| |
| |||||||
Log-Analyse und Auswertung: PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner BefallWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.01.2010, 13:44
| #1 |
| |  PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hi, habe in meinem System kurz nach Windowsstart jeweils Antivir Guard die Meldungen: - In der Datei 'C:\WINDOWS\system32\tdlclk.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden. Ausgeführte Aktion: Datei löschen - In der Datei 'C:\WINDOWS\system32\tdlclk.dll' wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Das Löschen fuehrt aber nicht zum Erfolg, die Meldung kommt immer wieder. Symptome sind Probleme beim Offnen von links im Internet Explorer (speziell Google Ergebnisse) und in Opera. Laut Anleitungen zu diesem Problem hier im Board habe ich AVZ laufen lassen, die entsprechenden Befunde haenge ich an. Habe auch ein Highjackthis log gepostet. Waere sehr Dankbar um Hilfe!! Geändert von sepperl13 (09.01.2010 um 13:58 Uhr) |
|
10.01.2010, 11:45
| #2 | ||
| /// Helfer-Team    | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hallo und Herzlich Willkommen!
__________________ Zitat:
- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! ** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten. Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
|
10.01.2010, 22:25
| #3 |
| |  PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hi,
__________________Vielen Dank, dass du dich dem Problem annimmst. Super! Ok, alles klar, ich weiss, dass das nicht einfach und kurz wird. Hab´alles versucht so zu machen, wie beschrieben. So, hier erstmal das Ergebnis von Filelist: Code:
ATTFilter ---- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\
10.01.2010 16:54 43 filelist.txt
10.01.2010 11:01 53 biosinfo
10.01.2010 11:01 3.219.566.592 pagefile.sys
09.01.2010 12:33 339 VundoFix.txt
14.11.2009 13:51 120 drmHeader.bin
29.08.2009 15:34 3.342 avenger.txt
29.08.2009 11:42 211 boot.ini
19.07.2008 14:57 251.712 ntldr
----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS
10.01.2010 11:03 2.088.323 WindowsUpdate.log
10.01.2010 11:01 0 0.log
10.01.2010 11:01 159 wiadebug.log
10.01.2010 11:01 50 wiaservc.log
10.01.2010 11:01 2.048 bootstat.dat
09.01.2010 19:12 32.422 SchedLgU.Txt
09.01.2010 16:37 229 NeroDigital.ini
05.01.2010 19:40 2.822.454 ACD Hintergrund.bmp
02.01.2010 17:34 38 AviSplitter.INI
02.01.2010 14:54 499 wininit.ini
22.11.2009 14:14 46 PCCT.INI
15.11.2009 12:53 30 Iedit.INI
26.09.2009 12:49 111 installation.ini
29.08.2009 12:06 619 win.ini
29.08.2009 12:01 164 install.dat
23.08.2009 15:57 0 nsreg.dat
----- System ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS\system
14.04.2008 03:23 146.944 winspool.drv
----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS\system32
10.01.2010 11:02 350.194 vsconfig.xml
10.01.2010 11:01 272.291 NvApps.xml
09.01.2010 11:57 2.422 wpa.dbl
03.01.2010 10:25 432.356 perfh009.dat
03.01.2010 10:25 67.312 perfc009.dat
03.01.2010 10:25 448.470 perfh007.dat
03.01.2010 10:25 79.910 perfc007.dat
03.01.2010 10:25 1.042.054 PerfStringBackup.INI
02.01.2010 14:54 53.136 PxSecure.dll
11.12.2009 19:00 85.504 ff_vfw.dll
01.12.2009 21:06 25.966.024 MRT.exe
24.11.2009 20:23 5.138 TZLog.log
22.11.2009 12:21 239.944 FNTCACHE.DAT
21.11.2009 03:34 1.989.224 nvcuvenc.dll
21.11.2009 03:34 4.038.656 nvcuda.dll
21.11.2009 03:34 69.632 OpenCL.dll
21.11.2009 03:34 182.888 nvcodins.dll
21.11.2009 03:34 2.259.560 nvcuvid.dll
21.11.2009 03:34 592.488 nvudisp.exe
21.11.2009 03:34 1.056.768 nvapi.dll
21.11.2009 03:34 6.282.752 nv4_disp.dll
21.11.2009 03:34 25.699 nvdisp.nvu
21.11.2009 03:34 8.743 nvinfo.pb
21.11.2009 03:34 2.293.286 nvdata.bin
21.11.2009 03:34 182.888 nvcod.dll
21.11.2009 03:34 13.602.816 nvoglnt.dll
21.11.2009 03:34 11.374.592 nvcompiler.dll
20.11.2009 20:32 154.216 nvsvc32.exe
20.11.2009 20:32 145.000 nvcolor.exe
20.11.2009 20:32 12.669.544 nvcpl.dll
20.11.2009 20:32 110.184 nvmctray.dll
20.11.2009 20:32 278.120 nvmccs.dll
20.11.2009 20:32 253.952 nvrsno.dll
20.11.2009 20:32 270.336 nvrspt.dll
20.11.2009 20:32 266.240 nvrsptb.dll
20.11.2009 20:32 274.432 nvrsnl.dll
20.11.2009 20:32 258.048 nvrssk.dll
20.11.2009 20:32 258.048 nvrssl.dll
20.11.2009 20:32 253.952 nvrssv.dll
20.11.2009 20:32 253.952 nvrsth.dll
20.11.2009 20:32 262.144 nvrsko.dll
20.11.2009 20:32 253.952 nvrstr.dll
20.11.2009 20:32 266.240 nvrsru.dll
20.11.2009 20:32 229.376 nvrszhc.dll
20.11.2009 20:32 122.880 nvrszht.dll
