Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.01.2010, 12:44   #1
sepperl13
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hi,
habe in meinem System kurz nach Windowsstart jeweils Antivir Guard die Meldungen:
- In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
- In der Datei 'C:\WINDOWS\system32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Das Löschen fuehrt aber nicht zum Erfolg, die Meldung kommt immer wieder.
Symptome sind Probleme beim Offnen von links im Internet Explorer (speziell Google Ergebnisse) und in Opera.
Laut Anleitungen zu diesem Problem hier im Board habe ich AVZ laufen lassen, die entsprechenden Befunde haenge ich an.
Habe auch ein Highjackthis log gepostet.
Waere sehr Dankbar um Hilfe!!
Angehängte Dateien
Dateityp: txt hijackthis log.txt (12,7 KB, 268x aufgerufen)

Geändert von sepperl13 (09.01.2010 um 12:58 Uhr)

Alt 10.01.2010, 10:45   #2
kira
/// Helfer-Team
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hallo und Herzlich Willkommen!

Zitat:
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Alt 10.01.2010, 21:25   #3
sepperl13
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Icon26

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hi,
Vielen Dank, dass du dich dem Problem annimmst. Super! Ok, alles klar, ich weiss, dass das nicht einfach und kurz wird. Hab´alles versucht so zu machen, wie beschrieben.

So, hier erstmal das Ergebnis von Filelist:

Code:
ATTFilter
---- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\

10.01.2010  16:54                43 filelist.txt
10.01.2010  11:01                53 biosinfo
10.01.2010  11:01     3.219.566.592 pagefile.sys
09.01.2010  12:33               339 VundoFix.txt
14.11.2009  13:51               120 drmHeader.bin
29.08.2009  15:34             3.342 avenger.txt
29.08.2009  11:42               211 boot.ini
19.07.2008  14:57           251.712 ntldr
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS

10.01.2010  11:03         2.088.323 WindowsUpdate.log
10.01.2010  11:01                 0 0.log
10.01.2010  11:01               159 wiadebug.log
10.01.2010  11:01                50 wiaservc.log
10.01.2010  11:01             2.048 bootstat.dat
09.01.2010  19:12            32.422 SchedLgU.Txt
09.01.2010  16:37               229 NeroDigital.ini
05.01.2010  19:40         2.822.454 ACD Hintergrund.bmp
02.01.2010  17:34                38 AviSplitter.INI
02.01.2010  14:54               499 wininit.ini
22.11.2009  14:14                46 PCCT.INI
15.11.2009  12:53                30 Iedit.INI
26.09.2009  12:49               111 installation.ini
29.08.2009  12:06               619 win.ini
29.08.2009  12:01               164 install.dat
23.08.2009  15:57                 0 nsreg.dat
 
----- System  --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS\system

14.04.2008  03:23           146.944 winspool.drv

----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS\system32

10.01.2010  11:02           350.194 vsconfig.xml
10.01.2010  11:01           272.291 NvApps.xml
09.01.2010  11:57             2.422 wpa.dbl
03.01.2010  10:25           432.356 perfh009.dat
03.01.2010  10:25            67.312 perfc009.dat
03.01.2010  10:25           448.470 perfh007.dat
03.01.2010  10:25            79.910 perfc007.dat
03.01.2010  10:25         1.042.054 PerfStringBackup.INI
02.01.2010  14:54            53.136 PxSecure.dll
11.12.2009  19:00            85.504 ff_vfw.dll
01.12.2009  21:06        25.966.024 MRT.exe
24.11.2009  20:23             5.138 TZLog.log
22.11.2009  12:21           239.944 FNTCACHE.DAT
21.11.2009  03:34         1.989.224 nvcuvenc.dll
21.11.2009  03:34         4.038.656 nvcuda.dll
21.11.2009  03:34            69.632 OpenCL.dll
21.11.2009  03:34           182.888 nvcodins.dll
21.11.2009  03:34         2.259.560 nvcuvid.dll
21.11.2009  03:34           592.488 nvudisp.exe
21.11.2009  03:34         1.056.768 nvapi.dll
21.11.2009  03:34         6.282.752 nv4_disp.dll
21.11.2009  03:34            25.699 nvdisp.nvu
21.11.2009  03:34             8.743 nvinfo.pb
21.11.2009  03:34         2.293.286 nvdata.bin
21.11.2009  03:34           182.888 nvcod.dll
21.11.2009  03:34        13.602.816 nvoglnt.dll
21.11.2009  03:34        11.374.592 nvcompiler.dll
20.11.2009  20:32           154.216 nvsvc32.exe
20.11.2009  20:32           145.000 nvcolor.exe
20.11.2009  20:32        12.669.544 nvcpl.dll
20.11.2009  20:32           110.184 nvmctray.dll
20.11.2009  20:32           278.120 nvmccs.dll
20.11.2009  20:32           253.952 nvrsno.dll
20.11.2009  20:32           270.336 nvrspt.dll
20.11.2009  20:32           266.240 nvrsptb.dll
20.11.2009  20:32           274.432 nvrsnl.dll
20.11.2009  20:32           258.048 nvrssk.dll
20.11.2009  20:32           258.048 nvrssl.dll
20.11.2009  20:32           253.952 nvrssv.dll
20.11.2009  20:32           253.952 nvrsth.dll
20.11.2009  20:32           262.144 nvrsko.dll
20.11.2009  20:32           253.952 nvrstr.dll
20.11.2009  20:32           266.240 nvrsru.dll
20.11.2009  20:32           229.376 nvrszhc.dll
20.11.2009  20:32           122.880 nvrszht.dll
20.11.2009  20:32           270.336 nvrsja.dll
20.11.2009  20:32           253.952 nvrspl.dll
20.11.2009  20:32           282.624 nvrses.dll
20.11.2009  20:32           249.856 nvrsfi.dll
20.11.2009  20:32           274.432 nvrsesm.dll
20.11.2009  20:32           245.760 nvrseng.dll
20.11.2009  20:32           282.624 nvrsel.dll
20.11.2009  20:32           278.528 nvrsde.dll
20.11.2009  20:32           253.952 nvrsda.dll
20.11.2009  20:32           245.760 nvrscs.dll
20.11.2009  20:32           331.776 nvrshe.dll
20.11.2009  20:32           258.048 nvrshu.dll
20.11.2009  20:32           278.528 nvrsit.dll
20.11.2009  20:32            81.920 nvwddi.dll
20.11.2009  20:32           331.776 nvrsar.dll
20.11.2009  20:32           282.624 nvrsfr.dll
20.11.2009  20:32            64.882 NvwsApps.xml
19.11.2009  21:42           592.488 NVUNINST.EXE
10.11.2009  23:08            69.632 QuickTime.qts
10.11.2009  23:08            94.208 QuickTimeVR.qtx
29.10.2009  08:40           916.480 wininet.dll
29.10.2009  08:40         1.208.832 urlmon.dll
29.10.2009  08:40         5.940.736 mshtml.dll
29.10.2009  08:40           206.848 occache.dll
29.10.2009  08:40            25.600 jsproxy.dll
29.10.2009  08:40            55.296 msfeedsbs.dll
29.10.2009  08:40           594.432 msfeeds.dll
29.10.2009  08:40         1.469.440 inetcpl.cpl
29.10.2009  08:40         1.985.536 iertutil.dll
29.10.2009  08:40           184.320 iepeers.dll
29.10.2009  08:40        11.069.952 ieframe.dll
29.10.2009  08:40           387.584 iedkcs32.dll
28.10.2009  16:07            46.080 tzchange.exe
28.10.2009  15:40           173.056 ie4uinit.exe
25.10.2009  18:16                49 polynet.dll
21.10.2009  06:38            75.776 strmfilt.dll
21.10.2009  06:38            25.088 httpapi.dll
13.10.2009  11:32           271.360 oakley.dll
12.10.2009  14:38            79.872 raschap.dll
12.10.2009  14:38           150.528 rastls.dll
11.09.2009  15:17           136.192 msv1_0.dll
04.09.2009  22:03            58.880 msasn1.dll
04.09.2009  17:44           238.936 xactengine3_5.dll
04.09.2009  17:44            69.464 XAPOFX1_3.dll
04.09.2009  17:44           515.416 XAudio2_5.dll
04.09.2009  17:29           453.456 d3dx10_42.dll
04.09.2009  17:29           235.344 d3dx11_42.dll
04.09.2009  17:29         1.974.616 D3DCompiler_42.dll
04.09.2009  17:29         5.501.792 d3dcsx_42.dll
04.09.2009  17:29         1.892.184 D3DX9_42.dll
01.09.2009  15:46           282.654 msaud32.acm
26.08.2009  09:00           247.326 strmdll.dll
25.08.2009  10:17           354.816 winhttp.dll
22.08.2009  16:41            84.521 dntzllyqgixt
18.08.2009  18:55           724.992 DLLAV32.dll
18.08.2009  18:55           212.992 DLLDEV32.dll
18.08.2009  18:55            90.112 DLLPRF32.dll
18.08.2009  18:55           147.456 DLLCPY32.dll
18.08.2009  18:55           221.184 DLLDRV32.dll
18.08.2009  18:55            77.824 DLLPNT32.dll
18.08.2009  18:55            94.208 DLLIO32.dll
18.08.2009  18:55           278.528 DLLRES32.dll
18.08.2009  18:55            65.536 STRING32.dll
16.08.2009  16:08           178.176 unrar.dll
14.08.2009  16:10         1.850.752 win32k.sys
06.08.2009  19:24           209.632 wuweb.dll
06.08.2009  19:24           327.896 wucltui.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24           217.816 wuaucpl.cpl
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23           575.704 wuapi.dll
06.08.2009  19:23         1.929.952 wuaueng.dll
05.08.2009  09:59           206.336 mswebdvd.dll
04.08.2009  18:26         2.147.840 ntoskrnl.exe
04.08.2009  18:25         2.026.496 ntkrnlpa.exe
31.07.2009  10:02         1.372.672 msxml6.dll
31.07.2009  05:32         1.172.480 msxml3.dll
25.07.2009  12:16            57.036 mlfcache.dat
21.07.2009  00:05         1.348.432 msxml4.dll
18.07.2009  10:17           610.168 ieconfig_1und1.dll
17.07.2009  20:01            58.880 atl.dll
17.07.2009  17:15         1.441.792 query.dll
13.07.2009  22:43           286.208 wmpdxm.dll
13.07.2009  22:43        10.841.088 wmp.dll
08.07.2009  16:34            53.248 CSVer.dll

