Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.10.2010, 07:36   #1
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo,
ich bin neu hier und habe (natürlich) ein Trojaner-Problem.
AntiVir Guard schlug Alarm und hat im Verzeichnis c:\windows\temp\ mehrere infizierte Dateien festgestellt (tMPDC5.tmp und weitere). Eine vollständige Systemprüfung mit AntiVir bringt die gleiche Meldung und täuscht eine Reparatur an, danach aber der gleiche Fehler immer noch. Außerdem wird die Systemprüfung nicht als solche in die AntiVir - Statistik übernommen.

Habe dann aus anderen Beiträgen hier im Forum entnommen, dass zunächst ein Check mit Malwarebytes durchzuführen ist. Ergebnis siehe unten, hat nichts gefunden.

Kann mir jemand helfen, das Problem zu lösen (möglichst ohne format c?

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4726

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

04.10.2010 07:45:35
mbam-log-2010-10-04 (07-45-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 268636
Laufzeit: 1 Stunde(n), 11 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 04.10.2010, 10:00   #2
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo nochmal an das Trojanerboard,
habe zwischenzeitlich nach Anleitung in anderen Themen OTL ausgeführt, hier die beiden Logs. Hoffentlich hilft das schon mal weiter, vielen Dank im Voraus.

OTL.txtOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 04.10.2010 10:53:36 - Run 2
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Users\Jens\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 50,00% Memory free
6,00 Gb Paging File | 4,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 97,68 Gb Total Space | 45,93 Gb Free Space | 47,03% Space Free | Partition Type: NTFS
Drive D: | 200,41 Gb Total Space | 161,08 Gb Free Space | 80,37% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: JENS-PC3
Current User Name: Jens
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Jens\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
PRC - C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
PRC - C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Sun\StarOffice 8\program\soffice.bin (Sun Microsystems, Inc.)
PRC - C:\Programme\Sun\StarOffice 8\program\soffice.exe (Sun Microsystems, Inc.)
PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Programme\Lexmark X1100 Series\LXBKbmgr.exe (Lexmark International, Inc.)
PRC - C:\Programme\Lexmark X1100 Series\LXBKbmon.exe (Lexmark International, Inc.)
PRC - C:\Windows\System32\lxbkcoms.exe ( )
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - C:\Programme\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Programme\Common Files\microsoft shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Jens\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Spyware Doctor\smum32.dll (PC Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)

-------------------------------------
Extras.txt

OTL Extras logfile created on: 04.10.2010 10:53:36 - Run 2
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Users\Jens\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 50,00% Memory free
6,00 Gb Paging File | 4,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 97,68 Gb Total Space | 45,93 Gb Free Space | 47,03% Space Free | Partition Type: NTFS
Drive D: | 200,41 Gb Total Space | 161,08 Gb Free Space | 80,37% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: JENS-PC3
Current User Name: Jens
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{215BBB37-6CE8-4572-A7BA-B8AC12711A04}" = lport=445 | protocol=6 | dir=in | app=system | 
"{57B7BB4C-416D-410A-BEFE-73317C75ACB9}" = rport=139 | protocol=6 | dir=out | app=system | 
"{72134DE0-136C-4F7B-A28F-7EC0F1D5C9DF}" = lport=139 | protocol=6 | dir=in | app=system | 
"{94C87F7C-B979-4954-92F1-21353C1B7473}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{954F6FC6-149D-406D-BA8D-6FB4E656D3BA}" = rport=137 | protocol=17 | dir=out | app=system | 
"{A6CE2859-70CE-43B7-A1EF-F53636D185A0}" = rport=445 | protocol=6 | dir=out | app=system | 
"{B992E8BF-437D-476D-A3AC-E81BFE7A10FC}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{DFC0F22A-B395-426E-BEA7-344CB261BDBD}" = rport=138 | protocol=17 | dir=out | app=system | 
"{E041CB96-92AC-4999-BD15-FE4539C38E10}" = lport=138 | protocol=17 | dir=in | app=system | 
"{FE442EEA-E5AD-4ABD-B2D1-A9BACDA66D23}" = lport=137 | protocol=17 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1DAB1F24-C50D-4E61-9745-FB1F50051185}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{2CE3DE11-04E9-4758-9315-0081BAC9A5A9}" = protocol=17 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbkpswx.exe | 
"{4756245A-6E8E-4D0D-BA07-72EDF2B04801}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{64836186-2F84-44E0-A882-FA36F7328F16}" = protocol=6 | dir=in | app=c:\windows\system32\lxbkcoms.exe | 
"{75F4FDA5-7969-4D42-B335-A0C128D6E97A}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{B3EFF85E-7236-44E5-9511-D879D41FA0C2}" = protocol=17 | dir=in | app=c:\windows\system32\lxbkcoms.exe | 
"{CA2E671E-7DDA-404C-B8DA-477F4788940E}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{EFEE7644-2834-4E60-B0AD-B4F443F4392B}" = protocol=6 | dir=in | app=c:\windows\system32\spool\drivers\w32x86\3\lxbkpswx.exe | 
"TCP Query User{739E4165-FFC3-4734-B504-13085B7FF271}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"UDP Query User{7B3E0358-65CD-4D44-AE04-2BBADC84FE24}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0341796A-9224-48FB-AAE1-4079C7AE375E}" = DDXGDIRenderer
"{18A64EE3-F1FE-46F3-AAE1-8CDB35B6038B}" = Surfer 8
"{1B58B8BC-F6E5-4E9F-8A60-BFD1CEE3E04F}" = StarOffice 8
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21
"{2CCBABCB-6427-4A55-B091-49864623C43F}" = Google Toolbar for Firefox
"{3176ACF5-CA26-44F0-BFFF-2825C2F44FEC}" = itwh KOSTRA-DWD 2000 2.2
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java(TM) 6 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{3925DA22-2D9E-4AD4-9078-876120FE5FC6}" = SVGExport
"{43721D86-16D1-46BF-8353-37CD82333BC3}" = OpenOffice.org 2.4
"{45873324-094C-4516-A84A-134A175A1CD6}" = PDFExport
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{779C40FF-9211-427B-A5C4-2026B85A1031}" = Nero 7 Essentials
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{82C357CA-161E-46CD-B36F-B66F6808B7C3}" = TC Cryptographic Message Viewer
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{92377672-DF6E-4D7C-AFFC-50B01254C488}" = DDXViewX
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9D32C93E-7D80-497B-8772-47B0512D93B1}" = itwh KOSTRA-DWD 2000
"{A02F2188-4962-4E1A-BB0D-5982774361D7}" = DGN DWG Converter
"{A7385936-7917-4210-9471-ECDF300D1D02}" = DWGDirectX Core
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B790698B-A759-4417-A6CC-1EA5A5466B74}" = Top50 V5 Viewer
"{C51496B3-E15E-41D8-B812-9492E4EC86E0}" = DDX DWF Support
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1696920-9794-4BBC-8A30-7A88763DE5A2}" = ABBYY FineReader 5.0 Sprint
"{D28B6D85-C43A-473D-99AA-3EFCE92C79C6}" = TurboCAD 2D/3D V.15
"{EA68992B-273F-4692-B24E-FDE423760A2B}" = Geogrid®-Viewer
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"7-Zip" = 7-Zip 4.57
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe SVG Viewer" = Adobe SVG Viewer 3.0
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"AutoCAD LT 2000 - Deutsch Deinstaller" = AutoCAD LT 2000 - Deutsch
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS DVD Player_is1" = AVS DVD Player version 2.4
"CrystalReports" = Crystal Reports for ESRI
"DeInst_d2vexcrdTop50 Viewer (Build 1.1.5.596)" = Top50 Viewer
"FileZilla Client" = FileZilla Client 3.3.4.1
"Google Updater" = Google Updater
"IDATLab Demoversion" = IDATLab Demoversion
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.9.5 (Full)
"Lexmark X1100 Series" = Lexmark X1100 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"NetworkDeinstKey" = ArcView Network Analyst Version 1.0
"NVIDIA Drivers" = NVIDIA Drivers
"ODBC" = ODBC
"OziExplorer 3.95_is1" = OziExplorer 3.95
"PDF Blender" = PDF Blender
"Picasa 3" = Picasa 3
"Profil Tec_is1" = Profil Tec 6.4
"SpatialDeinstKey" = ArcView Spatial Analyst Version 1.0
"Spyware Doctor" = Spyware Doctor 7.0
"ST6UNST #1" = Höhlenkataster THV
"ST6UNST #2" = Höhlenkataster THV (c:\Program Files\THVkataster\)
"UTAX TA Product Library" = UTAX TA Product Library
"XnView_is1" = XnView 1.93.6
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"ArcView GIS Version 3.1" = ArcView GIS Version 3.1
"pdfsam" = pdfsam
"Sachsenatlas - Java-Kartenclient - 3.4.3" = Sachsenatlas - Java-Kartenclient - 3.4.3
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 27.09.2010 00:33:14 | Computer Name = Jens-PC3 | Source = WinMgmt | ID = 10
Description = 
 