20.11.2009 20:32 270.336 nvrsja.dll
20.11.2009 20:32 253.952 nvrspl.dll
20.11.2009 20:32 282.624 nvrses.dll
20.11.2009 20:32 249.856 nvrsfi.dll
20.11.2009 20:32 274.432 nvrsesm.dll
20.11.2009 20:32 245.760 nvrseng.dll
20.11.2009 20:32 282.624 nvrsel.dll
20.11.2009 20:32 278.528 nvrsde.dll
20.11.2009 20:32 253.952 nvrsda.dll
20.11.2009 20:32 245.760 nvrscs.dll
20.11.2009 20:32 331.776 nvrshe.dll
20.11.2009 20:32 258.048 nvrshu.dll
20.11.2009 20:32 278.528 nvrsit.dll
20.11.2009 20:32 81.920 nvwddi.dll
20.11.2009 20:32 331.776 nvrsar.dll
20.11.2009 20:32 282.624 nvrsfr.dll
20.11.2009 20:32 64.882 NvwsApps.xml
19.11.2009 21:42 592.488 NVUNINST.EXE
10.11.2009 23:08 69.632 QuickTime.qts
10.11.2009 23:08 94.208 QuickTimeVR.qtx
29.10.2009 08:40 916.480 wininet.dll
29.10.2009 08:40 1.208.832 urlmon.dll
29.10.2009 08:40 5.940.736 mshtml.dll
29.10.2009 08:40 206.848 occache.dll
29.10.2009 08:40 25.600 jsproxy.dll
29.10.2009 08:40 55.296 msfeedsbs.dll
29.10.2009 08:40 594.432 msfeeds.dll
29.10.2009 08:40 1.469.440 inetcpl.cpl
29.10.2009 08:40 1.985.536 iertutil.dll
29.10.2009 08:40 184.320 iepeers.dll
29.10.2009 08:40 11.069.952 ieframe.dll
29.10.2009 08:40 387.584 iedkcs32.dll
28.10.2009 16:07 46.080 tzchange.exe
28.10.2009 15:40 173.056 ie4uinit.exe
25.10.2009 18:16 49 polynet.dll
21.10.2009 06:38 75.776 strmfilt.dll
21.10.2009 06:38 25.088 httpapi.dll
13.10.2009 11:32 271.360 oakley.dll
12.10.2009 14:38 79.872 raschap.dll
12.10.2009 14:38 150.528 rastls.dll
11.09.2009 15:17 136.192 msv1_0.dll
04.09.2009 22:03 58.880 msasn1.dll
04.09.2009 17:44 238.936 xactengine3_5.dll
04.09.2009 17:44 69.464 XAPOFX1_3.dll
04.09.2009 17:44 515.416 XAudio2_5.dll
04.09.2009 17:29 453.456 d3dx10_42.dll
04.09.2009 17:29 235.344 d3dx11_42.dll
04.09.2009 17:29 1.974.616 D3DCompiler_42.dll
04.09.2009 17:29 5.501.792 d3dcsx_42.dll
04.09.2009 17:29 1.892.184 D3DX9_42.dll
01.09.2009 15:46 282.654 msaud32.acm
26.08.2009 09:00 247.326 strmdll.dll
25.08.2009 10:17 354.816 winhttp.dll
22.08.2009 16:41 84.521 dntzllyqgixt
18.08.2009 18:55 724.992 DLLAV32.dll
18.08.2009 18:55 212.992 DLLDEV32.dll
18.08.2009 18:55 90.112 DLLPRF32.dll
18.08.2009 18:55 147.456 DLLCPY32.dll
18.08.2009 18:55 221.184 DLLDRV32.dll
18.08.2009 18:55 77.824 DLLPNT32.dll
18.08.2009 18:55 94.208 DLLIO32.dll
18.08.2009 18:55 278.528 DLLRES32.dll
18.08.2009 18:55 65.536 STRING32.dll
16.08.2009 16:08 178.176 unrar.dll
14.08.2009 16:10 1.850.752 win32k.sys
06.08.2009 19:24 209.632 wuweb.dll
06.08.2009 19:24 327.896 wucltui.dll
06.08.2009 19:24 18.144 wuaueng.dll.mui
06.08.2009 19:24 217.816 wuaucpl.cpl
06.08.2009 19:24 15.584 wuapi.dll.mui
06.08.2009 19:24 44.768 wups2.dll
06.08.2009 19:24 35.552 wups.dll
06.08.2009 19:24 53.472 wuauclt.exe
06.08.2009 19:24 15.584 wuaucpl.cpl.mui
06.08.2009 19:24 96.480 cdm.dll
06.08.2009 19:24 23.264 wucltui.dll.mui
06.08.2009 19:23 575.704 wuapi.dll
06.08.2009 19:23 1.929.952 wuaueng.dll
05.08.2009 09:59 206.336 mswebdvd.dll
04.08.2009 18:26 2.147.840 ntoskrnl.exe
04.08.2009 18:25 2.026.496 ntkrnlpa.exe
31.07.2009 10:02 1.372.672 msxml6.dll
31.07.2009 05:32 1.172.480 msxml3.dll
25.07.2009 12:16 57.036 mlfcache.dat
21.07.2009 00:05 1.348.432 msxml4.dll
18.07.2009 10:17 610.168 ieconfig_1und1.dll
17.07.2009 20:01 58.880 atl.dll
17.07.2009 17:15 1.441.792 query.dll
13.07.2009 22:43 286.208 wmpdxm.dll
13.07.2009 22:43 10.841.088 wmp.dll
08.07.2009 16:34 53.248 CSVer.dll
----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS\Prefetch
10.01.2010 16:54 15.726 FIND.EXE-0EC32F1E.pf
10.01.2010 16:54 15.522 CMD.EXE-087B4001.pf
10.01.2010 16:53 20.542 VERCLSID.EXE-3667BD89.pf
10.01.2010 16:53 24.348 EXPLORER.EXE-082F38A9.pf
10.01.2010 16:50 38.328 AVWSC.EXE-24612965.pf
10.01.2010 16:48 83.624 RUNDLL32.EXE-377ABB08.pf
10.01.2010 16:35 117.730 OPERA.EXE-24550E7A.pf
10.01.2010 16:35 110.872 IEXPLORE.EXE-2CA9778D.pf
10.01.2010 16:35 22.462 FREECORDERTOOLBARHELPER.EXE-338E4956.pf
10.01.2010 16:29 23.256 NOTEPAD.EXE-336351A9.pf
10.01.2010 16:29 63.862 AVSCAN.EXE-25724B6E.pf
10.01.2010 16:19 37.670 GOOGLEUPDATE.EXE-187AE91D.pf
10.01.2010 13:35 135.084 WMIPRVSE.EXE-28F301A9.pf
10.01.2010 13:35 63.496 HELPSVC.EXE-2878DDA2.pf
10.01.2010 13:35 362.272 Layout.ini
10.01.2010 13:01 52.554 GOOGLEUPDATERSERVICE.EXE-19F5FCF4.pf
10.01.2010 12:58 42.888 GOOGLEUPDATER.EXE-36CE3796.pf
10.01.2010 12:20 111.980 AD-AWAREADMIN.EXE-1618EEEB.pf
10.01.2010 11:59 65.480 UPDATE.EXE-3398FCD6.pf
10.01.2010 11:44 61.812 AVCENTER.EXE-1D2DB8A2.pf
