TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich

zijon

combofix
ComboFix 08-05-15.3 - Besitzer 2008-05-21 1:34:41.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.486 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\faeeqxfn.dll
F:\WINDOWS\system32\lcplfkjd.exe
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\system32\raepitpw.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\faeeqxfn.dll
F:\WINDOWS\system32\lcplfkjd.exe
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\system32\raepitpw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-19 18:31 . 2008-05-19 18:31 1,024 --ah----- F:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-19 14:51 . 2008-05-19 14:51 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 22:10 . 2008-05-14 22:10 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\WNR
2008-05-14 20:57 . 2007-07-11 11:11 888,832 --a------ F:\WINDOWS\system32\securenet.dll
2008-05-05 13:45 . 2008-05-12 20:02 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2008-05-05 13:45 . 2008-05-05 13:45 1,409 --a------ F:\WINDOWS\QTFont.for
2008-04-28 18:17 . 2008-04-28 18:17 1,557 --a------ F:\WINDOWS\WinTeX_Toolbars.ini
2008-04-28 18:16 . 2008-04-28 18:17 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\WinTeX
2008-04-28 18:16 . 2008-04-28 18:16 370 --a------ F:\WINDOWS\WTEX_Default.REG
2008-04-28 14:22 . 2008-04-28 14:22 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MiKTeX
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\.clamwin
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\.clamwin
2008-04-21 15:03 . 2008-04-21 15:04 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Equation Wizard
2008-04-20 23:41 . 2008-04-20 23:41 <DIR> d-------- F:\WINDOWS\system32\LogFiles
2 Datei(en) . 263,168 F:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 23:31 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-05-19 12:49 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2008-05-16 13:32 --------- d--h--w F:\Programme\Zero G Registry
2008-05-05 11:57 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-04-20 21:28 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-16 22:58 --------- d-----w F:\Programme\Gemeinsame Dateien\DigiDesign
2008-04-15 16:07 --------- d-----w F:\Programme\VstPlugins
2008-04-15 15:11 74,752 ----a-w F:\WINDOWS\ST6UNST.EXE
2008-03-28 12:00 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PanoramaStudio
2004-07-18 17:21 36,864 -csha-w F:\Programme\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-05-19_18.48.19.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 16:38:18 2,048 --s-a-w F:\WINDOWS\bootstat.dat
+ 2008-05-20 23:38:39 2,048 --s-a-w F:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"LDM"="D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-05-19 14:05 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"avgnt"="F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 14:50 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 15:54 77824 F:\WINDOWS\SOUNDMAN.EXE]
"VirtualCloneDrive"="D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"ClamWin"="K:\ClamWin\bin\ClamTray.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2006-02-20 23:44 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr]
audmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I263"= i263_32.drv
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=F:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1 EasyLogin]
D:\1&1 EasyLogin\EasyLogin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 D:\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 16:17 73728 D:\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
D:\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-08 15:03 278528 D:\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 01:58 1667584 F:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 11:50 155648 F:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-02-20 23:44 155648 F:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-08-06 15:33 2502656 D:\Yahoo!\Messenger\ypager.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=F:\WINDOWS\system32\ctfmon.exe
"LDM"=D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FineReader7NewsReaderPro"=D:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
"iTunesHelper"="D:\Itunes\iTunesHelper.exe"
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" -atboottime
"CTHelper"=CTHELPER.EXE
"CTxfiHlp"=CTXFIHLP.EXE
"MsgCenterExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
"Picasa Media Detector"=D:\Picasa2\PicasaMediaDetector.exe
"zBrowser Launcher"=D:\Logitech\iTouch\iTouch.exe
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"D:\\ICQ6ICQ6\\ICQ.exe"=
"F:\\WINDOWS\\system32\\javaw.exe"=
"D:\\GetAnonymous 2.1 Professional\\GAPro.exe"=
"D:\\Skype\\Skype.exe"=

R0 avgntmgr;avgntmgr;F:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 14:50]
R0 ElbyVCD;ElbyVCD;F:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 Pnp680;SiI 680 ATA Controller;F:\WINDOWS\system32\DRIVERS\pnp680.sys [2002-03-15 18:09]
R1 avgntdd;avgntdd;F:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 14:50]
R2 A4SII300;A4SII300;F:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R2 PGPmemlock;PGP secure memory driver;F:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-12-20 06:53]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-06-11 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-06-11 02:00]
S3 AWHelpServer;Alias Wavefront Help Server;D:\Maya5.0\docs\Wrapper.exe []
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);F:\WINDOWS\system32\DRIVERS\fdlubase.sys [2003-06-11 02:00]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;E:\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
S3 mple6docserver;Maya 6 PLE Documentation Server;"D:\Maya 6 ple\docs\wrapper.exe" -s "D:\Maya 6 ple\docs\Wrapper.conf" []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;F:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []
S3 RivaTuner;RivaTuner;D:\RivaTuner\RivaTuner.sys [2003-04-27 22:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-05-21 01:39:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\system32\Ati2evxx.dll

PROCESS: F:\WINDOWS\explorer.exe
-> F:\WINDOWS\system32\hookmod.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\drivers\CDANTSRV.EXE
F:\WINDOWS\system32\CTSVCCDA.EXE
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\wscntfy.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\TXTUSER.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-21 1:44:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-20 23:44:39
ComboFix2.txt 2008-05-19 20:19:57
ComboFix3.txt 2008-05-19 18:06:36

6 Verzeichnis(se), 191,508,480 Bytes frei
8 Verzeichnis(se), 182,312,960 Bytes frei

184



Anti Malware

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 772

Scan Art: Komplett Scan (D:\|E:\|F:\|G:\|Z:\|)
Objekte gescannt: 524736
Scan Dauer: 2 hour(s), 5 minute(s), 43 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
F:\QooBox\Quarantine\F\WINDOWS\system32\dvatuoxx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\QooBox\Quarantine\F\WINDOWS\system32\faeeqxfn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\QooBox\Quarantine\F\WINDOWS\system32\kyxdflgj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP258\A0049916.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP260\A0050083.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP260\A0050086.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP262\A0050202.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Z:\Toontrack\EZDrummer\EZX_Nashville\Sounds\SnareTop\SD13_01_DS_FH_L_S08.wav (Trojan.Clicker) -> Quarantined and deleted successfully.
Z:\°\Proxy tools pak\Hide.IP.Platinum.v2.8.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.


hab ich es nun überstadnen?
ich bin wirklich unglaublich dankbar für eure Hilfe!