Error - 27.09.2010 00:33:16 | Computer Name = Jens-PC3 | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 27.09.2010 09:20:38 | Computer Name = Jens-PC3 | Source = WinMgmt | ID = 10
Description = 
 
Error - 27.09.2010 09:20:42 | Computer Name = Jens-PC3 | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 28.09.2010 00:39:51 | Computer Name = Jens-PC3 | Source = WinMgmt | ID = 10
Description = 
 
Error - 28.09.2010 00:39:56 | Computer Name = Jens-PC3 | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 29.09.2010 00:41:56 | Computer Name = Jens-PC3 | Source = WinMgmt | ID = 10
Description = 
 
Error - 29.09.2010 00:41:58 | Computer Name = Jens-PC3 | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
Error - 30.09.2010 00:43:25 | Computer Name = Jens-PC3 | Source = WinMgmt | ID = 10
Description = 
 
Error - 30.09.2010 00:43:25 | Computer Name = Jens-PC3 | Source = Microsoft-Windows-CAPI2 | ID = 131083
Description = 
 
[ System Events ]
Error - 01.10.2010 00:32:38 | Computer Name = Jens-PC3 | Source = Print | ID = 72
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Druckprozessor CIBpdfPP nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 01.10.2010 00:32:38 | Computer Name = Jens-PC3 | Source = Print | ID = 23
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Treiber "CIB pdf brewer" nicht gefunden wurde. Die neuen Druckereinstellungen,
 die Sie angegeben haben, sind bislang wirkungslos geblieben. Installieren Sie den
 Druckertreiber neu. Möglicherweise müssen Sie sich mit dem Hersteller in Verbindung
 setzen, um einen aktualisierten Treiber zu erhalten.
 
Error - 01.10.2010 04:42:45 | Computer Name = Jens-PC3 | Source = Print | ID = 72
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Druckprozessor CIBpdfPP nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 01.10.2010 04:42:45 | Computer Name = Jens-PC3 | Source = Print | ID = 23
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Treiber "CIB pdf brewer" nicht gefunden wurde. Die neuen Druckereinstellungen,
 die Sie angegeben haben, sind bislang wirkungslos geblieben. Installieren Sie den
 Druckertreiber neu. Möglicherweise müssen Sie sich mit dem Hersteller in Verbindung
 setzen, um einen aktualisierten Treiber zu erhalten.
 
Error - 01.10.2010 04:45:29 | Computer Name = Jens-PC3 | Source = Print | ID = 72
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Druckprozessor CIBpdfPP nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 01.10.2010 04:45:29 | Computer Name = Jens-PC3 | Source = Print | ID = 23
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Treiber "CIB pdf brewer" nicht gefunden wurde. Die neuen Druckereinstellungen,
 die Sie angegeben haben, sind bislang wirkungslos geblieben. Installieren Sie den
 Druckertreiber neu. Möglicherweise müssen Sie sich mit dem Hersteller in Verbindung
 setzen, um einen aktualisierten Treiber zu erhalten.
 
Error - 01.10.2010 06:12:51 | Computer Name = Jens-PC3 | Source = Print | ID = 72
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Druckprozessor CIBpdfPP nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 01.10.2010 06:12:51 | Computer Name = Jens-PC3 | Source = Print | ID = 23
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Treiber "CIB pdf brewer" nicht gefunden wurde. Die neuen Druckereinstellungen,
 die Sie angegeben haben, sind bislang wirkungslos geblieben. Installieren Sie den
 Druckertreiber neu. Möglicherweise müssen Sie sich mit dem Hersteller in Verbindung
 setzen, um einen aktualisierten Treiber zu erhalten.
 
Error - 04.10.2010 00:22:12 | Computer Name = Jens-PC3 | Source = Print | ID = 72
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Druckprozessor CIBpdfPP nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 04.10.2010 00:22:12 | Computer Name = Jens-PC3 | Source = Print | ID = 23
Description = Der Drucker CIB pdf brewer,0 konnte nicht initialisiert werden, da
 der Treiber "CIB pdf brewer" nicht gefunden wurde. Die neuen Druckereinstellungen,
 die Sie angegeben haben, sind bislang wirkungslos geblieben. Installieren Sie den
 Druckertreiber neu. Möglicherweise müssen Sie sich mit dem Hersteller in Verbindung
 setzen, um einen aktualisierten Treiber zu erhalten.
 