 
----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS\Prefetch

10.01.2010  16:54            15.726 FIND.EXE-0EC32F1E.pf
10.01.2010  16:54            15.522 CMD.EXE-087B4001.pf
10.01.2010  16:53            20.542 VERCLSID.EXE-3667BD89.pf
10.01.2010  16:53            24.348 EXPLORER.EXE-082F38A9.pf
10.01.2010  16:50            38.328 AVWSC.EXE-24612965.pf
10.01.2010  16:48            83.624 RUNDLL32.EXE-377ABB08.pf
10.01.2010  16:35           117.730 OPERA.EXE-24550E7A.pf
10.01.2010  16:35           110.872 IEXPLORE.EXE-2CA9778D.pf
10.01.2010  16:35            22.462 FREECORDERTOOLBARHELPER.EXE-338E4956.pf
10.01.2010  16:29            23.256 NOTEPAD.EXE-336351A9.pf
10.01.2010  16:29            63.862 AVSCAN.EXE-25724B6E.pf
10.01.2010  16:19            37.670 GOOGLEUPDATE.EXE-187AE91D.pf
10.01.2010  13:35           135.084 WMIPRVSE.EXE-28F301A9.pf
10.01.2010  13:35            63.496 HELPSVC.EXE-2878DDA2.pf
10.01.2010  13:35           362.272 Layout.ini
10.01.2010  13:01            52.554 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
10.01.2010  12:58            42.888 GOOGLEUPDATER.EXE-36CE3796.pf
10.01.2010  12:20           111.980 AD-AWAREADMIN.EXE-1618EEEB.pf
10.01.2010  11:59            65.480 UPDATE.EXE-3398FCD6.pf
10.01.2010  11:44            61.812 AVCENTER.EXE-1D2DB8A2.pf
10.01.2010  11:23            49.940 GOOGLEEARTH.EXE-0B6A9C1A.pf
10.01.2010  11:23            81.090 POWERPNT.EXE-28A8DBA4.pf
10.01.2010  11:16            77.194 GUARDGUI.EXE-147E0160.pf
10.01.2010  11:16            62.828 AVCONFIG.EXE-18FA6095.pf
10.01.2010  11:09            17.088 RUNDLL32.EXE-451FC2C0.pf
10.01.2010  11:06            51.940 UPDCLIENT.EXE-215FC96B.pf
10.01.2010  11:02           108.172 TASKMGR.EXE-20256C55.pf
10.01.2010  11:02            36.388 IMAPI.EXE-0BF740A4.pf
10.01.2010  11:02            19.350 ALG.EXE-0F138680.pf
10.01.2010  11:02            33.182 RUNDLL32.EXE-35A483DA.pf
10.01.2010  11:02             1.432 RUNDLL32.EXE-1619A94E.pf
10.01.2010  11:02             3.282 DUMPREP.EXE-1B46F901.pf
10.01.2010  11:02         1.105.808 NTOSBOOT-B00DFAAD.pf
09.01.2010  19:12            27.164 LOGONUI.EXE-0AF22957.pf
09.01.2010  18:34            60.900 EXCEL.EXE-0DC93B7A.pf
09.01.2010  18:30            65.270 ACRORD32.EXE-153330F0.pf
09.01.2010  18:19            17.486 GOOGLECRASHHANDLER.EXE-2652FEB7.pf
09.01.2010  18:12            61.338 DIASHOW.EXE-1720190C.pf
09.01.2010  16:25            44.932 DBLOCALSERVER.EXE-1799E8E2.pf
09.01.2010  16:25           104.964 ACDSEE6.EXE-053FB6EE.pf
09.01.2010  15:22            49.108 PRESENTATIONFONTCACHE.EXE-1706C4D2.pf
09.01.2010  14:51           138.926 FOTOS_DLX.EXE-02F2C008.pf
09.01.2010  14:49            64.810 MPLAYER.EXE-1F4A52B3.pf
09.01.2010  14:49           157.682 MEDIAINFO.EXE-3470DED1.pf
09.01.2010  14:47            70.418 AAWSERVICE.EXE-1E1DE6D1.pf
09.01.2010  14:46            28.476 AAWWSC.EXE-3513A2B5.pf
09.01.2010  14:46            22.666 UNSECAPP.EXE-1A95A33B.pf
09.01.2010  12:25            26.342 WUAUCLT.EXE-399A8E72.pf
09.01.2010  11:58            36.488 PREVX.EXE-208A6FD4.pf
              49 Datei(en)      4.094.172 Bytes
               0 Verzeichnis(se), 11.538.812.928 Bytes frei
 
