - Systemprüfpunkt
RP1716: 27.01.2012 00:50:52 - Systemprüfpunkt
RP1717: 28.01.2012 11:25:16 - Systemprüfpunkt
RP1718: 29.01.2012 21:28:06 - Systemprüfpunkt
RP1719: 30.01.2012 21:39:47 - Systemprüfpunkt
RP1720: 31.01.2012 23:33:11 - Systemprüfpunkt
RP1721: 02.02.2012 00:19:50 - Systemprüfpunkt
RP1722: 03.02.2012 01:32:44 - Systemprüfpunkt
RP1723: 05.02.2012 15:33:36 - Systemprüfpunkt
RP1724: 06.02.2012 18:53:27 - Systemprüfpunkt
RP1725: 07.02.2012 20:04:25 - Systemprüfpunkt
RP1726: 08.02.2012 20:10:20 - Systemprüfpunkt
RP1727: 10.02.2012 00:06:21 - Systemprüfpunkt
RP1728: 12.02.2012 23:28:59 - Systemprüfpunkt
RP1729: 13.02.2012 23:54:53 - Systemprüfpunkt
RP1730: 15.02.2012 00:26:57 - Systemprüfpunkt
RP1731: 16.02.2012 01:05:51 - Systemprüfpunkt
RP1732: 17.02.2012 17:00:59 - Systemprüfpunkt
RP1733: 18.02.2012 23:43:00 - Software Distribution Service 3.0
RP1734: 20.02.2012 11:48:38 - Systemprüfpunkt
RP1735: 21.02.2012 18:35:48 - Systemprüfpunkt
RP1736: 22.02.2012 23:43:43 - Systemprüfpunkt
RP1737: 25.02.2012 14:31:50 - Systemprüfpunkt
RP1738: 26.02.2012 20:29:16 - Systemprüfpunkt
RP1739: 27.02.2012 20:33:23 - Systemprüfpunkt
RP1740: 28.02.2012 20:39:58 - Systemprüfpunkt
RP1741: 29.02.2012 23:15:18 - Systemprüfpunkt
RP1742: 01.03.2012 23:20:18 - Systemprüfpunkt
RP1743: 03.03.2012 11:19:53 - Systemprüfpunkt
RP1744: 04.03.2012 12:49:26 - Systemprüfpunkt
RP1745: 05.03.2012 21:32:46 - Systemprüfpunkt
RP1746: 06.03.2012 21:42:25 - Systemprüfpunkt
RP1747: 07.03.2012 21:45:38 - Systemprüfpunkt
RP1748: 08.03.2012 22:10:03 - Systemprüfpunkt
RP1749: 10.03.2012 13:06:38 - Systemprüfpunkt
RP1750: 11.03.2012 15:21:39 - Systemprüfpunkt
RP1751: 12.03.2012 18:12:14 - Systemprüfpunkt
RP1752: 13.03.2012 18:54:15 - Systemprüfpunkt
RP1753: 14.03.2012 19:32:25 - Systemprüfpunkt
.
==== Installed Programs ======================
.
Adobe Download Manager
Adobe Flash Player 10 Plugin
Adobe Flash Player 11 ActiveX
Adobe Reader 9.5.0 - Deutsch
AliceHilfe
Apple Application Support
Apple Software Update
ARTEuro
Avanquest update
Avira Free Antivirus
Bonjour
Broadcom Management Programs
Compatibility Pack für 2007 Office System
Conexant HDA D110 MDC V.92 Modem
Dell CinePlayer
Dell Driver Reset Tool
Dell Support 3.1
Dell Support Center
Dell System Restore
Dell Wireless WLAN Card
DesignWorkshop Lite
Digital Line Detect
ElsterFormular für Privatanwender
Emma Core
F-pro 1.3
f4 3.0.3
Free Studio version 5.2.1
Free YouTube Download version 2.10.29
freenet.de Zugangssoftware
GMX Upload-Manager
High Definition Audio Driver Package - KB835221
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB2158563)
Hotfix für Windows XP (KB2443685)
Hotfix für Windows XP (KB2570791)
Hotfix für Windows XP (KB2633952)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
Hotfix für Windows XP (KB970653-v3)
Hotfix für Windows XP (KB976098-v2)
Hotfix für Windows XP (KB979306)
Hotfix für Windows XP (KB981793)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix for Windows XP (KB976002-v5)
HP Color LaserJet 2820/2830/2840 2.0
HP OfficeJet T Series (Nur entfernen)
hppFaxUtility
hppIOFiles
hppManuals2800
hppscan2800
hppTooCool
Intel(R) Graphics Media Accelerator Driver for Mobile
Java Auto Updater
Java(TM) 6 Update 29
MCU
MediaManager
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Security Update (KB2656353)
Microsoft .NET Framework 1.1 Security Update (KB979906)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
Microsoft National Language Support Downlevel APIs