 
< End of report >
         
--- --- ---
__________________


Alt 04.10.2010, 10:05   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



- das OTL.txt ist unvollständig
- die Signaturen für Malwarebytes waren nicht wirklich aktuell; hast Du zuvor schonmal mit Malwarebytes gescannt und Logs für, wo Funde bei sind? bitte alle Logs posten
__________________
__________________

Alt 04.10.2010, 10:12   #4
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Sorry, hier zunächst die vollständige OTL.txt.OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 04.10.2010 10:53:36 - Run 2
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Users\Jens\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 50,00% Memory free
6,00 Gb Paging File | 4,00 Gb Available in Paging File | 72,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 97,68 Gb Total Space | 45,93 Gb Free Space | 47,03% Space Free | Partition Type: NTFS
Drive D: | 200,41 Gb Total Space | 161,08 Gb Free Space | 80,37% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: JENS-PC3
Current User Name: Jens
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Jens\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
PRC - C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
PRC - C:\Programme\Spyware Doctor\pctsTray.exe (PC Tools)
PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 2.4\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Sun\StarOffice 8\program\soffice.bin (Sun Microsystems, Inc.)
PRC - C:\Programme\Sun\StarOffice 8\program\soffice.exe (Sun Microsystems, Inc.)
PRC - C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
PRC - C:\Programme\Lexmark X1100 Series\LXBKbmgr.exe (Lexmark International, Inc.)
PRC - C:\Programme\Lexmark X1100 Series\LXBKbmon.exe (Lexmark International, Inc.)
PRC - C:\Windows\System32\lxbkcoms.exe ( )
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - C:\Programme\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - C:\Programme\Common Files\microsoft shared\VS7Debug\mdm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Jens\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Programme\Spyware Doctor\smum32.dll (PC Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.18005_none_5cb72f96088b0de0\comctl32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (sdCoreService) -- C:\Programme\Spyware Doctor\pctsSvc.exe (PC Tools)
SRV - (sdAuxService) -- C:\Programme\Spyware Doctor\pctsAuxs.exe (PC Tools)
SRV - (lxbk_device) -- C:\Windows\System32\lxbkcoms.exe ( )
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (IpInIp) -- C:\Windows\System32\DRIVERS\ipinip.sys File not found
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (PCTCore) -- C:\Windows\system32\drivers\PCTCore.sys (PC Tools)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IKSysSec) -- C:\Windows\System32\drivers\iksyssec.sys (PCTools Research Pty Ltd.)
DRV - (IKSysFlt) -- C:\Windows\System32\drivers\iksysflt.sys (PCTools Research Pty Ltd.)
DRV - (IKFileSec) -- C:\Windows\system32\drivers\ikfilesec.sys (PCTools Research Pty Ltd.)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\Windows\System32\drivers\RTKVHDA.sys (Realtek Semiconductor Corp.)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation)
DRV - (nvsmu) -- C:\Windows\system32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (MegaSR) -- C:\Windows\system32\drivers\megasr.sys (LSI Corporation, Inc.)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Corporation)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (nvraid) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (SynTP) -- C:\Windows\system32\drivers\syntp.sys (Synaptics, Inc.)
DRV - (ESDCR) -- C:\Windows\system32\drivers\esd7sk.sys (ENE Technology Inc.)
DRV - (ESMCR) -- C:\Windows\system32\drivers\esm7sk.sys (ENE Technology Inc.)
DRV - (EMSCR) -- C:\Windows\system32\drivers\ems7sk.sys (ENE Technology Inc.)
DRV - (O2MDRDR) -- C:\Windows\system32\drivers\o2media.sys (O2Micro )
DRV - (O2SDRDR) -- C:\Windows\system32\drivers\o2sd.sys (O2Micro )
DRV - (rismxdp) -- C:\Windows\system32\drivers\rixdptsk.sys (REDC)
DRV - (enecir) -- C:\Windows\system32\drivers\enecir.sys (ENE TECHNOLOGY INC.)
DRV - (btwavdt) -- C:\Windows\system32\drivers\btwavdt.sys (Broadcom Corporation.)
DRV - (btwrchid) -- C:\Windows\system32\drivers\btwrchid.sys (Broadcom Corporation.)
DRV - (rimmptsk) -- C:\Windows\system32\drivers\rimmptsk.sys (REDC)
DRV - (iaStor) -- C:\Windows\system32\drivers\iastor.sys (Intel Corporation)
DRV - (IFXTPM) -- C:\Windows\system32\drivers\ifxtpm.sys (Infineon Technologies AG)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (SiFilter) -- C:\Windows\system32\drivers\siwinacc.sys (Silicon Image, Inc.)
DRV - (SiRemFil) -- C:\Windows\system32\drivers\siremfil.sys (Silicon Image, Inc.)
DRV - (SI3132) -- C:\Windows\system32\drivers\si3132.sys (Silicon Image, Inc.)
DRV - (MTsensor) -- C:\Windows\system32\drivers\asacpi.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.gmx.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.1.20091029021655
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
 
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2009.11.20 08:09:21 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 11:19:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 11:19:29 | 000,000,000 | ---D | M]
 