----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS\tasks

10.01.2010  16:19               880 GoogleUpdateTaskMachineUA.job
10.01.2010  13:01             1.044 Google Software Updater.job
10.01.2010  12:21               470 Ad-Aware Update (Weekly).job
10.01.2010  12:21               470 Ad-Aware Update (Daily 1).job
10.01.2010  11:01               876 GoogleUpdateTaskMachineCore.job
10.01.2010  11:01                 6 SA.DAT
09.01.2010  18:20               470 Ad-Aware Update (Daily 2).job
09.01.2010  14:46               470 Ad-Aware Update (Daily 3).job
09.01.2010  14:46               470 Ad-Aware Update (Daily 4).job
18.07.2009  11:04               400 1-Klick-Wartung.job
 
----- Windows/Temp ----------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\WINDOWS\Temp

10.01.2010  11:01               256 ZLT01ea8.TMP
09.01.2010  15:13            39.936 Tag1A1.tmp
09.01.2010  13:20               256 ZLT03ae9.TMP
09.01.2010  13:15               256 ZLT0371c.TMP
06.01.2010  18:04               256 ZLT029fe.TMP
               5 Datei(en)         40.960 Bytes
               0 Verzeichnis(se), 11.538.812.928 Bytes frei
 
----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: DCE3-A57E

 Verzeichnis von C:\DOKUME~1\sepperl\LOKALE~1\Temp

10.01.2010  11:02            98.304 ~DF32D4.tmp
10.01.2010  11:02            16.384 ~DFFFAF.tmp
09.01.2010  15:58                 0 f872_appcompat.txt
09.01.2010  15:17                 0 geColladaModelCacheLock
09.01.2010  15:17                 0 geIconCacheLock
09.01.2010  15:16            98.304 ~DFAE9F.tmp
09.01.2010  15:15            16.384 ~DF3843.tmp
09.01.2010  13:21            98.304 ~DFE67F.tmp
09.01.2010  13:21            16.384 ~DF39BF.tmp
09.01.2010  13:16            98.304 ~DFDBA.tmp
09.01.2010  13:16            16.384 ~DFBA29.tmp
09.01.2010  12:21               208 java_install_reg.log
07.01.2010  19:41            98.304 ~DFE81.tmp
07.01.2010  19:40            16.384 ~DFAADB.tmp
06.01.2010  21:10            98.304 ~DF1D4D.tmp
06.01.2010  21:09            16.384 ~DF379F.tmp
06.01.2010  19:43            16.384 ~DF8850.tmp
06.01.2010  19:43               512 ~DF8878.tmp
06.01.2010  19:02            36.864 ~DFDA0E.tmp
06.01.2010  18:50            16.384 ~DF21FB.tmp
06.01.2010  18:07            16.384 ~DFA519.tmp
06.01.2010  18:05            98.304 ~DF1245.tmp
06.01.2010  18:05            16.384 ~DF704D.tmp
05.01.2010  20:48            16.384 ~DFF7C.tmp
04.01.2010  23:43            98.304 ~DF8571.tmp
04.01.2010  23:43            16.384 ~DF51C2.tmp
04.01.2010  23:22            98.304 ~DFB12E.tmp
04.01.2010  23:22            16.384 ~DFCFA.tmp
04.01.2010  22:52           201.944 unwise.exe
04.01.2010  22:23            98.304 ~DF5D42.tmp
04.01.2010  22:23            16.384 ~DF26C4.tmp
04.01.2010  22:05            98.304 ~DFBA9C.tmp
04.01.2010  22:05            16.384 ~DF8486.tmp
04.01.2010  21:50            98.304 ~DFD3D6.tmp
04.01.2010  21:50            16.384 ~DF4BAC.tmp
04.01.2010  21:39            98.304 ~DF6302.tmp
04.01.2010  21:39            16.384 ~DFFB98.tmp
04.01.2010  21:37            16.384 ~DF3275.tmp
04.01.2010  21:34            16.384 ~DFE5D2.tmp
04.01.2010  21:34               512 ~DFE613.tmp
04.01.2010  21:17            98.304 ~DF1127.tmp
04.01.2010  21:17            16.384 ~DFE265.tmp
04.01.2010  21:10            98.304 ~DFE45F.tmp
04.01.2010  21:09            16.384 ~DF392A.tmp
04.01.2010  19:51            98.304 ~DFE99C.tmp
04.01.2010  19:50            16.384 ~DFB5D2.tmp
04.01.2010  18:48            98.304 ~DFFDAE.tmp
04.01.2010  18:48            16.384 ~DFA959.tmp
03.01.2010  10:22            98.304 ~DF3D75.tmp
03.01.2010  10:21            16.384 ~DF9AC3.tmp
03.01.2010  10:21            16.384 ~DF863B.tmp
02.01.2010  15:00            98.304 ~DFE4E6.tmp
02.01.2010  14:59            16.384 ~DFCDB3.tmp
02.01.2010  14:48            36.864 ~DF2F16.tmp
02.01.2010  14:26            24.576 ~DF1226.tmp
02.01.2010  14:22            16.384 ~DFDB8B.tmp
02.01.2010  14:17         9.494.848 JingSetup2.2.9337.exe
02.01.2010  14:12            16.384 ~DF9A18.tmp
02.01.2010  14:12            16.384 ~DFD963.tmp
02.01.2010  14:12            98.304 ~DFA9B6.tmp
29.11.2009  18:22            98.304 ~DFAD2F.tmp
29.11.2009  18:21            16.384 ~DFA45.tmp
29.11.2009  17:46           835.584 ~DF3E45.tmp
29.11.2009  12:15            98.304 ~DF154C.tmp
28.11.2009  17:52            98.304 ~DFE1DB.tmp
28.11.2009  17:52            16.384 ~DF873A.tmp
28.11.2009  13:28            98.304 ~DFE57D.tmp
28.11.2009  13:13            98.304 ~DFDC06.tmp
28.11.2009  12:31         6.221.824 pvxinst968.exe
28.11.2009  12:16            98.304 ~DF66EA.tmp
28.11.2009  12:13            54.312 hGu8YnFX.dll
28.11.2009  12:12            16.384 ~DF6D15.tmp
28.11.2009  12:11            32.768 ~DFA4F1.tmp
28.11.2009  12:11            16.384 ~DFED0B.tmp
28.11.2009  12:10            20.480 ~DF569B.tmp
28.11.2009  12:05            28.672 ~DF90ED.tmp
28.11.2009  11:59            16.384 ~DFA6EE.tmp
28.11.2009  11:50            16.384 ~DF3082.tmp
28.11.2009  11:48            16.384 ~DFF76C.tmp
28.11.2009  11:46            98.304 ~DFC150.tmp
28.11.2009  11:45            16.384 ~DFC3EB.tmp
28.11.2009  11:34            32.768 ~DF5FB8.tmp
28.11.2009  11:34            16.384 ~DFD9EE.tmp
28.11.2009  11:33            16.384 ~DFC97A.tmp
28.11.2009  11:32            24.576 ~DF637C.tmp
28.11.2009  11:32            16.384 ~DFB3F7.tmp
28.11.2009  11:31            16.384 ~DF8193.tmp
28.11.2009  11:26            98.304 ~DF4CC0.tmp
28.11.2009  11:25            16.384 ~DFF87B.tmp
28.11.2009  11:25            16.384 ~DF3288.tmp
24.11.2009  20:25            98.304 ~DF84AD.tmp
24.11.2009  20:25            16.384 ~DF82AA.tmp
24.11.2009  20:19            98.304 ~DF528C.tmp
24.11.2009  20:18            16.384 ~DF25BB.tmp
22.11.2009  14:38            98.304 ~DFDE25.tmp
22.11.2009  14:38            22.253 Turkish.bin
22.11.2009  14:38            21.964 Norwegian.bin
22.11.2009  14:38            26.080 Hungarian.bin
22.11.2009  14:38            19.553 Hebrew.bin
22.11.2009  14:38            22.857 Finnish.bin
22.11.2009  14:38            24.312 Czech.bin
22.11.2009  14:38            25.071 Portuguese(Brazil).bin
22.11.2009  14:38            24.221 Polish.bin
22.11.2009  14:38            25.082 Greek.bin
22.11.2009  14:38            21.976 Thai.bin
22.11.2009  14:38            20.972 Arabic.bin
22.11.2009  14:38            16.408 SimChin.bin
22.11.2009  14:38            21.933 English.bin
22.11.2009  14:38            26.260 Portuguese.bin
22.11.2009  14:38            24.082 SWEDISH.bin
22.11.2009  14:38            27.753 Spanish.bin
22.11.2009  14:38            26.126 Russian.bin
22.11.2009  14:38            27.410 Italian.bin
22.11.2009  14:38            16.384 ~DF8B96.tmp
22.11.2009  14:38            25.753 German.bin
22.11.2009  14:38            27.235 French.bin
22.11.2009  14:38            16.949 TradChin.bin
22.11.2009  14:38            25.747 Dutch.bin
22.11.2009  14:38            22.783 Danish.bin
22.11.2009  14:38            20.135 Korean.bin
22.11.2009  14:38            24.297 Japanese.bin
             121 Datei(en)     21.435.612 Bytes
               0 Verzeichnis(se), 11.538.800.640 Bytes frei
         