Microsoft Office File Validation Add-In
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.9
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
MicroStaff WINASPI
Modem Helper
Mozilla Firefox (2.0.0.20)
MSVC80_x86_v2
MSVC90_x86
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 6.0 Parser (KB933579)
MVBdP Version 1.5.3
NetWaiting
Nokia Connectivity Cable Driver
Nokia Ovi Suite
Nokia Ovi Suite Software Updater
Olympus Digital Wave Player
OpenVPN 2.1.4
Ovi Desktop Sync Engine
OviMPlatform
PC Connectivity Solution
PDFCreator
QuickSet
QuickTime
RealNetworks - Microsoft Visual C++ 2008 Runtime
RealPlayer
RealUpgrade 1.1
Roxio DLA
Roxio MyDVD LE
Roxio RecordNow Audio
Roxio RecordNow Copy
Roxio RecordNow Data
Scan
ScanToWeb
Security Update for CAPICOM (KB931906)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2657424)
SEMC OMSI Module
Sibelius Scorch (ActiveX Only)
Sicherheitsupdate für Microsoft Windows (KB2564958)
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2183461)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2360131)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2416400)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2482017)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2497640)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2510531)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2530548)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2544521)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2559049)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2586448)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2618444)
Sicherheitsupdate für Windows Internet Explorer 8 (KB2647516)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows Internet Explorer 8 (KB981332)
Sicherheitsupdate für Windows Internet Explorer 8 (KB982381)
Sicherheitsupdate für Windows Media Player (KB2378111)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player (KB954155)
Sicherheitsupdate für Windows Media Player (KB968816)
Sicherheitsupdate für Windows Media Player (KB973540)
Sicherheitsupdate für Windows Media Player (KB975558)
Sicherheitsupdate für Windows Media Player (KB978695)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB2079403)
Sicherheitsupdate für Windows XP (KB2115168)
Sicherheitsupdate für Windows XP (KB2121546)
Sicherheitsupdate für Windows XP (KB2160329)
Sicherheitsupdate für Windows XP (KB2229593)
Sicherheitsupdate für Windows XP (KB2259922)
Sicherheitsupdate für Windows XP (KB2279986)
Sicherheitsupdate für Windows XP (KB2286198)
Sicherheitsupdate für Windows XP (KB2296011)
Sicherheitsupdate für Windows XP (KB2296199)
Sicherheitsupdate für Windows XP (KB2347290)
Sicherheitsupdate für Windows XP (KB2360937)
Sicherheitsupdate für Windows XP (KB2387149)
Sicherheitsupdate für Windows XP (KB2393802)
Sicherheitsupdate für Windows XP (KB2412687)
Sicherheitsupdate für Windows XP (KB2419632)
Sicherheitsupdate für Windows XP (KB2423089)
Sicherheitsupdate für Windows XP (KB2436673)
Sicherheitsupdate für Windows XP (KB2440591)
Sicherheitsupdate für Windows XP (KB2443105)
Sicherheitsupdate für Windows XP (KB2476490)
Sicherheitsupdate für Windows XP (KB2476687)
Sicherheitsupdate für Windows XP (KB2478960)
Sicherheitsupdate für Windows XP (KB2478971)
Sicherheitsupdate für Windows XP (KB2479628)
Sicherheitsupdate für Windows XP (KB2479943)
Sicherheitsupdate für Windows XP (KB2481109)
Sicherheitsupdate für Windows XP (KB2483185)