[2008.08.01 11:15:32 | 000,000,000 | ---D | M] -- C:\Users\Jens\AppData\Roaming\mozilla\Extensions
[2010.10.04 08:31:11 | 000,000,000 | ---D | M] -- C:\Users\Jens\AppData\Roaming\mozilla\Firefox\Profiles\2955jmtg.default\extensions
[2009.09.03 06:50:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Jens\AppData\Roaming\mozilla\Firefox\Profiles\2955jmtg.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.06 06:50:55 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Users\Jens\AppData\Roaming\mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.06.30 10:29:09 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\Jens\AppData\Roaming\mozilla\Firefox\Profiles\2955jmtg.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.09.13 06:49:25 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.05.19 07:21:07 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.09.13 06:49:25 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ISTray] C:\Program Files\Spyware Doctor\pctsTray.exe (PC Tools)
O4 - HKLM..\Run: [lxbkbmgr.exe] C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe (Lexmark International, Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [PDFPrint] C:\Programme\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Skytel] C:\Windows\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Jens\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe ()
O4 - Startup: C:\Users\Jens\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.220.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: D:\Jens\Höfo\VDHK\JHV 2010\Huettenblaeser_13052010+(6).JPG
O24 - Desktop BackupWallPaper: D:\Jens\Höfo\VDHK\JHV 2010\Huettenblaeser_13052010+(6).JPG
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{bde58534-0ef5-11df-b078-001e90f54f4e}\Shell\AutoRun\command - "" = F:\cdinst.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.04 10:52:54 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\Jens\Desktop\OTL.exe
[2010.10.01 12:15:04 | 000,000,000 | ---D | C] -- C:\Users\Jens\AppData\Roaming\Malwarebytes
[2010.10.01 12:14:50 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.10.01 12:14:48 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.10.01 12:14:47 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.10.01 12:14:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.01 08:51:24 | 000,000,000 | ---D | C] -- C:\Users\Jens\AppData\Roaming\Avira
[2010.09.29 06:48:27 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll
[2010.09.24 10:40:05 | 000,000,000 | ---D | C] -- C:\Users\Jens\.pdfsam
[2010.09.24 09:36:01 | 000,000,000 | ---D | C] -- C:\Programme\pdfsam
[2010.09.16 07:12:29 | 000,317,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MP4SDECD.DLL
[2010.09.13 06:49:22 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2010.09.13 06:49:22 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2010.09.13 06:49:22 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2008.08.06 09:50:38 | 000,018,944 | ---- | C] ( ) -- C:\Windows\System32\IMPLODE.DLL
[2008.08.04 09:03:00 | 001,224,704 | ---- | C] ( ) -- C:\Windows\System32\lxbkserv.dll
[2008.08.04 09:03:00 | 000,991,232 | ---- | C] ( ) -- C:\Windows\System32\lxbkusb1.dll
[2008.08.04 09:03:00 | 000,643,072 | ---- | C] ( ) -- C:\Windows\System32\lxbkpmui.dll
[2008.08.04 09:03:00 | 000,585,728 | ---- | C] ( ) -- C:\Windows\System32\lxbklmpm.dll
[2008.08.04 09:03:00 | 000,413,696 | ---- | C] ( ) -- C:\Windows\System32\lxbkinpa.dll
[2008.08.04 09:03:00 | 000,397,312 | ---- | C] ( ) -- C:\Windows\System32\lxbkiesc.dll
[2008.08.04 09:03:00 | 000,323,584 | ---- | C] ( ) -- C:\Windows\System32\LXBKhcp.dll
[2008.08.04 09:03:00 | 000,163,840 | ---- | C] ( ) -- C:\Windows\System32\lxbkprox.dll
[2008.08.04 09:03:00 | 000,094,208 | ---- | C] ( ) -- C:\Windows\System32\lxbkpplc.dll
[2008.08.04 09:02:59 | 000,696,320 | ---- | C] ( ) -- C:\Windows\System32\lxbkhbn3.dll
[2008.08.04 09:02:59 | 000,684,032 | ---- | C] ( ) -- C:\Windows\System32\lxbkcomc.dll
[2008.08.04 09:02:59 | 000,421,888 | ---- | C] ( ) -- C:\Windows\System32\lxbkcomm.dll
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.04 10:55:00 | 000,000,434 | -H-- | M] () -- C:\Windows\tasks\User_Feed_Synchronization-{A989C7E0-47ED-4607-835E-D33DB646584F}.job
[2010.10.04 10:53:13 | 003,145,728 | -HS- | M] () -- C:\Users\Jens\NTUSER.DAT
[2010.10.04 10:40:09 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\Jens\Desktop\OTL.exe
[2010.10.04 10:22:06 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.10.04 10:22:06 | 000,004,784 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.10.04 06:27:53 | 001,418,806 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.10.04 06:27:53 | 000,618,204 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.10.04 06:27:53 | 000,586,980 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.10.04 06:27:53 | 000,122,636 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.10.04 06:27:53 | 000,101,052 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.10.04 06:25:18 | 000,001,052 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2010.10.04 06:22:07 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.10.04 06:22:03 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.10.04 06:21:59 | 2951,901,184 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.01 12:57:02 | 000,524,288 | -HS- | M] () -- C:\Users\Jens\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TMContainer00000000000000000001.regtrans-ms
[2010.10.01 12:57:02 | 000,065,536 | -HS- | M] () -- C:\Users\Jens\NTUSER.DAT{3a539871-6a70-11db-887c-d362bd253390}.TM.blf
[2010.10.01 12:56:42 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2010.10.01 12:56:23 | 004,141,888 | -H-- | M] () -- C:\Users\Jens\AppData\Local\IconCache.db
[2010.10.01 12:14:53 | 000,000,865 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.24 08:59:05 | 000,000,882 | ---- | M] () -- C:\Users\Jens\Desktop\PDF Blender.lnk
[2010.09.23 09:23:00 | 000,001,832 | ---- | M] () -- C:\Users\Public\Desktop\FileZilla Client.lnk
 