Hier das Ergebnis von CCleaner:

Code:
ATTFilter
ACDSee for PENTAX 2.0	ACD Systems Ltd.	6.0.24
Ad-Aware	Lavasoft	
Adobe Flash Player 10 Plugin	Adobe Systems, Inc.	10.0.32.18
Adobe Reader 8 - Deutsch	Adobe Systems Incorporated	8.0.0
Any Flv Player 2.5.1	any-flv-player.com	
Apple Application Support	Apple Inc.	1.1.0
Apple Software Update	Apple Inc.	2.1.1.116
AquaSoft DiaShow 7 Ultimate	AquaSoft	
AquaSoft Earth Pilot	AquaSoft	
AusLogics Disk Defrag	AusLogics, Inc.	version 1.4
AutoHotkey 1.0.48.03	Chris Mallett	1.0.48.03
Avira AntiVir Personal - Free Antivirus	Avira GmbH	
AVM FRITZ!Box Monitor	AVM Berlin	
AVM FRITZ!DSL	AVM Berlin	2.04.02
Azureus Vuze	Azureus, Inc	
Bayden IEToys (remove only)		
Bluesoleil2.7.0.13 VoIP Release 071227	IVT Corporation	2.7.0.13 VoIP Release 071227
Canon Camera Access Library	Canon Inc.	8.4.0.1
Canon CanoScan Toolbox 4.5		
CANON iMAGE GATEWAY Task for ZoomBrowser EX	Canon Inc.	1.7.0.4
Canon Internet Library for ZoomBrowser EX	Canon Inc.	1.6.3.9
Canon iP4300		
Canon iP4300 Benutzerregistrierung		
Canon MOV Decoder	Canon Inc.	1.3.2.15
Canon MOV Encoder	Canon Inc.	1.1.0.18
Canon MovieEdit Task for ZoomBrowser EX	Canon Inc.	3.2.0.34
Canon Setup Utility 2.3		
Canon Utilities CameraWindow	Canon Inc.	7.3.0.4
Canon Utilities CameraWindow DC	Canon Inc.	7.4.1.10
Canon Utilities CameraWindow DC 8	Canon Inc.	8.0.0.19
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX	Canon Inc.	6.5.0.3
Canon Utilities MyCamera	Canon Inc.	7.3.0.5
Canon Utilities MyCamera DC	Canon Inc.	7.2.1.6
Canon Utilities PhotoStitch	Canon Inc.	3.1.22.46
Canon Utilities RemoteCapture Task for ZoomBrowser EX	Canon Inc.	1.8.0.1
Canon Utilities ZoomBrowser EX	Canon Inc.	6.4.0.7
Canon ZoomBrowser EX Memory Card Utility	Canon Inc.	1.2.2.11
CCleaner	Piriform	2.27
CD-LabelPrint		
DIE SIEDLER - Aufstieg eines Königreichs (Alle Produkte)	Ubisoft	1.00.0000
DivX Codec	DivX, Inc.	6.8.5
DivX Converter	DivX, Inc.	7.1.0
DivX Player	DivX, Inc.	7.2.0
DivX Plus DirectShow Filters	DivX, Inc.	
DivX Web Player	DivX,Inc.	1.5.0
DVD Shrink 3.2	DVD Shrink	
Firebird SQL Server - MAGIX Edition	MAGIX AG	2.1.26.0
FolderBox 1.2	BAxBEx Software	1.2
France Topo 8 Bourgogne	Garmin Fan, Inc.	
France Topo 9 Pays de Loire - Poitou Charentes	Garmin Fan, Inc.	
Freecorder Toolbar 3.02 Application	Applian Technologies Inc.	3.02
Garmin City Navigator Europe NT 2009.11 Update	Garmin Ltd or its subsidiaries	12.11.0.0
Garmin Communicator Plugin	Garmin Ltd or its subsidiaries	2.6.1
Garmin POI Loader	Garmin Ltd or its subsidiaries	2.5.3.0
Garmin USB Drivers	Garmin Ltd or its subsidiaries	1.0.0.0
Garmin WebUpdater	Garmin Ltd or its subsidiaries	2.4.2
Gigabyte Raid Configurer	Gigabyte Technology Corp.	1.00.0000
Google Desktop	Google	5.9.0909.30391
Google Earth	Google	5.1.7894.7252
Google Toolbar for Internet Explorer	Google Inc.	
Google Updater	Google Inc.	2.4.1536.6592
GooglePreviewIE Toolbar		3.3.0.1
GPSMaps Bhutan		1.0
HDGraph	JYL2002	1.0.1
High Definition Audio Driver Package - KB888111	Microsoft Corporation	20040219.000000
HijackThis 2.0.2	TrendMicro	2.0.2
iColorFolder		
ID3-TagIT 3	Michael Pluemper	3
Java(TM) 6 Update 3	Sun Microsystems, Inc.	1.6.0.30
Java(TM) 6 Update 5	Sun Microsystems, Inc.	1.6.0.50
Jing	TechSmith Corporation	2.2.9348
K-Lite Codec Pack 5.5.1 (Full)		5.5.1
LimeWire 5.3.6	Lime Wire, LLC	5.3.6
MAGIX 3D Maker (embeded)	MAGIX AG	6.0.0.8
MAGIX Foto Manager 2008 5.0.0.255 (D)	MAGIX AG	5.0.0.255
MAGIX Fotobuch 3.2	MAGIX AG	3.2
MAGIX Fotos auf CD & DVD 9 deluxe Download-Version 9.0.0.19 (D)	MAGIX AG	9.0.0.19
MAGIX Music Editor 2.0 2.0.4.0 (D)	MAGIX AG	2.0.4.0
MAGIX Online Druck Service	MAGIX AG	3.4.3.0
MAGIX PC Check & Tuning 2010 Download-Version 5.0.24.689 (D)	MAGIX AG	5.0.24.689
MAGIX PC Visit	MAGIX AG	4.3.6.1987
MAGIX Screenshare	MAGIX AG	4.3.6.1987
MAGIX Xtreme Druck Center 5.0.0.6488 (D)	MAGIX AG	5.0.0.6488
Manual CanoScan LiDE 35		
MapSource Product Install		4.00
MediaCoder 0.7.2.4582	Broad Intelligence	0.7.2.4582
Microsoft .NET Framework 2.0 Language Pack - DEU	Microsoft Corporation	
Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation	2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation	3.2.30729
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	
Microsoft Compression Client Pack 1.0 for Windows XP	Microsoft Corporation	1
Microsoft Office Professional Edition 2003	Microsoft Corporation	11.0.5614.0
Microsoft User-Mode Driver Framework Feature Pack 1.0	Microsoft Corporation	
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	9.0.30729
MP3Find pro v4.93	http://www.mp3find-online.de	4.93.001
MSXML 4.0 SP2 (KB936181)	Microsoft Corporation	4.20.9848.0
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	4.20.9876.0
MSXML 6.0 Parser (KB933579)	Microsoft Corporation	6.10.1200.0
Multimedia Card Reader		1.16
NepalTOPO Basemap 2.00 Free-Version	NepalGPSMap / Michael Schlenstedt	2.00
Nero 7 Premium	Nero AG	7.02.1290
Nokia Connectivity Cable Driver	Nokia	7.0.2.0
NVIDIA Display Control Panel	NVIDIA Corporation	1.6
NVIDIA Drivers	NVIDIA Corporation	1.10
NVIDIA nView Desktop Manager	NVIDIA Corporation	6.14.10.00
OmniPage SE	ScanSoft, Inc.	2.00.0000
Opera 10.10	Opera Software ASA	10.10
PC Connectivity Solution	Nokia	8.22.7.0
Picasa 3	Google, Inc.	3.1
PimpFish 2010	Zabersoft, Inc.	6.0.0
