Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Log-Analyse und Auswertung: wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.05.2008, 21:39   #1
hackmaier
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Hallo,
habe gerade ne Datei von meinem Dad bekommen und sie geöfnet.Nun Steht auf dem Desktop:Warning,Spyware detected on your computer.....
Hatte natürlich wieder mal kein Virenprogramm drauf.
Antivir hat 2 Viren gefunden:


AntiVir PersonalEdition Premium
Report file date: Montag, 12. Mai 2008 22:00

Scanning for 1036370 virus strains and unwanted programs.

Licensed to: Demo Version
Serial number:
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrator
Computer name: HOME-PC

Version information:
BUILD.DAT : 307 17200 Bytes 10.09.2007 14:44:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16.08.2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21.08.2007 11:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 11:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 11:32:46
ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25.08.2007 16:21:02
ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28.08.2007 06:22:36
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2576424 Bytes 07.08.2007 11:51:06
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21.08.2007 12:03:18
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\programme\avira\antivir personaledition premium\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: H:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: Montag, 12. Mai 2008 22:00

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'AcroRd32.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'avesvc.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'CALMAIN.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'nTuneService.exe' - '1' Module(s) have been scanned
Scan process 'skypePM.exe' - '1' Module(s) have been scanned
Scan process 'setup_526_1_.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'ctfmona.exe' - '1' Module(s) have been scanned
Scan process 'SWTrayV4.EXE' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
37 processes with 37 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '39' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dhcpsrv.exe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '488ba42d.qua'!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ms1210620797.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '4859a43e.qua'!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HAN8NEWY\count[2].php
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '489da5c7.qua'!
C:\WINDOWS\explorer.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\eio.dll
[WARNING] The file could not be read!
C:\WINDOWS\system32\lsass.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\services.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\spoolsv.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\svchost.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\winlogon.exe
[WARNING] The file could not be read!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: Montag, 12. Mai 2008 22:27
Used time: 26:46 min

The scan has been done completely.

5042 Scanning directories
180281 Files were scanned
2 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
9 Files cannot be scanned
180279 Files not concerned
1219 Archives were scanned
9 Warnings
0 Notes

---------------------------------------------------------------------------
Habe nun schon ein wenig bei euch rumgesucht.Aber nicht wirklich mit erfolg.
Will nicht alles neu machen.Kann mir jemand helfen?
Hier noch der HJT log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:09, on 12.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [cc4ccedc] rundll32.exe "C:\WINDOWS\system32\eqwmhflt.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [InstallProgram] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\setup_526_1_.exe
O4 - HKCU\..\Run: [InetChk] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe work
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll
O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\System32\eio.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6039 bytes
---------------------------------------------------------------------------
Hoffe da kann jemand was mit anfangen ,ich nicht
Was sollte ich ab nun vermeiden ?
Banking?
Surfen ?
BF" zocken?
Ebay`en?

Für Eure schnellen Antworten bedanke ich mich jetzt schon mal im voraus.
DANKE

Alt 12.05.2008, 21:53   #2
hackmaier
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Mir ist auch aufgefallen wenn ich den Task Maneger öffnen will kommt:
Der Task manager wurde durch den Administrator deaktivirt.
__________________
Alt 13.05.2008, 04:57   #3
nochdigger
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Moin

Zitat:
habe gerade ne Datei von meinem Dad bekommen und sie geöfnet
schöner Vater

Zitat:
Was sollte ich ab nun vermeiden ?
Banking? <- unterlassen
Surfen ? <- stark eingeschränkt nur das nötigste
BF" zocken? <- offline
Ebay`en? <- unterlassen

Mach bitte alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Dateien
Zitat:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dhcpsrv.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ms1210620797.exe
C:\WINDOWS\system32\eio.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\eqwmhflt.dll
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ms1210620800.exe
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\vbksrofa.dll
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG
__________________
__________________
Alt 13.05.2008, 06:33   #4
raman
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Nur als gut gemeinter Ratschlag. Man sollte sein AV Programm ab und an aktualisieren. Damit meine ich eher einmal am Tag und nicht einmal im Jahr!

AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29.08.2007 16:09:10
__________________
MfG Ralf

Alt 13.05.2008, 06:53   #5
hackmaier
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Moin,
ja nee is schon klar.
hatte gestern gar kein Virenprog. drauf.(ich depp)
konnte es gestern nur runterladen und insterliren keine updats möglich.
Rechner ist nach 5min immer eingefrohren.


Gleich kommen die neuen logs.Hoffe das sich schon was geändert hat habe avir.updat gemacht und getestet,spybotdurchlaufen lassen........

Bis später


Alt 13.05.2008, 08:38   #6
hackmaier
 
wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Standard

wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


Hier nochmal HJT Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:55, on 13.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: (no name) - {010D48BE-FAF5-4B15-BFFD-2894CEB5DCBE} - C:\WINDOWS\system32\geBrsPIb.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E2C80A5-AD44-47AF-9F5C-5E1078636D87} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {97F7302A-147C-4435-901C-184375993BE6} - C:\WINDOWS\system32\yaywvSLC.dll
O2 - BHO: QXK Rhythm - {BA99F228-D9E2-47D5-9A8D-A295E8E52E93} - C:\WINDOWS\fvowketqplo.dll
O2 - BHO: (no name) - {D339730D-9EEA-4F2E-B04A-67E0DF888115} - C:\WINDOWS\system32\nnnnlKba.dll (file missing)
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll (file missing)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8662] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1048] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4505] command /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4538] cmd /c del "C:\WINDOWS\system32\nnnnlKba.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{365B165A-82ED-4A9A-8E0A-6B741F161F44}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: yaywvSLC - C:\WINDOWS\SYSTEM32\yaywvSLC.dll
O21 - SSODL: mpfanvqg - {288FAAC6-E504-4744-B76B-1BE29B49A46D} - C:\WINDOWS\mpfanvqg.dll (file missing)
O21 - SSODL: vbksrofa - {ACB180AB-A94C-4594-897A-FD07257A78C9} - C:\WINDOWS\vbksrofa.dll (file missing)
O21 - SSODL: sQAeyZFH - {CC4CCE74-66E6-64DE-3C96-4328AFBC6A0C} - C:\WINDOWS\system32\eio.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

--
End of file - 6375 bytes


Der letzte Avir scan mit aktuellem update:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 13. Mai 2008 08:26

Es wird nach 1262699 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: HOME-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05.05.2008 23:39:31
ANTIVIR3.VDF : 7.0.4.27 146944 Bytes 12.05.2008 23:39:31
Engineversion : 8.1.0.42
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.31 262522 Bytes 12.05.2008 23:39:36
AESCN.DLL : 8.1.0.16 119156 Bytes 12.05.2008 23:39:36
AERDL.DLL : 8.1.0.20 418165 Bytes 12.05.2008 23:39:35
AEPACK.DLL : 8.1.1.4 364918 Bytes 12.05.2008 23:39:35
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 12.05.2008 23:39:34
AEHEUR.DLL : 8.1.0.26 1237366 Bytes 12.05.2008 23:39:34
AEHELP.DLL : 8.1.0.14 115063 Bytes 12.05.2008 23:39:33
AEGEN.DLL : 8.1.0.20 299380 Bytes 12.05.2008 23:39:33
AEEMU.DLL : 8.1.0.6 430451 Bytes 12.05.2008 23:39:32
AECORE.DLL : 8.1.0.28 168310 Bytes 12.05.2008 23:39:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, F:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 13. Mai 2008 08:26

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SWTrayV4.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '25' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{97987A52-3108-41C2-991E-39E7753BA38F}\RP218\A0050582.dll
[FUND] Ist das Trojanische Pferd TR/Vapsup.elp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48593895.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Dienstag, 13. Mai 2008 08:47
Benötigte Zeit: 21:19 min

Der Suchlauf wurde vollständig durchgeführt.