========== Files Created - No Company Name ==========
 
[2010.10.01 12:14:53 | 000,000,865 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2009.09.24 07:51:05 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2009.07.27 12:08:20 | 007,923,067 | R--- | C] () -- C:\Programme\uhydro16.ZIP
[2009.03.26 15:01:04 | 000,000,000 | ---- | C] () -- C:\Users\Jens\AppData\Roaming\AVSDVDPlayer.m3u
[2009.03.12 08:04:12 | 000,024,206 | ---- | C] () -- C:\Users\Jens\AppData\Roaming\UserTile.png
[2009.02.24 15:07:47 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2008.10.27 13:23:48 | 000,000,139 | ---- | C] () -- C:\Programme\INSTALL.LOG
[2008.09.23 07:14:55 | 000,000,768 | ---- | C] () -- C:\Windows\ODBC.INI
[2008.08.11 06:59:44 | 000,021,504 | ---- | C] () -- C:\Users\Jens\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.08.06 09:58:19 | 000,000,137 | ---- | C] () -- C:\Windows\CCChart.INI
[2008.08.06 09:50:40 | 000,036,352 | ---- | C] () -- C:\Windows\System32\P2BBND.DLL
[2008.08.06 09:50:38 | 000,064,512 | ---- | C] () -- C:\Windows\System32\ESRIR3.dll
[2008.08.06 08:32:39 | 000,000,000 | ---- | C] () -- C:\Windows\PROTOCOL.INI
[2008.08.06 08:32:13 | 000,000,514 | ---- | C] () -- C:\Windows\LUGRID.INI
[2008.08.04 09:04:10 | 000,000,101 | ---- | C] () -- C:\Windows\Lexstat.ini
[2008.08.04 09:03:00 | 000,413,696 | ---- | C] () -- C:\Windows\System32\lxbkutil.dll
[2008.08.04 09:03:00 | 000,274,432 | ---- | C] () -- C:\Windows\System32\LXBKinst.dll
[2008.08.01 14:25:43 | 000,000,000 | ---- | C] () -- C:\Windows\mtstack.INI
[2008.07.19 12:48:41 | 000,007,680 | ---- | C] () -- C:\Windows\System32\drivers\ASACPI.sys
[2008.07.19 12:48:13 | 000,016,480 | ---- | C] () -- C:\Windows\System32\rixdicon.dll
[2008.07.19 12:47:36 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2008.07.19 12:06:23 | 000,164,352 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2008.07.19 12:06:22 | 003,596,288 | ---- | C] () -- C:\Windows\System32\qt-dx331.dll
[2008.07.19 12:06:21 | 000,007,680 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll
[2008.07.19 12:06:21 | 000,000,547 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll.manifest
[2008.07.19 12:05:45 | 000,755,027 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.07.19 12:05:45 | 000,159,839 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2007.02.07 17:57:50 | 000,039,899 | ---- | C] () -- C:\Windows\System32\rtsicis.ini
[2007.01.22 08:49:34 | 000,344,064 | ---- | C] () -- C:\Windows\System32\lxbkcoin.dll
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2005.10.05 12:19:32 | 000,040,960 | ---- | C] () -- C:\Windows\System32\lxbkvs.dll
[2005.09.13 16:27:10 | 000,061,440 | ---- | C] () -- C:\Windows\System32\lxbkcnv5.dll
[2005.09.13 16:27:10 | 000,061,440 | ---- | C] () -- C:\Windows\System32\lxbkcnv4.dll
[1997.12.21 08:00:00 | 000,031,232 | ---- | C] () -- C:\Windows\System32\emfgen.dll
[1997.12.21 08:00:00 | 000,015,360 | ---- | C] () -- C:\Windows\System32\cdo32.dll
[1997.12.21 08:00:00 | 000,003,217 | ---- | C] () -- C:\Windows\crwd32.ini
[1997.07.10 03:32:58 | 000,056,832 | ---- | C] () -- C:\Windows\System32\vbiserv.dll
[1996.12.02 00:00:00 | 000,007,168 | ---- | C] () -- C:\Windows\System32\dtctrace.dll
[1996.06.07 11:07:14 | 000,043,008 | ---- | C] () -- C:\Windows\System32\ltfil60n.dll
[1996.06.07 11:07:14 | 000,019,456 | ---- | C] () -- C:\Windows\System32\lfwpg60n.dll
[1996.06.07 11:07:12 | 000,046,080 | ---- | C] () -- C:\Windows\System32\lftif60n.dll
[1996.06.07 11:07:12 | 000,019,968 | ---- | C] () -- C:\Windows\System32\lftga60n.dll
[1996.06.07 11:07:12 | 000,019,456 | ---- | C] () -- C:\Windows\System32\lfwmf60n.dll
[1996.06.07 11:07:10 | 000,110,080 | ---- | C] () -- C:\Windows\System32\lfpng60n.dll
[1996.06.07 11:07:10 | 000,023,552 | ---- | C] () -- C:\Windows\System32\lfpcx60n.dll
[1996.06.07 11:07:10 | 000,020,480 | ---- | C] () -- C:\Windows\System32\lfpsd60n.dll
[1996.06.07 11:07:08 | 000,022,528 | ---- | C] () -- C:\Windows\System32\lfpct60n.dll
[1996.06.07 11:07:08 | 000,018,432 | ---- | C] () -- C:\Windows\System32\lfmsp60n.dll
[1996.06.07 11:07:08 | 000,017,920 | ---- | C] () -- C:\Windows\System32\lfmac60n.dll
[1996.06.07 11:07:06 | 000,176,128 | ---- | C] () -- C:\Windows\System32\lffax60n.dll
[1996.06.07 11:07:04 | 000,141,824 | ---- | C] () -- C:\Windows\System32\lfcmp60n.dll
[1996.06.07 11:07:04 | 000,022,528 | ---- | C] () -- C:\Windows\System32\lfeps60n.dll
[1996.06.07 11:07:04 | 000,022,016 | ---- | C] () -- C:\Windows\System32\lfbmp60n.dll
[1995.01.13 05:10:00 | 000,210,944 | ---- | C] () -- C:\Windows\System32\msvcrt10.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:7E95B6FD
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:FA5F15C4
< End of report >
         
--- --- ---

Alt 04.10.2010, 11:15   #5
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



So, hab jetzt noch einen Scan mit Malwarebytes mit aktuellster Datenbank gemacht, logfile unten. Vorherige Scans gibt es nicht, also leider auch keine Befunde. Malwarebytes hat gleich beim ersten Mal nix gefunden. Bei diesem ersten Scan hatte ich AntiVir Guard noch im Hintergrund aktiv, der hat sich gemeldet, als Malwarebytes im Pfad C.\windows\temp angekommen war und hat die schon genannte Fehlermeldung wiederholt. Für den Scan von unten habe ich den AntiVir guard abgeschaltet.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4738

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

04.10.2010 12:10:54
mbam-log-2010-10-04 (12-10-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 267567
Laufzeit: 56 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 04.10.2010, 17:24   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O33 - MountPoints2\{bde58534-0ef5-11df-b078-001e90f54f4e}\Shell\AutoRun\command - "" = F:\cdinst.exe -- File not found
[2009.07.27 12:08:20 | 007,923,067 | R--- | C] () -- C:\Programme\uhydro16.ZIP
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:7E95B6FD
@Alternate Data Stream - 114 bytes -> C:\ProgramData\TEMP:FA5F15C4
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
--> TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp

Alt 05.10.2010, 05:49   #7
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo Arne,
hab OTL wie beschrieben ausgeführt:

All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bde58534-0ef5-11df-b078-001e90f54f4e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bde58534-0ef5-11df-b078-001e90f54f4e}\ not found.
File F:\cdinst.exe not found.
File move failed. C:\Programme\uhydro16.ZIP scheduled to be moved on reboot.
ADS C:\ProgramData\TEMPFC5A2B2 deleted successfully.
ADS C:\ProgramData\TEMP:7E95B6FD deleted successfully.
ADS C:\ProgramData\TEMP:FA5F15C4 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Jens
->Temp folder emptied: 743348550 bytes
->Temporary Internet Files folder emptied: 300331527 bytes
->Java cache emptied: 143579663 bytes
->FireFox cache emptied: 42898900 bytes
->Google Chrome cache emptied: 819568 bytes
->Flash cache emptied: 262019 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 192593237 bytes
RecycleBin emptied: 639829922 bytes

Total Files Cleaned = 1.968,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10052010_063342

Files\Folders moved on Reboot...
File move failed. C:\Programme\uhydro16.ZIP scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Alt 05.10.2010, 19:23   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.10.2010, 06:24   #9
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo Arne,

hab Cofi ausgeführt, hier das Resultat:

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-10-05.01 - Jens 06.10.2010   7:09.1.2 - x86
Microsoft® Windows Vista™ Home Premium   6.0.6002.2.1252.49.1031.18.2815.1865 [GMT 2:00]
ausgeführt von:: c:\users\Jens\Desktop\Cofi.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\INSTALL.LOG
c:\windows\system32\zip32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-06 bis 2010-10-06  ))))))))))))))))))))))))))))))
.