POI PILOT 3000 GPS-Warner 1.012	POICON GmbH & Co. KG	
PowerDirector	CyberLink Corp.	6.0.2319
Prevx	Prevx	3.0.5.28
ProtectDisc Helper Driver 10		10.0.0.3
QuickTime	Apple Inc.	7.65.17.80
REALTEK GbE & FE Ethernet PCI-E NIC Driver	Realtek	1.11.0000
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	5.10.0.5449
Riva FLV Player	Rothenberger & Partner	1.0.0000
Sicherheitsupdate für Windows Media Encoder (KB954156)	Microsoft Corporation	
Silicon Laboratories CP210x VCP Drivers for Windows 2000/XP/2003 Server/Vista	Silicon Laboratories, Inc.	5.40
SmartSound Quicktracks Plugin	SmartSound Software Inc	3.0.3.0
SopCast 3.0.3	SopCast.com	3.0.3
Spybot - Search & Destroy	Safer Networking Limited	1.6.2
System Requirements Lab		
Topo Deutschland v2	Garmin Deutschland GmbH	2.00
TuneUp Utilities 2007	TuneUp Software	6.0.2311
TVUPlayer 2.4.1.0	TVU networks	2.4.1.0
Ulead PhotoImpact 10	Ulead System	10.0
VideoLAN VLC media player 0.8.6b	VideoLAN Team	0.8.6b
Vuze Toolbar	Vuze, Inc.	4.1.0.5
Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (03/08/2007 2.2.1.0)	Garmin	03/08/2007 2.2.1.0
Windows Internet Explorer 8	Microsoft Corporation	20090308.140743
Windows Media Encoder 9-Reihe		
Windows Media Format 11 runtime		
Windows Media Player 11		
Windows XP Service Pack 3	Microsoft Corporation	20080414.031514
Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)	Nokia	08/22/2008 7.0.0.0
WinRAR		
WOT für Internet Explorer	Against Intuition Oy	8.2.14.0
XP-Clean Express	www.xpclean.de	1.1.0
ZoneAlarm	Check Point, Inc	8.0.298.000
ZoneAlarm Spy Blocker	ZoneAlarm
         
Uns hier das Ergebnis von Gmer:

Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 21:53:18
Windows 5.1.2600 Service Pack 3
Running: qusnhg66.exe; Driver: C:\DOKUME~1\sepperl\LOKALE~1\Temp\kwairfog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwAssignProcessToJobObject [0xB81F91CC]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwConnectPort [0xA5C61FC0]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateFile [0xA5C5EC80]
SSDT            B86B6026                                                                                                             ZwCreateKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreatePort [0xA5C62580]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwCreateThread [0xB81F9206]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwCreateWaitablePort [0xA5C62670]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwDeleteFile [0xA5C5F210]
SSDT            B86B602B                                                                                                             ZwDeleteKey
SSDT            B86B6035                                                                                                             ZwDeleteValueKey
SSDT            spmk.sys                                                                                                             ZwEnumerateKey [0xB7ECDDA4]
SSDT            spmk.sys                                                                                                             ZwEnumerateValueKey [0xB7ECE132]
SSDT            B86B603A                                                                                                             ZwLoadKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwLoadKey2 [0xA5C79F90]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwOpenFile [0xA5C5F070]
SSDT            spmk.sys                                                                                                             ZwOpenKey [0xB7EB50C0]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwOpenProcess [0xB81F951A]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwOpenThread [0xB81F93F6]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwProtectVirtualMemory [0xB81F9292]
SSDT            spmk.sys                                                                                                             ZwQueryKey [0xB7ECE20A]
SSDT            spmk.sys                                                                                                             ZwQueryValueKey [0xB7ECE08A]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwRenameKey [0xA5C7A6F0]
SSDT            B86B6044                                                                                                             ZwReplaceKey
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwRequestWaitReplyPort [0xA5C61BE0]
SSDT            B86B603F                                                                                                             ZwRestoreKey
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwSetContextThread [0xB81F918E]
SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)                   ZwSetInformationFile [0xA5C5F440]
SSDT            B86B6030                                                                                                             ZwSetValueKey
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwTerminateProcess [0xB81F964E]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwTerminateThread [0xB81F9316]
SSDT            \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx)                                               ZwWriteVirtualMemory [0xB81F934E]