Sicherheitsupdate für Windows XP (KB2485376)
Sicherheitsupdate für Windows XP (KB2485663)
Sicherheitsupdate für Windows XP (KB2491683)
Sicherheitsupdate für Windows XP (KB2503658)
Sicherheitsupdate für Windows XP (KB2503665)
Sicherheitsupdate für Windows XP (KB2506212)
Sicherheitsupdate für Windows XP (KB2506223)
Sicherheitsupdate für Windows XP (KB2507618)
Sicherheitsupdate für Windows XP (KB2507938)
Sicherheitsupdate für Windows XP (KB2508272)
Sicherheitsupdate für Windows XP (KB2508429)
Sicherheitsupdate für Windows XP (KB2509553)
Sicherheitsupdate für Windows XP (KB2511455)
Sicherheitsupdate für Windows XP (KB2524375)
Sicherheitsupdate für Windows XP (KB2535512)
Sicherheitsupdate für Windows XP (KB2536276-v2)
Sicherheitsupdate für Windows XP (KB2536276)
Sicherheitsupdate für Windows XP (KB2544893-v2)
Sicherheitsupdate für Windows XP (KB2544893)
Sicherheitsupdate für Windows XP (KB2555917)
Sicherheitsupdate für Windows XP (KB2562937)
Sicherheitsupdate für Windows XP (KB2566454)
Sicherheitsupdate für Windows XP (KB2567053)
Sicherheitsupdate für Windows XP (KB2567680)
Sicherheitsupdate für Windows XP (KB2570222)
Sicherheitsupdate für Windows XP (KB2570947)
Sicherheitsupdate für Windows XP (KB2584146)
Sicherheitsupdate für Windows XP (KB2585542)
Sicherheitsupdate für Windows XP (KB2592799)
Sicherheitsupdate für Windows XP (KB2598479)
Sicherheitsupdate für Windows XP (KB2603381)
Sicherheitsupdate für Windows XP (KB2618451)
Sicherheitsupdate für Windows XP (KB2619339)
Sicherheitsupdate für Windows XP (KB2620712)
Sicherheitsupdate für Windows XP (KB2624667)
Sicherheitsupdate für Windows XP (KB2631813)
Sicherheitsupdate für Windows XP (KB2633171)
Sicherheitsupdate für Windows XP (KB2639417)
Sicherheitsupdate für Windows XP (KB2646524)
Sicherheitsupdate für Windows XP (KB2660465)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956744)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB956844)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB958869)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB960859)
Sicherheitsupdate für Windows XP (KB961371)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969059)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970238)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB971468)
Sicherheitsupdate für Windows XP (KB971486)
Sicherheitsupdate für Windows XP (KB971557)
Sicherheitsupdate für Windows XP (KB971633)
Sicherheitsupdate für Windows XP (KB971657)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973346)
Sicherheitsupdate für Windows XP (KB973354)
Sicherheitsupdate für Windows XP (KB973507)
Sicherheitsupdate für Windows XP (KB973525)
Sicherheitsupdate für Windows XP (KB973869)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974112)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Sicherheitsupdate für Windows XP (KB974571)
Sicherheitsupdate für Windows XP (KB975025)
Sicherheitsupdate für Windows XP (KB975467)
Sicherheitsupdate für Windows XP (KB975560)
Sicherheitsupdate für Windows XP (KB975561)
Sicherheitsupdate für Windows XP (KB975562)
Sicherheitsupdate für Windows XP (KB975713)
Sicherheitsupdate für Windows XP (KB977165)
Sicherheitsupdate für Windows XP (KB977816)
Sicherheitsupdate für Windows XP (KB977914)
Sicherheitsupdate für Windows XP (KB978037)
Sicherheitsupdate für Windows XP (KB978251)
Sicherheitsupdate für Windows XP (KB978262)
Sicherheitsupdate für Windows XP (KB978338)
Sicherheitsupdate für Windows XP (KB978542)
Sicherheitsupdate für Windows XP (KB978601)