2010-10-06 05:15 . 2010-10-06 05:16	--------	d-----w-	c:\users\Jens\AppData\Local\temp
2010-10-06 05:15 . 2010-10-06 05:15	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-10-06 04:51 . 2010-10-06 04:51	--------	d-----w-	c:\program files\CCleaner
2010-10-05 04:33 . 2010-10-05 04:33	--------	d-----w-	C:\_OTL
2010-10-01 10:15 . 2010-10-01 10:15	--------	d-----w-	c:\users\Jens\AppData\Roaming\Malwarebytes
2010-10-01 10:14 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 10:14 . 2010-10-01 10:14	--------	d-----w-	c:\programdata\Malwarebytes
2010-10-01 10:14 . 2010-10-01 10:14	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-10-01 10:14 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-10-01 06:51 . 2010-10-01 06:51	--------	d-----w-	c:\users\Jens\AppData\Roaming\Avira
2010-09-29 04:48 . 2010-06-22 13:30	2048	----a-w-	c:\windows\system32\tzres.dll
2010-09-24 08:40 . 2010-09-24 08:40	--------	d-----w-	c:\users\Jens\.pdfsam
2010-09-24 07:36 . 2010-09-24 07:36	--------	d-----w-	c:\program files\pdfsam
2010-09-16 05:12 . 2010-04-16 16:46	502272	----a-w-	c:\windows\system32\usp10.dll
2010-09-16 05:12 . 2010-08-17 14:11	128000	----a-w-	c:\windows\system32\spoolsv.exe
2010-09-16 05:12 . 2010-04-05 17:02	317952	----a-w-	c:\windows\system32\MP4SDECD.DLL
2010-09-16 05:12 . 2010-05-27 20:08	739328	----a-w-	c:\windows\system32\inetcomm.dll
2010-09-10 12:03 . 2010-09-10 12:15	--------	d-----w-	c:\temp\Protokolle
2010-09-08 07:20 . 2010-09-09 12:15	--------	d-----w-	c:\temp\Bilder Basti

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-06 04:58 . 2008-08-01 09:25	--------	d-----w-	c:\program files\Spyware Doctor
2010-10-06 04:29 . 2008-01-21 07:15	618204	----a-w-	c:\windows\system32\perfh007.dat
2010-10-06 04:29 . 2008-01-21 07:15	122636	----a-w-	c:\windows\system32\perfc007.dat
2010-10-06 04:25 . 2008-08-01 09:43	--------	d-----w-	c:\users\Jens\AppData\Roaming\StarOffice8
2010-10-06 04:25 . 2008-09-11 12:19	--------	d-----w-	c:\users\Jens\AppData\Roaming\OpenOffice.org2
2010-10-05 13:35 . 2009-07-22 13:30	12	----a-w-	c:\windows\bthservsdp.dat
2010-10-05 05:26 . 2008-08-01 09:24	--------	d-----w-	c:\programdata\Google Updater
2010-10-01 06:01 . 2008-08-01 09:44	1	----a-w-	c:\users\Jens\AppData\Roaming\StarOffice8\user\uno_packages\cache\stamp.sys
2010-09-30 10:10 . 2010-01-12 07:31	--------	d-----w-	c:\users\Jens\AppData\Roaming\FileZilla
2010-09-24 07:30 . 2008-09-29 06:34	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-09-24 06:59 . 2010-03-16 08:45	--------	d-----w-	c:\program files\PDF Blender
2010-09-24 06:43 . 2010-01-12 07:28	--------	d-----w-	c:\program files\FileZilla FTP Client
2010-09-13 04:50 . 2008-08-01 09:27	--------	d-----w-	c:\program files\Common Files\Java
2010-09-13 04:49 . 2008-08-01 09:27	--------	d-----w-	c:\program files\Java
2010-09-09 07:26 . 2008-09-11 12:20	1	----a-w-	c:\users\Jens\AppData\Roaming\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-08-30 12:34 . 2010-09-06 04:50	1496064	----a-w-	c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-08-30 12:33 . 2010-09-06 04:50	43008	----a-w-	c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-08-30 12:33 . 2010-09-06 04:50	338944	----a-w-	c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-08-30 12:33 . 2010-09-06 04:50	346112	----a-w-	c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-07-17 03:00 . 2010-05-19 05:21	423656	----a-w-	c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-04-07 5369856]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Skytel"="Skytel.exe" [2008-04-07 1826816]
"PDFPrint"="c:\program files\pdf24\pdf24.exe" [2010-03-11 208528]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\users\Jens\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]
StarOffice 8.lnk - c:\program files\Sun\StarOffice 8\program\quickstart.exe [2008-1-21 122880]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-09-23 358600]
R4 enecir;ENE CIR Receiver;c:\windows\system32\drivers\enecir.sys [2007-03-07 32256]
R4 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2007-01-23 36608]
R4 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [2007-04-03 39680]
R4 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [2007-04-02 35712]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-09-23 207280]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-02-24 135336]
S2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - PCTSDInjDriver32

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
.
Inhalt des "geplante Tasks" Ordners

2010-10-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-01 14:15]

2010-10-06 c:\windows\Tasks\User_Feed_Synchronization-{A989C7E0-47ED-4607-835E-D33DB646584F}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.de/
FF - component: c:\users\Jens\AppData\Roaming\Mozilla\Firefox\Profiles\2955jmtg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
FF - plugin: c:\program files\Picasa2\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
Zeit der Fertigstellung: 2010-10-06  07:19:45
ComboFix-quarantined-files.txt  2010-10-06 05:19

Vor Suchlauf: 13 Verzeichnis(se), 50.935.640.064 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 50.664.222.720 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=66 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66
- - End Of File - - 5BB670C1CB4123AA635735F0E8F9BBCD
         
--- --- ---

Alt 06.10.2010, 13:38   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir anschließend bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.10.2010, 14:36   #11
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo Arne,

GMER und OSAM sind gelaufen, hier schon mal die Ergebnisse:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-10-06 15:22:19
Windows 6.0.6002 Service Pack 2
Running: gtrrrzkl.exe; Driver: C:\Users\Jens\AppData\Local\Temp\kwldypoc.sys


---- System - GMER 1.0.15 ----

SSDT    \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateProcess [0x85018CDC]
SSDT    \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateProcessEx [0x85018ECE]
SSDT    \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwTerminateProcess [0x85018982]
SSDT    \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.)    ZwWriteVirtualMemory [0x90465384]
SSDT    \SystemRoot\system32\drivers\PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                         ZwCreateUserProcess [0x850190D6]