INT 0x62        ?                                                                                                                    8A53EBF8
INT 0x63        ?                                                                                                                    8A21DF00
INT 0x73        ?                                                                                                                    8A53EBF8
INT 0x73        ?                                                                                                                    8A53EBF8
INT 0x73        ?                                                                                                                    8A540BF8
INT 0x73        ?                                                                                                                    8A21DF00
INT 0x73        ?                                                                                                                    8A53EBF8
INT 0x82        ?                                                                                                                    8A53EBF8
INT 0x83        ?                                                                                                                    8A21DF00
INT 0x94        ?                                                                                                                    8A21DF00
INT 0xB4        ?                                                                                                                    8A21DF00
INT 0xB4        ?                                                                                                                    8A21DF00
INT 0xB4        ?                                                                                                                    8A21DF00
INT 0xB4        ?                                                                                                                    8A21DF00

---- Kernel code sections - GMER 1.0.15 ----

?               spmk.sys                                                                                                             Das System kann die angegebene Datei nicht finden. !
.rsrc           C:\WINDOWS\system32\drivers\jraid.sys                                                                                entry point in ".rsrc" section [0xB80E3700]
?               srescan.sys                                                                                                          Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                             section is writeable [0xB4FAA380, 0x5414D5, 0xE8000020]
.text           USBPORT.SYS!DllUnload                                                                                                B4F8A8AC 5 Bytes  JMP 8A21D4E0 
.reloc          C:\WINDOWS\system32\drivers\acehlp10.sys                                                                             section is executable [0xB4F11B80, 0x37FC7, 0xE0000060]
init            C:\WINDOWS\System32\Drivers\sunkfilt.sys                                                                             entry point in "init" section [0xB83A02E0]
.reloc          C:\WINDOWS\system32\drivers\acedrv10.sys                                                                             section is executable [0xA5389000, 0x459C1, 0xE0000060]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                               section is writeable [0xA5156300, 0x3AE88, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                               section is writeable [0xB410D300, 0x1B7E, 0xE8000020]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [B7EB6042] spmk.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [B7EB613E] spmk.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [B7EB60C0] spmk.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [B7EB6800] spmk.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [B7EB66D6] spmk.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [B7EC5B90] spmk.sys
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                                             [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                                  [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                                 [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                                             [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                                               [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                                    [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                                   [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                                              [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                                            [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                                  [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                                   [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                    [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                     [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                                [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                             [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                               [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                    [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                   [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               8A4E01F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{9D5C206D-3C3A-45B9-A6FE-12DFEFE2CB12}                                             8A0FE500
Device          \Driver\Tcpip \Device\Ip                                                                                             vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                     8A1DA500
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                     8A1DA500
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                     8A1DA500
Device          \Driver\usbehci \Device\USBPDO-3                                                                                     8A3911F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                     8A1DA500
Device          \Driver\Tcpip \Device\Tcp                                                                                            vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            pxrts.sys (Prevx Realtime Security/Prevx)

Device          \Driver\usbuhci \Device\USBPDO-5                                                                                     8A1DA500
Device          \Driver\usbuhci \Device\USBPDO-6                                                                                     8A1DA500
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                               8A4E21F8
Device          \Driver\usbehci \Device\USBPDO-7                                                                                     8A3911F8
Device          \Driver\Cdrom \Device\CdRom0                                                                                         8A3061F8
Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                               8A4E21F8
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                               8A4E21F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                   [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort3                                                                                   [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                              8A0FE500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                     8A0FE500
Device          \Driver\NetBT \Device\NetBT_Tcpip_{6BFB8EFA-3983-4DBE-9299-329D32CF6746}                                             8A0FE500
Device          \Driver\USBSTOR \Device\00000094                                                                                     8A266468
Device          \Driver\USBSTOR \Device\00000095                                                                                     8A266468
Device          \Driver\Tcpip \Device\Udp                                                                                            vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\USBSTOR \Device\00000096                                                                                     8A266468
Device          \Driver\Tcpip \Device\RawIp                                                                                          vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\USBSTOR \Device\00000097                                                                                     8A266468
Device          \Driver\USBSTOR \Device\00000098                                                                                     8A266468
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                     8A1DA500
Device          \Driver\USBSTOR \Device\00000099                                                                                     8A266468
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                     8A1DA500
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    89EC6408
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                    vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                     8A1DA500
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          89EC6408
Device          \Driver\usbehci \Device\USBFDO-3                                                                                     8A3911F8
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                     8A1DA500
Device          \Driver\Ftdisk \Device\FtControl                                                                                     8A4E21F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                     8A1DA500
Device          \Driver\usbuhci \Device\USBFDO-6                                                                                     8A1DA500
Device          \Driver\usbehci \Device\USBFDO-7                                                                                     8A3911F8
Device          \Driver\USBSTOR \Device\0000009a                                                                                     8A266468
Device          \FileSystem\Cdfs \Cdfs                                                                                               8A0FB390

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0xE0 0x29 0xF1 0x2A ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x72 0x8A 0xEE 0x37 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x8A 0x16 0x70 0xFC ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x30 0xD2 0x85 0x57 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0xE0 0x29 0xF1 0x2A ...

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\drivers\jraid.sys                                                                                suspicious modification

---- EOF - GMER 1.0.15 ----
         
Hier der link dazu:
http://www.file-upload.net/download-2148765/Gmerscan.txt.html

Gruss und vielen Dank schonmal, dass du dich meinem Problem annimmst!!!
__________________

Alt 11.01.2010, 17:22   #4
kira
/// Helfer-Team
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



hi

1.
Code:
ATTFilter
Azureus Vuze
LimeWire
         
Zitat:
Internet-Tauschbörsen gehören leider zu den unseriösesten Anbietern, und dort werden sehr viele Schädlinge verbreitet, hierbei sollte deshalb, wenn überhaupt, nur ganz besonders vorsichtig umgegangen werden ! Laut Studien sind bei den Tauschbörsen bei 45% der zum Download angebotenen Dateien, Viren oder Würmer und sonstige Schädlinge enthalten!
Hinzu kommt noch, dass die meisten Downloads von diesen Tauschbörsen eh illegal sind, und damit die Nutzer verleitet werden, „Straftaten“ zu begehen!
Selbst wenn du ein „sicheres“ P2P Programm verwendest, ist es nur das Programm, das sicher ist.Du wirst Daten von "uncertified Quellen" teilen, und diese werden häufig angesteckt...

2.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig!)
danach deinstalliere:
`Systemsteuerung → Software → Ändern/Entfernen...`
Code:
ATTFilter
Java(TM) 6 Update 3	
Java(TM) 6 Update 5
         
3.
um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader

4.
Folgende Ergebnisse möchte ich noch sehen:
Code:
ATTFilter
 VundoFix.txt
 avenger.txt
         
5.
"Start--> Ausführen" dann folgende Befehl bitte eingeben: cmd --> ok
es öffnet sich ein Kommando-Fenster
danach folgende Befehl eingeben und nach jedem Befehl die Eingabetaste [Enter] drücken:

Code:
ATTFilter
sc stop ASKService
sc delete ASKService
sc stop ASKUpgrade
sc delete ASKUpgrade
         
Exit

6.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
Code:
ATTFilter
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe  <-falsch noch existiert
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe <-falsch noch existiert
O24 - Desktop Component 1: (no name) - http://www.gmx.net/ <- wenn nicht absichtlich gelegt von dir
         
7.
Eine ganze Menge BHO`s & Toolbars
- im Logfile HijackThis unter 02 u. 03 aufgelistet:
- Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, Adobe Reader usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...
- Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

8.
- Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten:
Code:
ATTFilter
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c8ff9e55dc318e) (gupdate1c8ff9e55dc318e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
         
- unter `Systemsteuerung - Verwaltung - Dienste oder "Ausführen"-> gibst Du in das Dialogfenster den Befehl services.msc -> Ok
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt.