Sicherheitsupdate für Windows XP (KB978706)
Sicherheitsupdate für Windows XP (KB979309)
Sicherheitsupdate für Windows XP (KB979482)
Sicherheitsupdate für Windows XP (KB979559)
Sicherheitsupdate für Windows XP (KB979683)
Sicherheitsupdate für Windows XP (KB979687)
Sicherheitsupdate für Windows XP (KB980195)
Sicherheitsupdate für Windows XP (KB980218)
Sicherheitsupdate für Windows XP (KB980232)
Sicherheitsupdate für Windows XP (KB980436)
Sicherheitsupdate für Windows XP (KB981322)
Sicherheitsupdate für Windows XP (KB981852)
Sicherheitsupdate für Windows XP (KB981957)
Sicherheitsupdate für Windows XP (KB981997)
Sicherheitsupdate für Windows XP (KB982132)
Sicherheitsupdate für Windows XP (KB982214)
Sicherheitsupdate für Windows XP (KB982665)
Sicherheitsupdate für Windows XP (KB982802)
Skype™ 5.5
Sonic Activation Module
Sony Ericsson PC Suite 6.009.00
Synaptics Pointing Device Driver
Systemsteuerung "MobileMe"
T-Online Installationsdateien
TeamViewer 7
TextMaker Viewer
Uninstall 1.0.0.1
Update für Windows Internet Explorer 8 (KB971180)
Update für Windows Internet Explorer 8 (KB976662)
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows Internet Explorer 8 (KB980182)
Update für Windows XP (KB2141007)
Update für Windows XP (KB2345886)
Update für Windows XP (KB2467659)
Update für Windows XP (KB2541763)
Update für Windows XP (KB2607712)
Update für Windows XP (KB2616676-v2)
Update für Windows XP (KB2641690)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955759)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Update für Windows XP (KB968389)
Update für Windows XP (KB971029)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Update für Windows XP (KB973815)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update Service
WebFldrs XP
Wichtiges Update für Windows Media Player 11 (KB959772)
Wie man's spricht DEMO
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
Windows Communication Foundation Language Pack - DEU
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Installer Clean Up
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Media Format 11 runtime
Windows Media Player 11
Windows Movie Maker 2.0
Windows PowerShell(TM) 1.0
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinRAR
Wizard101(DE)
XML Paper Specification Shared Components Language Pack 1.0
XML Paper Specification Shared Components Pack 1.0
.
==== Event Viewer Messages From Past Week ========
.
15.03.2012 06:37:50, Informationen: Windows File Protection [64002]  - Es wurde versucht, die geschützte Systemdatei c:\windows\system32\drivers\mrxsmb.sys zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der Systemdatei ist 5.1.2600.6133.
15.03.2012 06:24:26, Informationen: Windows File Protection [64002]  - Es wurde versucht, die geschützte Systemdatei c:\windows\system32\drivers\mrxsmb.sys zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der Systemdatei ist 5.1.2600.6133.
15.03.2012 06:11:42, Informationen: Windows File Protection [64002]  - Es wurde versucht, die geschützte Systemdatei c:\windows\system32\drivers\mrxsmb.sys zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der Systemdatei ist 5.1.2600.6133.
15.03.2012 05:54:40, Informationen: Windows File Protection [64002]  - Es wurde versucht, die geschützte Systemdatei c:\windows\system32\drivers\mrxsmb.sys zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der Systemdatei ist 5.1.2600.6133.
.
==== End Of File ===========================