10.01.2010 11:23 49.940 GOOGLEEARTH.EXE-0B6A9C1A.pf
10.01.2010 11:23 81.090 POWERPNT.EXE-28A8DBA4.pf
10.01.2010 11:16 77.194 GUARDGUI.EXE-147E0160.pf
10.01.2010 11:16 62.828 AVCONFIG.EXE-18FA6095.pf
10.01.2010 11:09 17.088 RUNDLL32.EXE-451FC2C0.pf
10.01.2010 11:06 51.940 UPDCLIENT.EXE-215FC96B.pf
10.01.2010 11:02 108.172 TASKMGR.EXE-20256C55.pf
10.01.2010 11:02 36.388 IMAPI.EXE-0BF740A4.pf
10.01.2010 11:02 19.350 ALG.EXE-0F138680.pf
10.01.2010 11:02 33.182 RUNDLL32.EXE-35A483DA.pf
10.01.2010 11:02 1.432 RUNDLL32.EXE-1619A94E.pf
10.01.2010 11:02 3.282 DUMPREP.EXE-1B46F901.pf
10.01.2010 11:02 1.105.808 NTOSBOOT-B00DFAAD.pf
09.01.2010 19:12 27.164 LOGONUI.EXE-0AF22957.pf
09.01.2010 18:34 60.900 EXCEL.EXE-0DC93B7A.pf
09.01.2010 18:30 65.270 ACRORD32.EXE-153330F0.pf
09.01.2010 18:19 17.486 GOOGLECRASHHANDLER.EXE-2652FEB7.pf
09.01.2010 18:12 61.338 DIASHOW.EXE-1720190C.pf
09.01.2010 16:25 44.932 DBLOCALSERVER.EXE-1799E8E2.pf
09.01.2010 16:25 104.964 ACDSEE6.EXE-053FB6EE.pf
09.01.2010 15:22 49.108 PRESENTATIONFONTCACHE.EXE-1706C4D2.pf
09.01.2010 14:51 138.926 FOTOS_DLX.EXE-02F2C008.pf
09.01.2010 14:49 64.810 MPLAYER.EXE-1F4A52B3.pf
09.01.2010 14:49 157.682 MEDIAINFO.EXE-3470DED1.pf
09.01.2010 14:47 70.418 AAWSERVICE.EXE-1E1DE6D1.pf
09.01.2010 14:46 28.476 AAWWSC.EXE-3513A2B5.pf
09.01.2010 14:46 22.666 UNSECAPP.EXE-1A95A33B.pf
09.01.2010 12:25 26.342 WUAUCLT.EXE-399A8E72.pf
09.01.2010 11:58 36.488 PREVX.EXE-208A6FD4.pf
49 Datei(en) 4.094.172 Bytes
0 Verzeichnis(se), 11.538.812.928 Bytes frei
----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS\tasks
10.01.2010 16:19 880 GoogleUpdateTaskMachineUA.job
10.01.2010 13:01 1.044 Google Software Updater.job
10.01.2010 12:21 470 Ad-Aware Update (Weekly).job
10.01.2010 12:21 470 Ad-Aware Update (Daily 1).job
10.01.2010 11:01 876 GoogleUpdateTaskMachineCore.job
10.01.2010 11:01 6 SA.DAT
09.01.2010 18:20 470 Ad-Aware Update (Daily 2).job
09.01.2010 14:46 470 Ad-Aware Update (Daily 3).job
09.01.2010 14:46 470 Ad-Aware Update (Daily 4).job
18.07.2009 11:04 400 1-Klick-Wartung.job
----- Windows/Temp -----------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\WINDOWS\Temp
10.01.2010 11:01 256 ZLT01ea8.TMP
09.01.2010 15:13 39.936 Tag1A1.tmp
09.01.2010 13:20 256 ZLT03ae9.TMP
09.01.2010 13:15 256 ZLT0371c.TMP
06.01.2010 18:04 256 ZLT029fe.TMP
5 Datei(en) 40.960 Bytes
0 Verzeichnis(se), 11.538.812.928 Bytes frei
----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: DCE3-A57E
Verzeichnis von C:\DOKUME~1\sepperl\LOKALE~1\Temp
10.01.2010 11:02 98.304 ~DF32D4.tmp
10.01.2010 11:02 16.384 ~DFFFAF.tmp
09.01.2010 15:58 0 f872_appcompat.txt
09.01.2010 15:17 0 geColladaModelCacheLock
09.01.2010 15:17 0 geIconCacheLock
09.01.2010 15:16 98.304 ~DFAE9F.tmp
09.01.2010 15:15 16.384 ~DF3843.tmp
09.01.2010 13:21 98.304 ~DFE67F.tmp
09.01.2010 13:21 16.384 ~DF39BF.tmp
09.01.2010 13:16 98.304 ~DFDBA.tmp
09.01.2010 13:16 16.384 ~DFBA29.tmp
09.01.2010 12:21 208 java_install_reg.log
07.01.2010 19:41 98.304 ~DFE81.tmp
07.01.2010 19:40 16.384 ~DFAADB.tmp
06.01.2010 21:10 98.304 ~DF1D4D.tmp
06.01.2010 21:09 16.384 ~DF379F.tmp
06.01.2010 19:43 16.384 ~DF8850.tmp
06.01.2010 19:43 512 ~DF8878.tmp
06.01.2010 19:02 36.864 ~DFDA0E.tmp
06.01.2010 18:50 16.384 ~DF21FB.tmp
06.01.2010 18:07 16.384 ~DFA519.tmp
06.01.2010 18:05 98.304 ~DF1245.tmp
06.01.2010 18:05 16.384 ~DF704D.tmp
05.01.2010 20:48 16.384 ~DFF7C.tmp
04.01.2010 23:43 98.304 ~DF8571.tmp
04.01.2010 23:43 16.384 ~DF51C2.tmp
04.01.2010 23:22 98.304 ~DFB12E.tmp
04.01.2010 23:22 16.384 ~DFCFA.tmp
04.01.2010 22:52 201.944 unwise.exe
04.01.2010 22:23 98.304 ~DF5D42.tmp
04.01.2010 22:23 16.384 ~DF26C4.tmp
04.01.2010 22:05 98.304 ~DFBA9C.tmp
04.01.2010 22:05 16.384 ~DF8486.tmp
04.01.2010 21:50 98.304 ~DFD3D6.tmp
04.01.2010 21:50 16.384 ~DF4BAC.tmp
04.01.2010 21:39 98.304 ~DF6302.tmp
04.01.2010 21:39 16.384 ~DFFB98.tmp
04.01.2010 21:37 16.384 ~DF3275.tmp
04.01.2010 21:34 16.384 ~DFE5D2.tmp
04.01.2010 21:34 512 ~DFE613.tmp
04.01.2010 21:17 98.304 ~DF1127.tmp
04.01.2010 21:17 16.384 ~DFE265.tmp
04.01.2010 21:10 98.304 ~DFE45F.tmp
04.01.2010 21:09 16.384 ~DF392A.tmp
04.01.2010 19:51 98.304 ~DFE99C.tmp
04.01.2010 19:50 16.384 ~DFB5D2.tmp
04.01.2010 18:48 98.304 ~DFFDAE.tmp
04.01.2010 18:48 16.384 ~DFA959.tmp
03.01.2010 10:22 98.304 ~DF3D75.tmp
03.01.2010 10:21 16.384 ~DF9AC3.tmp
03.01.2010 10:21 16.384 ~DF863B.tmp
02.01.2010 15:00 98.304 ~DFE4E6.tmp
02.01.2010 14:59 16.384 ~DFCDB3.tmp
02.01.2010 14:48 36.864 ~DF2F16.tmp