9.
Nicht nötig -> C:\WINDOWS\tasks:
Code:
ATTFilter
Ad-Aware Update (Weekly).job
Ad-Aware Update (Daily 1).job
Ad-Aware Update (Daily 2).job
Ad-Aware Update (Daily 3).job
Ad-Aware Update (Daily 4).job
         
10.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

Alt 11.01.2010, 20:56   #5
sepperl13
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hi,
Vielen Dank schon mal so weit!! Ich habe versucht soweit alles abzuarbeiten:
Azureus und Limewire sind weg, Java und Adobe Reader haben ein update bekommen, altes Java ist weg. Askservice und die anderen Dienste und tolbars habe ich wie beschrieben entfernt, bzw über die Verwaltung auf manuell geschaltet (die meisten waren das allerdings schon).

Punkt 4 habe ich nicht ganz verstanden: Was meinst du mit VundoFix.txt und
avenger.txt?
Folgendes habe ich gemacht:
Ich habe Avenger.exe heruntergeladen und laufen lassen (Wlan und Internet weg, Zonealarm und Antivir deaktiviert:

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform:  Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished!  Terminate.
         
Vundofix.exe hatte ich schon, hab´s nach Averger.exe laufenlassen:

Ergebnis war die Meldung, dass es keinen infizierten File gibt.

Am Ende noch ein neuer Lauf mit Hijackthis:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:36:28, on 11.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\WinSys.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TechSmith\Jing\Jing.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\trend micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SW24] "C:\WINDOWS\system32\sw24.exe"
O4 - HKLM\..\Run: [SW20] "C:\WINDOWS\system32\sw20.exe"
O4 - HKLM\..\Run: [Sunkist2k] "C:\Programme\Multimedia Card Reader\shwicon2k.exe"
O4 - HKLM\..\Run: [RTHDCPL] "RTHDCPL.EXE"
O4 - HKLM\..\Run: [Alcmtr] "ALCMTR.EXE"
O4 - HKLM\..\Run: [AVMWlanClient] "C:\Programme\avmwlanstick\wlangui.exe"
O4 - HKLM\..\Run: [WinSys] "C:\WINDOWS\system32\WinSys.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [36X Raid Configurer] "C:\WINDOWS\system32\xRaidSetup.exe" boot
O4 - HKLM\..\Run: [JMB36X IDE Setup] "C:\WINDOWS\RaidTool\xInsIDE.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Jing] C:\Programme\TechSmith\Jing\Jing.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutoHotkey Script.ahk
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: FreshDownload - {5D29A8B8-2C1F-4186-BAE1-AC4DBEFF0AB6} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: ProxyPick - {FF819DA3-FF82-FF44-ADF5-6EF17ECF3C6E} - "C:\Programme\IEToys\ProxyPick.exe" (file missing)
O9 - Extra 'Tools' menuitem: ProxyPick - {FF819DA3-FF82-FF44-ADF5-6EF17ECF3C6E} - "C:\Programme\IEToys\ProxyPick.exe" (file missing)
O9 - Extra button: Immediately wipe all browsing history - {FFFFFF9F-A66E-4D5D-996F-1A4450298FFF} - C:\Programme\IEToys\ClearTracks.dll
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.inforiviera.it/new_webcam/AxisCamControl.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programme\WOT\WOT.dll (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c8ff9e55dc318e) (gupdate1c8ff9e55dc318e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: (no name) - http://www.gmx.net/

--
End of file - 10873 bytes
         

Nun noch zwei Beobachtungen nach mehreren Systemneustarts:

- Es kommt nur noch ein Fund, der des Crypt.ZPACK.Gen (tdlcmd.dll in System32).
- Avira bringt ziemlich exakt 5 Minuten nach dem Start des Guards die Meldung zu diesem Fund, das scheint zeitlich reproduzierbar ohne dass ich irgendwas am System mache (hab´extra gewartet).

Warte auf neue Instruktionen,
Gruss und Vielen Dank.


Alt 12.01.2010, 22:44   #6
kira
/// Helfer-Team
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



hi

VundoFix und Avenger waren auf dem Rechner installiert bzw hast Du schon (früher) laufen lassen

- Kannst Du den Bericht von Avira (nur den Auszug wo der [FUND] steht) hier posten?

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Alt 14.01.2010, 17:27   #7
sepperl13
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hi,
Die letzte Fund-Meldung (13.01. 23:20) von Avira lautet:
Code:
ATTFilter
In der Datei 'C:\WINDOWS\system32\tdlcmd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
         
Der letzte Avira Scan hat folgenden Bericht:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 10. Januar 2010  11:44

Es wird nach 1512108 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : SEPPERL-A627005

Versionsinformationen:
BUILD.DAT      : 9.0.0.403     17961 Bytes  03.06.2009 17:00:00
AVSCAN.EXE     : 9.0.3.6      466689 Bytes  11.05.2009 08:14:44
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 18:26:46
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 18:26:47
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 18:26:48
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 18:26:48
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 18:26:48
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 18:26:48
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 18:26:48
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 18:26:48
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 18:26:48
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 18:26:48
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 18:26:48
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 18:26:48
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 18:26:48
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 10:27:26
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 13:15:20
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 13:15:21
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 13:15:21
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 13:15:21
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 13:15:22
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 13:15:22
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 13:15:22
VBASE021.VDF   : 7.10.2.131    201216 Bytes  07.01.2010 18:42:41
VBASE022.VDF   : 7.10.2.132      2048 Bytes  07.01.2010 18:42:41
VBASE023.VDF   : 7.10.2.133      2048 Bytes  07.01.2010 18:42:41
VBASE024.VDF   : 7.10.2.134      2048 Bytes  07.01.2010 18:42:41
VBASE025.VDF   : 7.10.2.135      2048 Bytes  07.01.2010 18:42:41
VBASE026.VDF   : 7.10.2.136      2048 Bytes  07.01.2010 18:42:41
VBASE027.VDF   : 7.10.2.137      2048 Bytes  07.01.2010 18:42:42
VBASE028.VDF   : 7.10.2.138      2048 Bytes  07.01.2010 18:42:42
VBASE029.VDF   : 7.10.2.139      2048 Bytes  07.01.2010 18:42:42
VBASE030.VDF   : 7.10.2.140      2048 Bytes  07.01.2010 18:42:42
VBASE031.VDF   : 7.10.2.151    146944 Bytes  08.01.2010 10:59:15
Engineversion  : 8.2.1.134
AEVDF.DLL      : 8.1.1.2      106867 Bytes  15.09.2009 18:46:54
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  04.01.2010 17:58:42
AESCN.DLL      : 8.1.3.0      127348 Bytes  02.01.2010 13:15:26
AESBX.DLL      : 8.1.1.1      246132 Bytes  19.11.2009 18:26:50
AERDL.DLL      : 8.1.3.4      479605 Bytes  02.01.2010 13:15:26
AEPACK.DLL     : 8.2.0.4      422263 Bytes  04.01.2010 17:58:37
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  16.07.2009 08:49:48
AEHEUR.DLL     : 8.1.0.194   2228599 Bytes  09.01.2010 10:59:17
AEHELP.DLL     : 8.1.9.0      237943 Bytes  02.01.2010 13:15:24
AEGEN.DLL      : 8.1.1.83     369014 Bytes  04.01.2010 17:58:13
AEEMU.DLL      : 8.1.1.0      393587 Bytes  03.10.2009 10:03:16
AECORE.DLL     : 8.1.9.1      180598 Bytes  02.01.2010 13:15:23
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 13:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 10:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 10. Januar 2010  11:44