GMER:

Code:
ATTFilter
MER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-15 22:23:54
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 Hitachi_HTS541040G9AT00 rev.MB2OA61A
Running: vnfkzi98.exe; Driver: C:\DOKUME~1\admin\LOKALE~1\Temp\uwdyapod.sys


---- System - GMER 1.0.15 ----

SSDT            F8C0306C                                                                                              ZwClose
SSDT            F8C03026                                                                                              ZwCreateKey
SSDT            F8C03076                                                                                              ZwCreateSection
SSDT            F8C0301C                                                                                              ZwCreateThread
SSDT            F8C0302B                                                                                              ZwDeleteKey
SSDT            F8C03035                                                                                              ZwDeleteValueKey
SSDT            F8C03067                                                                                              ZwDuplicateObject
SSDT            F8C0303A                                                                                              ZwLoadKey
SSDT            F8C03008                                                                                              ZwOpenProcess
SSDT            F8C0300D                                                                                              ZwOpenThread
SSDT            F8C0308F                                                                                              ZwQueryValueKey
SSDT            F8C03044                                                                                              ZwReplaceKey
SSDT            F8C03080                                                                                              ZwRequestWaitReplyPort
SSDT            F8C0303F                                                                                              ZwRestoreKey
SSDT            F8C0307B                                                                                              ZwSetContextThread
SSDT            F8C03085                                                                                              ZwSetSecurityObject
SSDT            F8C03030                                                                                              ZwSetValueKey
SSDT            F8C0308A                                                                                              ZwSystemDebugControl
SSDT            F8C03017                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           atapi.sys                                                                                             F8340852 1 Byte  [CC] {INT 3 }
?               C:\DOKUME~1\admin\LOKALE~1\Temp\mbr.sys                                                               Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text           C:\program files\real\realplayer\update\realsched.exe[3440] kernel32.dll!SetUnhandledExceptionFilter  7C84495D 5 Bytes  [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                               SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \FileSystem\Fastfat \Fat                                                                              A19C8D20

AttachedDevice  \FileSystem\Fastfat \Fat                                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Threads - GMER 1.0.15 ----

Thread          System [4:116]                                                                                        82CE139F
Thread          System [4:120]                                                                                        82C6A0F4

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\$NtUninstallKB6107$\1412421291                                                             0 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007                                                             0 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\@                                                           2048 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\L                                                           0 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\L\nnffsaqa                                                  456320 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\loader.tlb                                                  2632 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U                                                           0 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@00000001                                                 45968 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000c0                                                 2560 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000cb                                                 3072 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000cf                                                 1536 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@80000000                                                 73728 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000c0                                                 43008 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000cb                                                 25600 bytes
File            C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000cf                                                 31232 bytes

---- EOF - GMER 1.0.15 ----
Geändert von Swillswissen (15.03.2012 um 23:00 Uhr)

Alt 15.03.2012, 23:04   #2
Chris4You
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Hi,

da ist er ja, der kleine Schelm:
Code:
ATTFilter
File C:\WINDOWS\$NtUninstallKB6107$\1412421291 0 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007 0 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\@ 2048 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\L 0 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\L\nnffsaqa 456320 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\loader.tlb 2632 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U 0 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@00000001 45968 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000c0 2560 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000cb 3072 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@000000cf 1536 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@80000000 73728 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000c0 43008 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000cb 25600 bytes
File C:\WINDOWS\$NtUninstallKB6107$\4100136007\U\@800000cf 31232 bytes
Bevor ich mich jetzt verkünstele, CF runterladen, auf test.com umbenennen und laufen lassen...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden...

Danach:
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

chris
__________________

__________________
Alt 16.03.2012, 01:28   #3
Swillswissen
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Kurze Frage:
Wie kann ich Avira Free Antivirus wirklich ausschalten? Ich habe den Echtzeitscanner ausgeschaltet, aber trotzden sagt ComboFix, das Antivir noch läuft.
Bei mir gibt es keine Zeile "Deaktivieren" wenn ich mit der rechten Maustaste auf das Symbol in der Taskleiste klicke!

Wäre über Hilfe dankbar... (So gehts nämlich sonst bald meinem PC, wenn ich immer nur Suche und nicht Finde...)
__________________
Alt 16.03.2012, 12:06   #4
Chris4You
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Hi,

keine Angst, die Anweisung ist nur zur Sicherheit, eigentlich macht das CF alleine...

Gehe wie beschrieben vor...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.03.2012, 02:48   #5
Swillswissen
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Hallo Chris,
danke für die Info. Ich bin dran, aber es dauert teilw. ja relativ lang und zwischendurch muss ich auch noch andere Dinge tun...