02.01.2010 14:26 24.576 ~DF1226.tmp
02.01.2010 14:22 16.384 ~DFDB8B.tmp
02.01.2010 14:17 9.494.848 JingSetup2.2.9337.exe
02.01.2010 14:12 16.384 ~DF9A18.tmp
02.01.2010 14:12 16.384 ~DFD963.tmp
02.01.2010 14:12 98.304 ~DFA9B6.tmp
29.11.2009 18:22 98.304 ~DFAD2F.tmp
29.11.2009 18:21 16.384 ~DFA45.tmp
29.11.2009 17:46 835.584 ~DF3E45.tmp
29.11.2009 12:15 98.304 ~DF154C.tmp
28.11.2009 17:52 98.304 ~DFE1DB.tmp
28.11.2009 17:52 16.384 ~DF873A.tmp
28.11.2009 13:28 98.304 ~DFE57D.tmp
28.11.2009 13:13 98.304 ~DFDC06.tmp
28.11.2009 12:31 6.221.824 pvxinst968.exe
28.11.2009 12:16 98.304 ~DF66EA.tmp
28.11.2009 12:13 54.312 hGu8YnFX.dll
28.11.2009 12:12 16.384 ~DF6D15.tmp
28.11.2009 12:11 32.768 ~DFA4F1.tmp
28.11.2009 12:11 16.384 ~DFED0B.tmp
28.11.2009 12:10 20.480 ~DF569B.tmp
28.11.2009 12:05 28.672 ~DF90ED.tmp
28.11.2009 11:59 16.384 ~DFA6EE.tmp
28.11.2009 11:50 16.384 ~DF3082.tmp
28.11.2009 11:48 16.384 ~DFF76C.tmp
28.11.2009 11:46 98.304 ~DFC150.tmp
28.11.2009 11:45 16.384 ~DFC3EB.tmp
28.11.2009 11:34 32.768 ~DF5FB8.tmp
28.11.2009 11:34 16.384 ~DFD9EE.tmp
28.11.2009 11:33 16.384 ~DFC97A.tmp
28.11.2009 11:32 24.576 ~DF637C.tmp
28.11.2009 11:32 16.384 ~DFB3F7.tmp
28.11.2009 11:31 16.384 ~DF8193.tmp
28.11.2009 11:26 98.304 ~DF4CC0.tmp
28.11.2009 11:25 16.384 ~DFF87B.tmp
28.11.2009 11:25 16.384 ~DF3288.tmp
24.11.2009 20:25 98.304 ~DF84AD.tmp
24.11.2009 20:25 16.384 ~DF82AA.tmp
24.11.2009 20:19 98.304 ~DF528C.tmp
24.11.2009 20:18 16.384 ~DF25BB.tmp
22.11.2009 14:38 98.304 ~DFDE25.tmp
22.11.2009 14:38 22.253 Turkish.bin
22.11.2009 14:38 21.964 Norwegian.bin
22.11.2009 14:38 26.080 Hungarian.bin
22.11.2009 14:38 19.553 Hebrew.bin
22.11.2009 14:38 22.857 Finnish.bin
22.11.2009 14:38 24.312 Czech.bin
22.11.2009 14:38 25.071 Portuguese(Brazil).bin
22.11.2009 14:38 24.221 Polish.bin
22.11.2009 14:38 25.082 Greek.bin
22.11.2009 14:38 21.976 Thai.bin
22.11.2009 14:38 20.972 Arabic.bin
22.11.2009 14:38 16.408 SimChin.bin
22.11.2009 14:38 21.933 English.bin
22.11.2009 14:38 26.260 Portuguese.bin
22.11.2009 14:38 24.082 SWEDISH.bin
22.11.2009 14:38 27.753 Spanish.bin
22.11.2009 14:38 26.126 Russian.bin
22.11.2009 14:38 27.410 Italian.bin
22.11.2009 14:38 16.384 ~DF8B96.tmp
22.11.2009 14:38 25.753 German.bin
22.11.2009 14:38 27.235 French.bin
22.11.2009 14:38 16.949 TradChin.bin
22.11.2009 14:38 25.747 Dutch.bin
22.11.2009 14:38 22.783 Danish.bin
22.11.2009 14:38 20.135 Korean.bin
22.11.2009 14:38 24.297 Japanese.bin
121 Datei(en) 21.435.612 Bytes
0 Verzeichnis(se), 11.538.800.640 Bytes frei
Code:
ATTFilter ACDSee for PENTAX 2.0 ACD Systems Ltd. 6.0.24
Ad-Aware Lavasoft
Adobe Flash Player 10 Plugin Adobe Systems, Inc. 10.0.32.18
Adobe Reader 8 - Deutsch Adobe Systems Incorporated 8.0.0
Any Flv Player 2.5.1 any-flv-player.com
Apple Application Support Apple Inc. 1.1.0
Apple Software Update Apple Inc. 2.1.1.116
AquaSoft DiaShow 7 Ultimate AquaSoft
AquaSoft Earth Pilot AquaSoft
AusLogics Disk Defrag AusLogics, Inc. version 1.4
AutoHotkey 1.0.48.03 Chris Mallett 1.0.48.03
Avira AntiVir Personal - Free Antivirus Avira GmbH
AVM FRITZ!Box Monitor AVM Berlin
AVM FRITZ!DSL AVM Berlin 2.04.02
Azureus Vuze Azureus, Inc
Bayden IEToys (remove only)
Bluesoleil2.7.0.13 VoIP Release 071227 IVT Corporation 2.7.0.13 VoIP Release 071227
Canon Camera Access Library Canon Inc. 8.4.0.1
Canon CanoScan Toolbox 4.5
CANON iMAGE GATEWAY Task for ZoomBrowser EX Canon Inc. 1.7.0.4
Canon Internet Library for ZoomBrowser EX Canon Inc. 1.6.3.9
Canon iP4300
Canon iP4300 Benutzerregistrierung
Canon MOV Decoder Canon Inc. 1.3.2.15
Canon MOV Encoder Canon Inc. 1.1.0.18
Canon MovieEdit Task for ZoomBrowser EX Canon Inc. 3.2.0.34
Canon Setup Utility 2.3
Canon Utilities CameraWindow Canon Inc. 7.3.0.4
Canon Utilities CameraWindow DC Canon Inc. 7.4.1.10
Canon Utilities CameraWindow DC 8 Canon Inc. 8.0.0.19
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX Canon Inc. 6.5.0.3
Canon Utilities MyCamera Canon Inc. 7.3.0.5
Canon Utilities MyCamera DC Canon Inc. 7.2.1.6
Canon Utilities PhotoStitch Canon Inc. 3.1.22.46
Canon Utilities RemoteCapture Task for ZoomBrowser EX Canon Inc. 1.8.0.1
Canon Utilities ZoomBrowser EX Canon Inc. 6.4.0.7
Canon ZoomBrowser EX Memory Card Utility Canon Inc. 1.2.2.11
CCleaner Piriform 2.27
CD-LabelPrint
DIE SIEDLER - Aufstieg eines Königreichs (Alle Produkte) Ubisoft 1.00.0000
DivX Codec DivX, Inc. 6.8.5
DivX Converter DivX, Inc. 7.1.0
DivX Player DivX, Inc. 7.2.0
DivX Plus DirectShow Filters DivX, Inc.