5508 Verzeichnisse wurden überprüft
193612 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
193611 Dateien ohne Befall
1186 Archive wurden durchsucht
2 Warnungen
1 Hinweise

Nun die mit Jotti geprüften Dateien:

Zuletzt gefundene Malware war EGUI.EXE, gefunden von:

Scanner Name der Malware
A-Squared X
AntiVir X
ArcaVir X
Avast Win32:Virut
AVG Antivirus X
BitDefender X
ClamAV W32.Virut.Gen.C-94
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet X
Ikarus X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Sophos Antivirus X
VirusBuster X
VBA32 X



Die anderen Dateien konnten nicht gefunden werden.
Hoffe,das ich es richtig gemacht habe.

Antwort

Themen zu wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?
.dll, 0 bytes, adobe, avg, avgnt.exe, avira, canon, content.ie5, ctfmon.exe, desktop, drivers, einstellungen, firefox, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, jusched.exe, logon.exe, moved, mozilla, mozilla firefox, nt.dll, programm, quara, rthdcpl.exe, rundll, sched.exe, services.exe, skype.exe, software, spyware, svchost.exe, system, temp, tr/crypt.ulpm.gen, trojan, virus, windows, windows\system32\drivers, winlogon.exe


« Trotz Neuaufsetzen Probleme | Ie Explorer / öffnet Von Selbst Werbesiten Banner »


Ähnliche Themen: wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Win7 nach AntiVir Funden "TR/Crypt.zpack.Gen7" und "Adspy.Gen2" stark verlangsamt
    Log-Analyse und Auswertung - 13.04.2014 (28)
  4. Spyhunter 4 wegen "System care Antivirus" runtergeladen wie werde ich es wieder los
    Plagegeister aller Art und deren Bekämpfung - 10.05.2013 (10)
  5. Wie werde ich "Delta Search" wieder los?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2013 (47)
  6. Nach "TR/Crypt.ULPM.Gen"-Fund: sicherheitshalber Checkup
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (12)
  7. Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"
    Log-Analyse und Auswertung - 25.10.2012 (37)
  8. wie werde ich "System Progressive Protiction" wieder los?
    Plagegeister aller Art und deren Bekämpfung - 19.10.2012 (1)
  9. Trojaner "Tatanga" - wie werde ich den wieder los?
    Log-Analyse und Auswertung - 13.06.2012 (1)
  10. Trojaner an Board? "http://www.searchnu.com/410" , wie werde ich wieder los?
    Log-Analyse und Auswertung - 17.05.2012 (1)
  11. "System Check" - Virus, wie werde ich ihn wieder los
    Plagegeister aller Art und deren Bekämpfung - 04.04.2012 (23)
  12. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  13. Wie werde ich den Virus/Trojaner "Windows 7 Security 2011" wieder los?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (10)
  14. TR/Crypt.XPACK.Gen3 gelöscht durch Avira, taucht als "ark423.tmp" wieder auf
    Plagegeister aller Art und deren Bekämpfung - 26.09.2010 (7)
  15. Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (43)
  16. Crypt.ZPACK.Gen - ist mein Rechner jetzt endlich wieder "sauber"
    Plagegeister aller Art und deren Bekämpfung - 11.04.2010 (1)
  17. ich glaub es nicht, schon wieder! "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 11.01.2010 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? - Hallo, habe gerade ne Datei von meinem Dad bekommen und sie geöfnet.Nun Steht auf dem Desktop:Warning,Spyware detected on your computer..... Hatte natürlich wieder mal kein Virenprogramm drauf. Antivir hat 2 - wie werde ich den "TR/Crypt.ULPM.Gen" wieder los?...
Archiv
Du betrachtest: wie werde ich den "TR/Crypt.ULPM.Gen" wieder los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131