Unten der Zwischenstand. Es hat sich auch Avira nochmal gemeldet und zwar nach dem Scan von Malwarebytes. Die Namen: TR/ATRAPS.Gen2 und TR/Dropper.Gen8

Lg S

Combo Fix:

Code:
ATTFilter
ComboFix 12-03-15.03 - admin 16.03.2012   2:22.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.503.95 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\admin\Desktop\test.com.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\f4631c47\X
c:\windows\IsUn0407.exe
c:\windows\system32\STEC3.sys
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_STEC3
-------\Service_STEC3
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-16 bis 2012-03-16  ))))))))))))))))))))))))))))))
.
.
2012-03-16 00:43 . 2008-04-14 01:49	188800	----a-w-	c:\windows\system32\drivers\acpi.sys
2012-03-16 00:43 . 2008-04-14 01:49	188800	----a-w-	c:\windows\system32\dllcache\acpi.sys
2012-03-15 02:31 . 2012-03-15 02:31	0	--sha-w-	c:\windows\system32\dds_log_ad13.cmd
2012-03-15 02:28 . 2012-03-16 01:54	--------	d-sh--w-	c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\f4631c47
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-17 14:35 . 2011-11-10 16:45	137416	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-02-16 16:45 . 2011-05-18 12:37	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20 . 2004-08-18 12:05	1860096	----a-w-	c:\windows\system32\win32k.sys
2011-12-17 19:43 . 2004-08-18 12:05	916992	----a-w-	c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2004-08-18 12:05	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2004-08-18 12:05	1469440	------w-	c:\windows\system32\inetcpl.cpl
2008-12-01 16:30 . 2008-12-01 16:30	12681040	-c--a-w-	c:\programme\mm20deu.exe
2010-05-01 08:17 . 2007-02-02 14:08	67688	-c--a-w-	c:\programme\mozilla firefox\components\jar50.dll
2010-05-01 08:17 . 2007-02-02 14:08	54368	-c--a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2010-05-01 08:17 . 2008-03-22 06:53	34944	-c--a-w-	c:\programme\mozilla firefox\components\myspell.dll
2010-05-01 08:17 . 2008-03-22 06:53	46712	-c--a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2010-05-01 08:17 . 2007-02-02 14:08	172136	-c--a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\prxtbZon0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]
2011-05-09 09:49	176936	----a-w-	c:\programme\ZoneAlarm\prxtbZon0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}"= "c:\programme\ZoneAlarm\prxtbZon0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{66F2E20D-0DA8-4C11-A9C8-DD8477B88ACD}"= "c:\programme\ZoneAlarm\prxtbZon0.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2007-02-20 1191936]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2006-11-01 1392640]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-06-06 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-06 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-06 118784]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-11-07 122940]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2011-11-06 273528]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Philips SNU5600 Wireless USB-Adapter.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Philips SNU5600 Wireless USB-Adapter.lnk
backup=c:\windows\pss\Philips SNU5600 Wireless USB-Adapter.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP OfficeJet T Series]
c:\programme\Hewlett-Packard\HP OfficeJet T Series\bin\ktchnsnk.exe -reg Software\Hewlett-Packard\OfficeJet T Series\Install [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ShowLOMControl]
 [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-02 09:07	843712	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-01-03 21:51	37296	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2008-09-03 18:12	111936	-c--a-w-	c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellSupport]
2005-05-15 00:04	332800	-c--a-w-	c:\programme\Dell Support\DSAgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMXLauncher]
2005-11-01 02:12	94208	-c----w-	c:\programme\Dell\Media Experience\DMXLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-06-10 09:44	81920	-c--a-w-	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2006-03-24 15:30	282624	-c--a-w-	c:\windows\stsystra.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2005-11-29 03:56	761947	-c--a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\F-pro\\fscommand\\PipeBeama.exe"=