DivX Web Player DivX,Inc. 1.5.0
DVD Shrink 3.2 DVD Shrink
Firebird SQL Server - MAGIX Edition MAGIX AG 2.1.26.0
FolderBox 1.2 BAxBEx Software 1.2
France Topo 8 Bourgogne Garmin Fan, Inc.
France Topo 9 Pays de Loire - Poitou Charentes Garmin Fan, Inc.
Freecorder Toolbar 3.02 Application Applian Technologies Inc. 3.02
Garmin City Navigator Europe NT 2009.11 Update Garmin Ltd or its subsidiaries 12.11.0.0
Garmin Communicator Plugin Garmin Ltd or its subsidiaries 2.6.1
Garmin POI Loader Garmin Ltd or its subsidiaries 2.5.3.0
Garmin USB Drivers Garmin Ltd or its subsidiaries 1.0.0.0
Garmin WebUpdater Garmin Ltd or its subsidiaries 2.4.2
Gigabyte Raid Configurer Gigabyte Technology Corp. 1.00.0000
Google Desktop Google 5.9.0909.30391
Google Earth Google 5.1.7894.7252
Google Toolbar for Internet Explorer Google Inc.
Google Updater Google Inc. 2.4.1536.6592
GooglePreviewIE Toolbar 3.3.0.1
GPSMaps Bhutan 1.0
HDGraph JYL2002 1.0.1
High Definition Audio Driver Package - KB888111 Microsoft Corporation 20040219.000000
HijackThis 2.0.2 TrendMicro 2.0.2
iColorFolder
ID3-TagIT 3 Michael Pluemper 3
Java(TM) 6 Update 3 Sun Microsystems, Inc. 1.6.0.30
Java(TM) 6 Update 5 Sun Microsystems, Inc. 1.6.0.50
Jing TechSmith Corporation 2.2.9348
K-Lite Codec Pack 5.5.1 (Full) 5.5.1
LimeWire 5.3.6 Lime Wire, LLC 5.3.6
MAGIX 3D Maker (embeded) MAGIX AG 6.0.0.8
MAGIX Foto Manager 2008 5.0.0.255 (D) MAGIX AG 5.0.0.255
MAGIX Fotobuch 3.2 MAGIX AG 3.2
MAGIX Fotos auf CD & DVD 9 deluxe Download-Version 9.0.0.19 (D) MAGIX AG 9.0.0.19
MAGIX Music Editor 2.0 2.0.4.0 (D) MAGIX AG 2.0.4.0
MAGIX Online Druck Service MAGIX AG 3.4.3.0
MAGIX PC Check & Tuning 2010 Download-Version 5.0.24.689 (D) MAGIX AG 5.0.24.689
MAGIX PC Visit MAGIX AG 4.3.6.1987
MAGIX Screenshare MAGIX AG 4.3.6.1987
MAGIX Xtreme Druck Center 5.0.0.6488 (D) MAGIX AG 5.0.0.6488
Manual CanoScan LiDE 35
MapSource Product Install 4.00
MediaCoder 0.7.2.4582 Broad Intelligence 0.7.2.4582
Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft Corporation
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 1
Microsoft Office Professional Edition 2003 Microsoft Corporation 11.0.5614.0
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 9.0.30729
MP3Find pro v4.93 http://www.mp3find-online.de 4.93.001
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 4.20.9848.0
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 4.20.9876.0
MSXML 6.0 Parser (KB933579) Microsoft Corporation 6.10.1200.0
Multimedia Card Reader 1.16
NepalTOPO Basemap 2.00 Free-Version NepalGPSMap / Michael Schlenstedt 2.00
Nero 7 Premium Nero AG 7.02.1290
Nokia Connectivity Cable Driver Nokia 7.0.2.0
NVIDIA Display Control Panel NVIDIA Corporation 1.6
NVIDIA Drivers NVIDIA Corporation 1.10
NVIDIA nView Desktop Manager NVIDIA Corporation 6.14.10.00
OmniPage SE ScanSoft, Inc. 2.00.0000
Opera 10.10 Opera Software ASA 10.10
PC Connectivity Solution Nokia 8.22.7.0
Picasa 3 Google, Inc. 3.1
PimpFish 2010 Zabersoft, Inc. 6.0.0
POI PILOT 3000 GPS-Warner 1.012 POICON GmbH & Co. KG
PowerDirector CyberLink Corp. 6.0.2319
Prevx Prevx 3.0.5.28
ProtectDisc Helper Driver 10 10.0.0.3
QuickTime Apple Inc. 7.65.17.80
REALTEK GbE & FE Ethernet PCI-E NIC Driver Realtek 1.11.0000
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 5.10.0.5449
Riva FLV Player Rothenberger & Partner 1.0.0000
Sicherheitsupdate für Windows Media Encoder (KB954156) Microsoft Corporation
Silicon Laboratories CP210x VCP Drivers for Windows 2000/XP/2003 Server/Vista Silicon Laboratories, Inc. 5.40
SmartSound Quicktracks Plugin SmartSound Software Inc 3.0.3.0
SopCast 3.0.3 SopCast.com 3.0.3
Spybot - Search & Destroy Safer Networking Limited 1.6.2
System Requirements Lab
Topo Deutschland v2 Garmin Deutschland GmbH 2.00
TuneUp Utilities 2007 TuneUp Software 6.0.2311
TVUPlayer 2.4.1.0 TVU networks 2.4.1.0
Ulead PhotoImpact 10 Ulead System 10.0
VideoLAN VLC media player 0.8.6b VideoLAN Team 0.8.6b
Vuze Toolbar Vuze, Inc. 4.1.0.5
Windows Driver Package - Garmin (grmnusb) GARMIN Devices (03/08/2007 2.2.1.0) Garmin 03/08/2007 2.2.1.0
Windows Internet Explorer 8 Microsoft Corporation 20090308.140743
Windows Media Encoder 9-Reihe
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3 Microsoft Corporation 20080414.031514
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0) Nokia 08/22/2008 7.0.0.0
WinRAR
WOT für Internet Explorer Against Intuition Oy 8.2.14.0
XP-Clean Express www.xpclean.de 1.1.0
ZoneAlarm Check Point, Inc 8.0.298.000
ZoneAlarm Spy Blocker ZoneAlarm
Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 21:53:18
Windows 5.1.2600 Service Pack 3
Running: qusnhg66.exe; Driver: C:\DOKUME~1\sepperl\LOKALE~1\Temp\kwairfog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwAssignProcessToJobObject [0xB81F91CC]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwConnectPort [0xA5C61FC0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateFile [0xA5C5EC80]
SSDT B86B6026 ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreatePort [0xA5C62580]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwCreateThread [0xB81F9206]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xA5C62670]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xA5C5F210]
SSDT B86B602B ZwDeleteKey
SSDT B86B6035 ZwDeleteValueKey
SSDT spmk.sys ZwEnumerateKey [0xB7ECDDA4]
SSDT spmk.sys ZwEnumerateValueKey [0xB7ECE132]
SSDT B86B603A ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xA5C79F90]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwOpenFile [0xA5C5F070]