---- Kernel code sections - GMER 1.0.15 ----

.text   ntkrnlpa.exe!KeSetEvent + 209                                                                        846C796C 8 Bytes  [DC, 8C, 01, 85, CE, 8E, 01, ...]
.text   ntkrnlpa.exe!KeSetEvent + 621                                                                        846C7D84 4 Bytes  [82, 89, 01, 85]
.text   ntkrnlpa.exe!KeSetEvent + 681                                                                        846C7DE4 4 Bytes  [84, 53, 46, 90] {TEST [EBX+0x46], DL; NOP }
.text   ntkrnlpa.exe!KeSetEvent + 6E5                                                                        846C7E48 4 Bytes  [D6, 90, 01, 85]
.text   C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                             section is writeable [0x8F600340, 0x3D9767, 0xE8000020]
?       C:\Users\Jens\AppData\Local\Temp\catchme.sys                                                         Das System kann die angegebene Datei nicht finden. !
?       C:\Windows\system32\Drivers\PROCEXP113.SYS                                                           Das System kann die angegebene Datei nicht finden. !
?       C:\Users\Jens\AppData\Local\Temp\mbr.sys                                                             Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtClose                             77DF4314 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtClose + 4                         77DF4318 2 Bytes  [35, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateFile                        77DF43D4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateFile + 4                    77DF43D8 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateKey                         77DF4414 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateKey + 4                     77DF4418 2 Bytes  [05, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateProcess                     77DF4494 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateProcess + 4                 77DF4498 2 Bytes  [29, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateProcessEx                   77DF44A4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateProcessEx + 4               77DF44A8 2 Bytes  [2C, 5F] {SUB AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateSection                     77DF44C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateSection + 4                 77DF44C8 2 Bytes  [23, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtDeleteKey                         77DF47C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtDeleteKey + 4                     77DF47C8 2 Bytes  [0B, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtDeleteValueKey                    77DF47F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtDeleteValueKey + 4                77DF47F8 2 Bytes  [11, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtRenameKey                         77DF50C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtRenameKey + 4                     77DF50C8 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtSetInformationFile                77DF52E4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtSetInformationFile + 4            77DF52E8 2 Bytes  [20, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtSetValueKey                       77DF5454 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtSetValueKey + 4                   77DF5458 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtTerminateProcess                  77DF54F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtTerminateProcess + 4              77DF54F8 2 Bytes  [2F, 5F] {DAS ; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteFile                         77DF5644 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteFile + 4                     77DF5648 2 Bytes  [1A, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteFileGather                   77DF5654 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteFileGather + 4               77DF5658 2 Bytes  [1D, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteVirtualMemory                77DF5674 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtWriteVirtualMemory + 4            77DF5678 2 Bytes  [32, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateUserProcess                 77DF5804 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] ntdll.dll!NtCreateUserProcess + 4             77DF5808 2 Bytes  [26, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avgnt.exe[2132] kernel32.dll!LoadLibraryExW                   779F9109 6 Bytes  JMP 5F070F5A 
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtClose                           77DF4314 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtClose + 4                       77DF4318 2 Bytes  [35, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateFile                      77DF43D4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateFile + 4                  77DF43D8 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateKey                       77DF4414 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateKey + 4                   77DF4418 2 Bytes  [05, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateProcess                   77DF4494 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateProcess + 4               77DF4498 2 Bytes  [29, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateProcessEx                 77DF44A4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateProcessEx + 4             77DF44A8 2 Bytes  [2C, 5F] {SUB AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateSection                   77DF44C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateSection + 4               77DF44C8 2 Bytes  [23, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtDeleteKey                       77DF47C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtDeleteKey + 4                   77DF47C8 2 Bytes  [0B, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtDeleteValueKey                  77DF47F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtDeleteValueKey + 4              77DF47F8 2 Bytes  [11, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtRenameKey                       77DF50C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtRenameKey + 4                   77DF50C8 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtSetInformationFile              77DF52E4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtSetInformationFile + 4          77DF52E8 2 Bytes  [20, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtSetValueKey                     77DF5454 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtSetValueKey + 4                 77DF5458 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtTerminateProcess                77DF54F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtTerminateProcess + 4            77DF54F8 2 Bytes  [2F, 5F] {DAS ; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteFile                       77DF5644 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteFile + 4                   77DF5648 2 Bytes  [1A, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteFileGather                 77DF5654 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteFileGather + 4             77DF5658 2 Bytes  [1D, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteVirtualMemory              77DF5674 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtWriteVirtualMemory + 4          77DF5678 2 Bytes  [32, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateUserProcess               77DF5804 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] ntdll.dll!NtCreateUserProcess + 4           77DF5808 2 Bytes  [26, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avguard.exe[2804] kernel32.dll!LoadLibraryExW                 779F9109 6 Bytes  JMP 5F070F5A 
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtClose                          77DF4314 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtClose + 4                      77DF4318 2 Bytes  [35, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateFile                     77DF43D4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateFile + 4                 77DF43D8 2 Bytes  [17, 5F] {POP SS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateKey                      77DF4414 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateKey + 4                  77DF4418 2 Bytes  [05, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateProcess                  77DF4494 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateProcess + 4              77DF4498 2 Bytes  [29, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateProcessEx                77DF44A4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateProcessEx + 4            77DF44A8 2 Bytes  [2C, 5F] {SUB AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateSection                  77DF44C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateSection + 4              77DF44C8 2 Bytes  [23, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtDeleteKey                      77DF47C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtDeleteKey + 4                  77DF47C8 2 Bytes  [0B, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtDeleteValueKey                 77DF47F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtDeleteValueKey + 4             77DF47F8 2 Bytes  [11, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtRenameKey                      77DF50C4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtRenameKey + 4                  77DF50C8 2 Bytes  [14, 5F] {ADC AL, 0x5f}
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtSetInformationFile             77DF52E4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtSetInformationFile + 4         77DF52E8 2 Bytes  [20, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtSetValueKey                    77DF5454 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtSetValueKey + 4                77DF5458 2 Bytes  [0E, 5F] {PUSH CS; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtTerminateProcess               77DF54F4 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtTerminateProcess + 4           77DF54F8 2 Bytes  [2F, 5F] {DAS ; POP EDI}
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteFile                      77DF5644 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteFile + 4                  77DF5648 2 Bytes  [1A, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteFileGather                77DF5654 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteFileGather + 4            77DF5658 2 Bytes  [1D, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteVirtualMemory             77DF5674 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtWriteVirtualMemory + 4         77DF5678 2 Bytes  [32, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateUserProcess              77DF5804 3 Bytes  [FF, 25, 1E]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] ntdll.dll!NtCreateUserProcess + 4          77DF5808 2 Bytes  [26, 5F]
.text   C:\Program Files\Avira\AntiVir Desktop\avshadow.exe[3232] kernel32.dll!LoadLibraryExW                779F9109 6 Bytes  JMP 5F070F5A 

---- User IAT/EAT - GMER 1.0.15 ----

IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusShutdown]                [74F97817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCloneImage]                 [74FEA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDrawImageRectI]             [74F9BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetInterpolationMode]       [74F8F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusStartup]                 [74F975E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateFromHDC]              [74F8E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromStreamICM]  [74FC8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromStream]     [74F9DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageHeight]             [74F8FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageWidth]              [74F8FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDisposeImage]               [74F871CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipLoadImageFromFileICM]       [7501CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipLoadImageFromFile]          [74FBC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDeleteGraphics]             [74F8D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipFree]                       [74F86853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipAlloc]                      [74F8687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT     C:\Windows\explorer.exe[2380] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetCompositingMode]         [74F92AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device  \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32                                                    PCTSDInj32.sys

---- Registry - GMER 1.0.15 ----

Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\006057168c9e                          
Reg     HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\006057168c9e@0024905c4b25             0x02 0x3C 0xFD 0xEB ...
Reg     HKLM\SYSTEM\ControlSet066\Services\BTHPORT\Parameters\Keys\006057168c9e (not active ControlSet)      
Reg     HKLM\SYSTEM\ControlSet066\Services\BTHPORT\Parameters\Keys\006057168c9e@0024905c4b25                 0x02 0x3C 0xFD 0xEB ...