"c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=
"c:\\Programme\\Sony Ericsson\\SEMC OMSI Module\\SEMC OMSI Module.exe"=
"c:\\Programme\\Nokia\\Nokia Ovi Suite\\NokiaOviSuite.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\OpenVPN\\bin\\openvpn.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version7\\TeamViewer_Service.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avnotify.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\ipmgui.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [10.11.2011 17:45 36000]
R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [12.12.2010 22:32 148992]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [10.11.2011 17:45 86224]
R2 EmmaDevMgmtSvc;Emma Device Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe [01.07.2010 16:43 306296]
R2 EmmaUpdMgmtSvc;Emma Update Management;c:\programme\Gemeinsame Dateien\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe [01.07.2010 16:43 162936]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [29.06.2010 03:49 90112]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [29.06.2010 03:50 27632]
S3 WN4501HLFZZ;802.11g Wireless USB Adapter;c:\windows\system32\DRIVERS\O4501U.sys --> c:\windows\system32\DRIVERS\O4501U.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
NETSVCS BENÖTIGT REPARATUR - Derzeitig vorhandene Einträge:
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
dcsloader
AF15BDA
cdralw2k
df5serv
mfcom
WimFltr
tpkmpsvc
issimon
CcmExec
LXARScan
hwpsgt
mstdc
vmnetadapter
PPPoEWin
sptisrv
SE2Cbus
PCTINDIS5
smartwiservice
clmtomcatstartersvc
caili
vetmonnt
CSDriver
USBVCD
cxusb
fsma
upnp
vmusb
SE2Dobex
s125mdm
pop3d32
streamip
x10nets
nvraid
HpqRemHid
backupexecalertserver
pav_security
navap
hpt3xx
websensecamserver
se2Bnd5
epfw
PGPwded
roxmediadb
tcsd_win32.exe
WmBEnum
tvtnetwk
pdlncbas
kservice
mksvirmonsvc
F700isw
DCamUSBMke
EPOWER
SeratoUsb
IBMTPCHK
avidsdmservice
mcshield
AtiHdmiService
BsHelpCS
wg5n
keriomailserver
adiusbaw
lp6nds35
sisnic
WDM_YAMAHAAC97
cvspydr2
Maplom
nsvclog
hap16v2k
ptbsync
aiclient
o2flash
alcaudsl
ProcObsrv
tvtpktfilter
backupexecagentaccelerator
ARSVC
CAMCAUD
sandradatasrv
nchssvad
SenFiltService
hsf_msft
Rawwan
qbreminderflash
iwebmsg
vmparport
tifm
stac97
se45mgmt
zpnodecollector
tfsndrct
TuneUp.ProgramStatisticsSvc
Appn
igateway
se45obex
svcwrsssdk
imagedrv
EPSON_EB_RPCV4_01
raysat3_4_6_18server
dbmang
HPSLPSVC
NOWMEMDF
wsearch
lvckap
dklogger
nmindexingservice
armoucfltr
AlteraByteBlaster
mclserviceatl
w550bus
ndassvc
eskerlicensecontrol
websenseusagemonitor
bridgemp
btwusb
sony_ssm.sys
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN
napagent
hkmsvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
.
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2012-03-16 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-413376109-1747680547-2295601255-1006.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-02-17 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-413376109-1747680547-2295601255-1006.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
uInternet Settings,ProxyOverride = *.local;<local>
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Free YouTube Download - c:\dokumente und einstellungen\admin\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\admin\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\dokumente und einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\2hfot8x9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - user.js: dom.disable_open_during_load - true // Popupblocker control handled by McAfee Privacy Service
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
AddRemove-HP OfficeJet T Series - c:\windows\ISUN0407.EXE
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-16 06:49
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(992)
c:\windows\System32\uigxnp.dll
.
- - - - - - - > 'explorer.exe'(2924)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\System32\uigxnp.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-16  07:06:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-16 06:06
ComboFix2.txt  2010-09-19 18:12
ComboFix3.txt  2010-09-18 19:43
.
Vor Suchlauf: 3.180.404.736 Bytes frei
Nach Suchlauf: 3.205.197.824 Bytes frei
.
- - End Of File - - 108371D433527CC2BB4C2B1FEE035E4A