SSDT spmk.sys ZwOpenKey [0xB7EB50C0]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenProcess [0xB81F951A]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwOpenThread [0xB81F93F6]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwProtectVirtualMemory [0xB81F9292]
SSDT spmk.sys ZwQueryKey [0xB7ECE20A]
SSDT spmk.sys ZwQueryValueKey [0xB7ECE08A]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRenameKey [0xA5C7A6F0]
SSDT B86B6044 ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xA5C61BE0]
SSDT B86B603F ZwRestoreKey
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwSetContextThread [0xB81F918E]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xA5C5F440]
SSDT B86B6030 ZwSetValueKey
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateProcess [0xB81F964E]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwTerminateThread [0xB81F9316]
SSDT \SystemRoot\System32\drivers\pxrts.sys (Prevx Realtime Security/Prevx) ZwWriteVirtualMemory [0xB81F934E]
INT 0x62 ? 8A53EBF8
INT 0x63 ? 8A21DF00
INT 0x73 ? 8A53EBF8
INT 0x73 ? 8A53EBF8
INT 0x73 ? 8A540BF8
INT 0x73 ? 8A21DF00
INT 0x73 ? 8A53EBF8
INT 0x82 ? 8A53EBF8
INT 0x83 ? 8A21DF00
INT 0x94 ? 8A21DF00
INT 0xB4 ? 8A21DF00
INT 0xB4 ? 8A21DF00
INT 0xB4 ? 8A21DF00
INT 0xB4 ? 8A21DF00
---- Kernel code sections - GMER 1.0.15 ----
? spmk.sys Das System kann die angegebene Datei nicht finden. !
.rsrc C:\WINDOWS\system32\drivers\jraid.sys entry point in ".rsrc" section [0xB80E3700]
? srescan.sys Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB4FAA380, 0x5414D5, 0xE8000020]
.text USBPORT.SYS!DllUnload B4F8A8AC 5 Bytes JMP 8A21D4E0
.reloc C:\WINDOWS\system32\drivers\acehlp10.sys section is executable [0xB4F11B80, 0x37FC7, 0xE0000060]
init C:\WINDOWS\System32\Drivers\sunkfilt.sys entry point in "init" section [0xB83A02E0]
.reloc C:\WINDOWS\system32\drivers\acedrv10.sys section is executable [0xA5389000, 0x459C1, 0xE0000060]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xA5156300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB410D300, 0x1B7E, 0xE8000020]
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EB6042] spmk.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EB613E] spmk.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EB60C0] spmk.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EB6800] spmk.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EB66D6] spmk.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7EC5B90] spmk.sys
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [A5C64E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [A5C66B20] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [A5C66930] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [A5C67260] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A4E01F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9D5C206D-3C3A-45B9-A6FE-12DFEFE2CB12} 8A0FE500
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device \Driver\usbuhci \Device\USBPDO-0 8A1DA500
Device \Driver\usbuhci \Device\USBPDO-1 8A1DA500
Device \Driver\usbuhci \Device\USBPDO-2 8A1DA500
Device \Driver\usbehci \Device\USBPDO-3 8A3911F8
Device \Driver\usbuhci \Device\USBPDO-4 8A1DA500
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
AttachedDevice \Driver\Tcpip \Device\Tcp pxrts.sys (Prevx Realtime Security/Prevx)
Device \Driver\usbuhci \Device\USBPDO-5 8A1DA500
Device \Driver\usbuhci \Device\USBPDO-6 8A1DA500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A4E21F8
Device \Driver\usbehci \Device\USBPDO-7 8A3911F8
Device \Driver\Cdrom \Device\CdRom0 8A3061F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A4E21F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A4E21F8
Device \Driver\atapi \Device\Ide\IdePort0 [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort3 [B7E2EB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A0FE500
Device \Driver\NetBT \Device\NetbiosSmb 8A0FE500
Device \Driver\NetBT \Device\NetBT_Tcpip_{6BFB8EFA-3983-4DBE-9299-329D32CF6746} 8A0FE500
Device \Driver\USBSTOR \Device\00000094 8A266468
Device \Driver\USBSTOR \Device\00000095 8A266468
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device \Driver\USBSTOR \Device\00000096 8A266468
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device \Driver\USBSTOR \Device\00000097 8A266468
Device \Driver\USBSTOR \Device\00000098 8A266468
Device \Driver\usbuhci \Device\USBFDO-0 8A1DA500
Device \Driver\USBSTOR \Device\00000099 8A266468
Device \Driver\usbuhci \Device\USBFDO-1 8A1DA500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89EC6408
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)
Device \Driver\usbuhci \Device\USBFDO-2 8A1DA500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89EC6408
Device \Driver\usbehci \Device\USBFDO-3 8A3911F8
Device \Driver\usbuhci \Device\USBFDO-4 8A1DA500
Device \Driver\Ftdisk \Device\FtControl 8A4E21F8
Device \Driver\usbuhci \Device\USBFDO-5 8A1DA500
Device \Driver\usbuhci \Device\USBFDO-6 8A1DA500
Device \Driver\usbehci \Device\USBFDO-7 8A3911F8
Device \Driver\USBSTOR \Device\0000009a 8A266468
Device \FileSystem\Cdfs \Cdfs 8A0FB390
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x29 0xF1 0x2A ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x72 0x8A 0xEE 0x37 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8A 0x16 0x70 0xFC ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x30 0xD2 0x85 0x57 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xE0 0x29 0xF1 0x2A ...