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '62575' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AutoHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Jing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shwicon2k.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StartSkysolSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI\qc.csi
  [0] Archivtyp: HIDDEN
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b77b11a.qua erstellt ( QUARANTÄNE )
    [WARNUNG]   Die Datei wurde ignoriert.
    --> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI\qc.csi
      [1] Archivtyp: RSRC
      --> Object
        [FUND]      Ist das Trojanische Pferd TR/Proxy.Agent.bxz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SP\sp.dll_
    [FUND]      Ist das Trojanische Pferd TR/Proxy.Agent.bxz
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b77b12c.qua erstellt ( QUARANTÄNE )
    [WARNUNG]   Die Datei wurde ignoriert.
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Laufwerk D>
D:\System Volume Information\_restore{EB371F45-D097-4EA5-AF67-9BBA75335873}\RP358\A0057427.exe
  [0] Archivtyp: CAB SFX (self extracting)
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> \DEFAULT.REG
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> \Data1.cab
      [1] Archivtyp: CAB (Microsoft)
      --> _D35B662D103AF869E0DCB00A87C454B0
        [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\System Volume Information\_restore{EB371F45-D097-4EA5-AF67-9BBA75335873}\RP358\A0057436.exe
  [0] Archivtyp: CAB SFX (self extracting)
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> \DEFAULT.REG
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    --> \Data1.cab
      [1] Archivtyp: CAB (Microsoft)
      --> _D35B662D103AF869E0DCB00A87C454B0
        [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <External HDD>


Ende des Suchlaufs: Sonntag, 10. Januar 2010  12:57
Benötigte Zeit:  1:12:49 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  11351 Verzeichnisse wurden überprüft
 636739 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 636735 Dateien ohne Befall
   7100 Archive wurden durchsucht
     10 Warnungen
      3 Hinweise
  62575 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Heute lief Malwarebytes drüber:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3556
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.01.2010 18:05:48
mbam-log-2010-01-14 (18-05-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 259571
Laufzeit: 40 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\WinSys.exe (Trojan.Agent) -> Delete on reboot.
         
Seit dem Neustart bisher keine Avira Fund Meldung mehr, das hatte ich vorher nach jedem Neustart.

Kaspersky habe ich schon am Wochenende drüberlaufen lassen, da hiess es danach, dass es keinerlei Fund gaebe.

Werde nachher nochmal Avira und Malwarebytes laufen lassen und berichten, ob sich wieder was findet, bzw ob wieder Probleme auftreten.
Also ich weiss ja nicht, aber momentan sieht es gut aus!
Was denkst du?
Gruss und tausend Dank für deine Vorschlaege soweit

Alt 15.01.2010, 07:11   #8
kira
/// Helfer-Team
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Standard

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



hi

ist Dir bekannt?:
Code:
ATTFilter
O4 - Startup: AutoHotkey Script.ahk
         
1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

3.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

** Hast du sonst Probleme mit deinem Rechner?

Alt 03.02.2010, 18:45   #9
sepperl13
 
PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Icon26

PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall



Hi,

Habe nun länger nicht geantwortet, der Grund war, dass ich eine Woche nicht da war und nun auch beschlossen habe, das System am besten ganz neu aufzusetzen. Ich hatte plötzlich Probleme mit einigen Accounts und auch ein deutlich instabileres System (Freezing und plötzlicher Neustart des PC). Was ich noch herausfand ist, dass ich wohl irgendwann (unbewusst) die "Askbar" als toolbar mitinstalliert habe und genau seitdem die Probleme habe. Diese habe ich auch letztendlich wegbekommen, aber nicht alle Probleme. Opera hat trotzdem nicht mehr sauber funktioniert (z.B. redirecting von Google). Also habe ich vor einer Woche alles plattgemacht und neu aufgesetzt. Naja, jetzt ist alles wieder stabil und ich danke dir sehr für deine Hilfe!!

Viele Grüsse

Antwort

Themen zu PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall
antivir, antivir guard, befall, c:\windows, crypt.zpack.gen, datei, explorer, gen, google, guard, highjack, highjackthis, hilfe!, hilfe!!, internet, internet explorer, links, log, probleme, programm, system, system32, trojan, trojaner, trojaner befall, unerwünschtes programm, virus



Ähnliche Themen: PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall


  1. TR/Crypt.Zpack.96184 und TR/Crypt.Zpack.96450 entgültig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2014 (13)
  2. Vermute TR/Crypt.ZPACK.47328 und TR/Crypt.ZPACK.56424 auf dem Rechner
    Log-Analyse und Auswertung - 12.05.2014 (10)
  3. Bin ich den Trojaner tr/crypt.zpack.gen wirklich los?
    Log-Analyse und Auswertung - 02.05.2013 (10)
  4. EXP/Pidief.def und insb. TR/Crypt.ZPACK.Gen8 Befall
    Log-Analyse und Auswertung - 18.07.2012 (29)
  5. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  6. Befall TR/Crypt.ZPACK.Gen sowie Agent.AO.205 und Agent.AO.223
    Log-Analyse und Auswertung - 26.12.2010 (6)
  7. Trojaner TR/Crypt.ZPACK.Gen eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 27.06.2010 (4)
  8. Trojaner TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (16)
  9. Hilfe!!! Trojaner TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 15.06.2010 (1)
  10. 2 Trojaner auf PC - TR/Crypt.XPACH.Gen und TR/TDss.azxw
    Log-Analyse und Auswertung - 26.05.2010 (1)
  11. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  12. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  13. Computer infiziert: Crypt.ZPACK.Gen, Vundo.Gen (3mal), Crypt.ZPACK.Gen, Alureon.CZ
    Log-Analyse und Auswertung - 25.12.2009 (11)
  14. Zwei Probleme: TR/PCK.tdss.Z.230 in system32\tdlclk.dll sowie TR/Crypt.ZPACK.Gen...
    Log-Analyse und Auswertung - 28.11.2009 (35)
  15. Trojaner TR/Crypt.ASPM.Gen und TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (4)
  16. Trojaner: TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 28.06.2009 (6)
  17. Trojaner TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 28.02.2009 (5)

Zum Thema PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall - Hi, habe in meinem System kurz nach Windowsstart jeweils Antivir Guard die Meldungen: - In der Datei 'C:\WINDOWS\system32\tdlclk.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden. Ausgeführte Aktion: Datei - PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall...
Archiv
Du betrachtest: PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.