Malwarebytes:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.16.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
admin :: D614P62J [Administrator]

16.03.2012 18:00:04
mbam-log-2012-03-16 (18-00-04).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 282830
Laufzeit: 7 Stunde(n), 16 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\f4631c47\X.vir (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


Alt 17.03.2012, 13:10   #6
Chris4You
 
TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Standard

TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


Hi,

ComboFix-Script
Die nachfolgenden Zeilen (ohne Zitat!) abkopieren und in den Windows-Editor(start->Programme->zubehör->edior)
kopieren und auf dem Desktop unter dem Namen "CFScript.txt" speichern (ohne Anführungszeichen!).
Code:
ATTFilter
Folder::
C:\WINDOWS\$NtUninstallKB6107$\4100136007
C:\WINDOWS\$NtUninstallKB6107$\1412421291
c:\dokumente und einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\f4631c47
Danach die CFScript.txt mit der Mause anklicken und gedrückt halten und über dem ComboFix-Symbol fallen lassen
(Maustaste loslassen, nennt man "Drag-and-Drop";o).
Jetzt sollte combofix starten und das script ausführen, poste das combofix-Log!

Lass danach GMER nochmal laufen und poste das Log...

chris
__________________
--> TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg

Antwort

Themen zu TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg
adobe, antivir, avira, bonjour, converter, desktop, device driver, einstellungen, entfernen, firefox, flash player, format, helper, home, mozilla, mp3, officejet, plug-in, scan, security, security update, svchost, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, usb, windows, windows internet, windows xp, wlan


« Facebook Konto vorübergehend gesperrt wg. Phishing | "runterladen und bezahlen" - Windowssystemblockade »


Ähnliche Themen: TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg


  1. Fund TR/Crypt.XPACK.Gen2 durch Avira
    Log-Analyse und Auswertung - 25.11.2014 (32)
  2. Avira meldet Fund: 'TR/Crypt.XPACK.Gen2, Malwarebytes findet PUP.Optional.OpenCandy. Was tun?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (14)
  3. Avira-Funde: TR/Drop.Vunop.1 und TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (13)
  4. TR/Crypt.XPACK.Gen2 von Avira Antivir gefunden
    Log-Analyse und Auswertung - 31.10.2012 (51)
  5. Avira Echtzeitscanner meldet TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (4)
  6. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  7. 'TR/Crypt.XPACK.Gen2' [trojan] von Avira Antivir gefunden, taucht nach entfernen wieder auf
    Log-Analyse und Auswertung - 29.09.2011 (21)
  8. AntiVir hat DR/PSW.Cain.284.3 Dropper TR/Rootkit.Gen und TR/Crypt.XPACK.Gen2 gefunden!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2011 (37)
  9. TR/Crypt.XPACK.Gen2 - oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2011 (24)
  10. ADSPY/AdSpy.Gen2, TR/Crypt.XPACK.Gen2 u.a. , lassen sich nicht entfernen
    Log-Analyse und Auswertung - 06.05.2011 (9)
  11. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  12. Avira AntiVir hat folgenden Fund: "TR/Crypt.XPACK.Gen2"
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (0)
  13. TR/Trash.Gen // TR/Spy.Agent.blbk // TR/Rootkit.Gen2' // TR/BHO.Gen // TR/Crypt.XPACK.Gen2' et al
    Antiviren-, Firewall- und andere Schutzprogramme - 05.11.2010 (16)
  14. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  15. TR/Crypt.Xpack.Gen2 Firefox und IE werden von Avira geblockt
    Plagegeister aller Art und deren Bekämpfung - 11.08.2010 (12)
  16. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  17. TR/Crypt.XPACK.Gen2 Weis nicht weiter!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg - Hallo, ich habe Avira Antivir und bei mir kam ganz oft die gleiche Meldung, dass etwas schädliches gefunden wurde. Die Auswahl "In Quarantäne verschieben" gab es nicht, deshalb habe ich - TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg...
Archiv
Du betrachtest: TR/Sirefef.BP.1, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen2 und Avira bekommt es nicht weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19