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\jraid.sys suspicious modification
---- EOF - GMER 1.0.15 ----
http://www.file-upload.net/download-2148765/Gmerscan.txt.html Gruss und vielen Dank schonmal, dass du dich meinem Problem annimmst!!! |
|
11.01.2010, 18:22
| #4 | |
| /// Helfer-Team | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall hi 1. Code:
ATTFilter Azureus Vuze
LimeWire
Zitat:
 2. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig!) danach deinstalliere: `Systemsteuerung → Software → Ändern/Entfernen...` Code:
ATTFilter Java(TM) 6 Update 3
Java(TM) 6 Update 5
um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader 4. Folgende Ergebnisse möchte ich noch sehen: Code:
ATTFilter VundoFix.txt
avenger.txt
"Start--> Ausführen" dann folgende Befehl bitte eingeben: cmd --> ok es öffnet sich ein Kommando-Fenster danach folgende Befehl eingeben und nach jedem Befehl die Eingabetaste [Enter] drücken: Code:
ATTFilter sc stop ASKService
sc delete ASKService
sc stop ASKUpgrade
sc delete ASKUpgrade
6. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe <-falsch noch existiert
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe <-falsch noch existiert
O24 - Desktop Component 1: (no name) - http://www.gmx.net/ <- wenn nicht absichtlich gelegt von dir
Eine ganze Menge BHO`s & Toolbars  - im Logfile HijackThis unter 02 u. 03 aufgelistet: - Immer mehr Programme bringen eine Toolbar mit.(wie z.B. Google, Yaho,Messenger, Winamp, Adobe Reader usw). Manche Zustimmung der User installiert, manche wieder ohne Wissen des Benutzers Viele davon sehr fehleranfällig und fressen eine Menge an Systemressourcen. Zur funktionstüchtigen Installation der jeweiligen Software ist Toolbar aber nicht notwendig, zudem die meisten modernen Browser mit vielen zusätzlichen Funktionen ausgestattet sind. Ausserdem die dazugehörigen Programme, funktionieren auch ohne...- Man kann sie deinstallieren oder mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen 8. - Überflüssige Dienste belasten nur den Prozessor und Arbeitsspeicher, daher solltest Du abschalten: Code:
ATTFilter O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c8ff9e55dc318e) (gupdate1c8ff9e55dc318e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. 9. Nicht nötig -> C:\WINDOWS\tasks: Code:
ATTFilter Ad-Aware Update (Weekly).job
Ad-Aware Update (Daily 1).job
Ad-Aware Update (Daily 2).job
Ad-Aware Update (Daily 3).job
Ad-Aware Update (Daily 4).job
poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! |
|
11.01.2010, 21:56
| #5 |
| | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hi, Vielen Dank schon mal so weit!! Ich habe versucht soweit alles abzuarbeiten: Azureus und Limewire sind weg, Java und Adobe Reader haben ein update bekommen, altes Java ist weg. Askservice und die anderen Dienste und tolbars habe ich wie beschrieben entfernt, bzw über die Verwaltung auf manuell geschaltet (die meisten waren das allerdings schon). Punkt 4 habe ich nicht ganz verstanden: Was meinst du mit VundoFix.txt und avenger.txt? Folgendes habe ich gemacht: Ich habe Avenger.exe heruntergeladen und laufen lassen (Wlan und Internet weg, Zonealarm und Antivir deaktiviert: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
Ergebnis war die Meldung, dass es keinen infizierten File gibt. Am Ende noch ein neuer Lauf mit Hijackthis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:36:28, on 11.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Prevx\prevx.exe C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Multimedia Card Reader\shwicon2k.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\system32\WinSys.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TechSmith\Jing\Jing.exe C:\Programme\Prevx\prevx.exe C:\Programme\trend micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SW24] "C:\WINDOWS\system32\sw24.exe" O4 - HKLM\..\Run: [SW20] "C:\WINDOWS\system32\sw20.exe" O4 - HKLM\..\Run: [Sunkist2k] "C:\Programme\Multimedia Card Reader\shwicon2k.exe" O4 - HKLM\..\Run: [RTHDCPL] "RTHDCPL.EXE" O4 - HKLM\..\Run: [Alcmtr] "ALCMTR.EXE" O4 - HKLM\..\Run: [AVMWlanClient] "C:\Programme\avmwlanstick\wlangui.exe" O4 - HKLM\..\Run: [WinSys] "C:\WINDOWS\system32\WinSys.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [36X Raid Configurer] "C:\WINDOWS\system32\xRaidSetup.exe" boot O4 - HKLM\..\Run: [JMB36X IDE Setup] "C:\WINDOWS\RaidTool\xInsIDE.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Jing] C:\Programme\TechSmith\Jing\Jing.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: AutoHotkey Script.ahk O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll O9 - Extra button: FreshDownload - {5D29A8B8-2C1F-4186-BAE1-AC4DBEFF0AB6} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: ProxyPick - {FF819DA3-FF82-FF44-ADF5-6EF17ECF3C6E} - "C:\Programme\IEToys\ProxyPick.exe" (file missing) O9 - Extra 'Tools' menuitem: ProxyPick - {FF819DA3-FF82-FF44-ADF5-6EF17ECF3C6E} - "C:\Programme\IEToys\ProxyPick.exe" (file missing) O9 - Extra button: Immediately wipe all browsing history - {FFFFFF9F-A66E-4D5D-996F-1A4450298FFF} - C:\Programme\IEToys\ClearTracks.dll O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.inforiviera.it/new_webcam/AxisCamControl.ocx O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programme\WOT\WOT.dll (file missing) O20 - AppInit_DLLs: C:\PROGRA~1\Google\GO333C~1\GOEC62~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe O23 - Service: Google Desktop Manager 5.9.909.30391 (GoogleDesktopManager-093009-130223) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Update Service (gupdate1c8ff9e55dc318e) (gupdate1c8ff9e55dc318e) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O24 - Desktop Component 1: (no name) - http://www.gmx.net/ -- End of file - 10873 bytes Nun noch zwei Beobachtungen nach mehreren Systemneustarts: - Es kommt nur noch ein Fund, der des Crypt.ZPACK.Gen (tdlcmd.dll in System32). - Avira bringt ziemlich exakt 5 Minuten nach dem Start des Guards die Meldung zu diesem Fund, das scheint zeitlich reproduzierbar ohne dass ich irgendwas am System mache (hab´extra gewartet). Warte auf neue Instruktionen, Gruss und Vielen Dank. |
|
12.01.2010, 23:44
| #6 |
| /// Helfer-Team | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall hi VundoFix und Avenger waren auf dem Rechner installiert bzw hast Du schon (früher) laufen lassen - Kannst Du den Bericht von Avira (nur den Auszug wo der [FUND] steht) hier posten? 1. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
2. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben |
|
14.01.2010, 18:27
| #7 |
| | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hi, Die letzte Fund-Meldung (13.01. 23:20) von Avira lautet: Code:
ATTFilter In der Datei 'C:\WINDOWS\system32\tdlcmd.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 10. Januar 2010 11:44
Es wird nach 1512108 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SEPPERL-A627005
Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:26:46
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:26:47
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 18:26:48
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 18:26:48
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 18:26:48
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 18:26:48
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 18:26:48
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 18:26:48
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 18:26:48
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 18:26:48
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 18:26:48
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 18:26:48
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 18:26:48
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 10:27:26
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 13:15:20
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 13:15:21
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 13:15:21
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 13:15:21
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 13:15:22
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:15:22
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 13:15:22
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 18:42:41
VBASE022.VDF : 7.10.2.132 2048 Bytes 07.01.2010 18:42:41
VBASE023.VDF : 7.10.2.133 2048 Bytes 07.01.2010 18:42:41
VBASE024.VDF : 7.10.2.134 2048 Bytes 07.01.2010 18:42:41
VBASE025.VDF : 7.10.2.135 2048 Bytes 07.01.2010 18:42:41
VBASE026.VDF : 7.10.2.136 2048 Bytes 07.01.2010 18:42:41
VBASE027.VDF : 7.10.2.137 2048 Bytes 07.01.2010 18:42:42
VBASE028.VDF : 7.10.2.138 2048 Bytes 07.01.2010 18:42:42
VBASE029.VDF : 7.10.2.139 2048 Bytes 07.01.2010 18:42:42
VBASE030.VDF : 7.10.2.140 2048 Bytes 07.01.2010 18:42:42
VBASE031.VDF : 7.10.2.151 146944 Bytes 08.01.2010 10:59:15
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 15.09.2009 18:46:54
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 04.01.2010 17:58:42
AESCN.DLL : 8.1.3.0 127348 Bytes 02.01.2010 13:15:26
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 18:26:50
AERDL.DLL : 8.1.3.4 479605 Bytes 02.01.2010 13:15:26
AEPACK.DLL : 8.2.0.4 422263 Bytes 04.01.2010 17:58:37
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 16.07.2009 08:49:48
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 09.01.2010 10:59:17
AEHELP.DLL : 8.1.9.0 237943 Bytes 02.01.2010 13:15:24
AEGEN.DLL : 8.1.1.83 369014 Bytes 04.01.2010 17:58:13
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 10:03:16
AECORE.DLL : 8.1.9.1 180598 Bytes 02.01.2010 13:15:23
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +JOKE,+PCK,+SPR,
Beginn des Suchlaufs: Sonntag, 10. Januar 2010 11:44
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '62575' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AutoHotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Jing.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleDesktop.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinSys.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanGUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shwicon2k.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StartSkysolSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'prevx.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTNtService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLanNetService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '62' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI\qc.csi
[0] Archivtyp: HIDDEN
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b77b11a.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
--> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI\qc.csi
[1] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.bxz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SP\sp.dll_
[FUND] Ist das Trojanische Pferd TR/Proxy.Agent.bxz
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4b77b12c.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Laufwerk D>
D:\System Volume Information\_restore{EB371F45-D097-4EA5-AF67-9BBA75335873}\RP358\A0057427.exe
[0] Archivtyp: CAB SFX (self extracting)
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> \DEFAULT.REG
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> \Data1.cab
[1] Archivtyp: CAB (Microsoft)
--> _D35B662D103AF869E0DCB00A87C454B0
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
D:\System Volume Information\_restore{EB371F45-D097-4EA5-AF67-9BBA75335873}\RP358\A0057436.exe
[0] Archivtyp: CAB SFX (self extracting)
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> \DEFAULT.REG
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
--> \Data1.cab
[1] Archivtyp: CAB (Microsoft)
--> _D35B662D103AF869E0DCB00A87C454B0
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'F:\' <External HDD>
Ende des Suchlaufs: Sonntag, 10. Januar 2010 12:57
Benötigte Zeit: 1:12:49 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
11351 Verzeichnisse wurden überprüft
636739 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
636735 Dateien ohne Befall
7100 Archive wurden durchsucht
10 Warnungen
3 Hinweise
62575 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3556
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14.01.2010 18:05:48
mbam-log-2010-01-14 (18-05-48).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 259571
Laufzeit: 40 minute(s), 26 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96afbe69-c3b0-4b00-8578-d933d2896ee2} (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\WinSys.exe (Trojan.Agent) -> Delete on reboot.
Kaspersky habe ich schon am Wochenende drüberlaufen lassen, da hiess es danach, dass es keinerlei Fund gaebe. Werde nachher nochmal Avira und Malwarebytes laufen lassen und berichten, ob sich wieder was findet, bzw ob wieder Probleme auftreten. Also ich weiss ja nicht, aber momentan sieht es gut aus! Was denkst du? Gruss und tausend Dank für deine Vorschlaege soweit |
|
15.01.2010, 08:11
| #8 |
| /// Helfer-Team | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall hi ist Dir bekannt?: Code:
ATTFilter O4 - Startup: AutoHotkey Script.ahk
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar. **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
2. reinige dein System mit Ccleaner:
3.
** Hast du sonst Probleme mit deinem Rechner? |
|
03.02.2010, 19:45
| #9 |
| | PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall Hi, Habe nun länger nicht geantwortet, der Grund war, dass ich eine Woche nicht da war und nun auch beschlossen habe, das System am besten ganz neu aufzusetzen. Ich hatte plötzlich Probleme mit einigen Accounts und auch ein deutlich instabileres System (Freezing und plötzlicher Neustart des PC). Was ich noch herausfand ist, dass ich wohl irgendwann (unbewusst) die "Askbar" als toolbar mitinstalliert habe und genau seitdem die Probleme habe. Diese habe ich auch letztendlich wegbekommen, aber nicht alle Probleme. Opera hat trotzdem nicht mehr sauber funktioniert (z.B. redirecting von Google). Also habe ich vor einer Woche alles plattgemacht und neu aufgesetzt. Naja, jetzt ist alles wieder stabil und ich danke dir sehr für deine Hilfe!! Viele Grüsse |
|
| Themen zu PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall |
| antivir, antivir guard, befall, c:\windows, crypt.zpack.gen, datei, explorer, gen, google, guard, highjack, highjackthis, hilfe!, hilfe!!, internet, internet explorer, links, log, probleme, programm, system, system32, trojan, trojaner, trojaner befall, unerwünschtes programm, virus |
Linear-Darstellung