---- EOF - GMER 1.0.15 ----
         
--- --- ---


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:32:57 on 06.10.2010

OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.10

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"Google Software Updater.job" - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"BDEADMIN.CPL" - ? - C:\Windows\system32\BDEADMIN.CPL
"odbccp32.cpl" - "Microsoft Corporation" - C:\Windows\system32\odbccp32.cpl
"plotman.cpl" - "Autodesk, Inc." - C:\Windows\system32\plotman.cpl
"styleman.cpl" - "Autodesk, Inc." - C:\Windows\system32\styleman.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Nero BurnRights" - "Nero AG" - C:\Program Files\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\Jens\AppData\Local\Temp\catchme.sys  (File not found)
"File Security Driver" (IKFileSec) - "PCTools Research Pty Ltd." - C:\Windows\System32\drivers\ikfilesec.sys
"IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys  (File not found)
"IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys  (File not found)
"IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys  (File not found)
"kwldypoc" (kwldypoc) - ? - C:\Users\Jens\AppData\Local\Temp\kwldypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"mbr" (mbr) - ? - C:\Users\Jens\AppData\Local\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"PCTools KDS" (PCTCore) - "PC Tools" - C:\Windows\System32\drivers\PCTCore.sys
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys
"System Filter Driver" (IKSysFlt) - "PCTools Research Pty Ltd." - C:\Windows\System32\drivers\iksysflt.sys
"System Security Driver" (IKSysSec) - "PCTools Research Pty Ltd." - C:\Windows\System32\drivers\iksyssec.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -   (File not found | COM-object registry key not found)
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -   (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -   (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office10\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll
{00020d75-0000-0000-c000-000000000046} "Microsoft Outlook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office10\MLSHEXT.DLL
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroDigitalExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\Sun\StarOffice 8\program\shlxthdl.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -   (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.6.0_04" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab
{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash9f.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\Jens\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"OpenOffice.org 2.4.lnk" - ? - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
"StarOffice 8.lnk" - ? - C:\Program Files\Sun\StarOffice 8\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"lxbkbmgr.exe" - "Lexmark International, Inc." - "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
"NeroFilterCheck" - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
"PDFPrint" - "Geek Software GmbH" - C:\Program Files\pdf24\pdf24.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
"PC Tools Auxiliary Service" (sdAuxService) - "PC Tools" - C:\Program Files\Spyware Doctor\pctsAuxs.exe
"PC Tools Security Service" (sdCoreService) - "PC Tools" - C:\Program Files\Spyware Doctor\pctsSvc.exe

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"PCTOOLS CONTENT FILTER PROVIDER" - "PC Tools Research Pty Ltd." - C:\Program Files\Common Files\PC Tools\Lsp\PCTLsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Alt 06.10.2010, 14:42   #12
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Und hier noch MBRCheck:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows Vista Home Premium Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: ECS
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: ECS
System Product Name: GeForce7050M-M
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 150):
0x8461B000 \SystemRoot\system32\ntkrnlpa.exe
0x849D4000 \SystemRoot\system32\hal.dll
0x8040F000 \SystemRoot\system32\kdcom.dll
0x80416000 \SystemRoot\system32\PSHED.dll
0x80427000 \SystemRoot\system32\BOOTVID.dll
0x8042F000 \SystemRoot\system32\CLFS.SYS
0x80470000 \SystemRoot\system32\CI.dll
0x80550000 \SystemRoot\system32\drivers\Wdf01000.sys
0x805CC000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x80604000 \SystemRoot\system32\drivers\fltmgr.sys
0x80636000 \SystemRoot\system32\drivers\acpi.sys
0x8067C000 \SystemRoot\system32\drivers\WMILIB.SYS
0x80685000 \SystemRoot\system32\drivers\msisadrv.sys
0x8068D000 \SystemRoot\system32\drivers\pci.sys
0x806B4000 \SystemRoot\System32\drivers\partmgr.sys
0x806C3000 \SystemRoot\system32\drivers\volmgr.sys
0x806D2000 \SystemRoot\System32\drivers\volmgrx.sys
0x8071C000 \SystemRoot\system32\drivers\pciide.sys
0x80723000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x80731000 \SystemRoot\System32\drivers\mountmgr.sys
0x80741000 \SystemRoot\system32\drivers\iastorv.sys
0x807E2000 \SystemRoot\system32\drivers\atapi.sys
0x805D9000 \SystemRoot\system32\drivers\ataport.SYS
0x807EA000 \SystemRoot\system32\drivers\fileinfo.sys
0x8500F000 \SystemRoot\system32\drivers\PCTCore.sys
0x85046000 \SystemRoot\system32\drivers\ikfilesec.sys
0x85054000 \SystemRoot\System32\Drivers\PxHelp20.sys
0x8505D000 \SystemRoot\system32\drivers\siwinacc.sys
0x85060000 \SystemRoot\System32\Drivers\ksecdd.sys
0x850D1000 \SystemRoot\system32\drivers\ndis.sys
0x85203000 \SystemRoot\system32\drivers\msrpc.sys
0x8522E000 \SystemRoot\system32\drivers\NETIO.SYS
0x85269000 \SystemRoot\System32\drivers\tcpip.sys
0x85353000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x8C008000 \SystemRoot\System32\Drivers\Ntfs.sys
0x8C118000 \SystemRoot\system32\drivers\volsnap.sys
0x8C151000 \SystemRoot\System32\Drivers\spldr.sys
0x8C159000 \SystemRoot\system32\drivers\siremfil.sys
0x8C15B000 \SystemRoot\System32\Drivers\mup.sys
0x8C16A000 \SystemRoot\System32\drivers\ecache.sys
0x8C191000 \SystemRoot\system32\drivers\disk.sys
0x8C1A2000 \SystemRoot\system32\drivers\CLASSPNP.SYS
0x8C1C3000 \SystemRoot\system32\drivers\crcdisk.sys
0x8C1EC000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8C1F7000 \SystemRoot\system32\DRIVERS\tunmp.sys
0x8536E000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x8537E000 \SystemRoot\system32\DRIVERS\serial.sys
0x85398000 \SystemRoot\system32\DRIVERS\serenum.sys
0x853A2000 \SystemRoot\system32\DRIVERS\parport.sys
0x853BA000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x853CD000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x853D8000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8F40C000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8F44A000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8F459000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x8F471000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8F4FE000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
0x8F600000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8FD1E000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8FDBD000 \SystemRoot\System32\drivers\watchdog.sys
0x8FDC9000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0x90004000 \SystemRoot\system32\DRIVERS\msiscsi.sys
0x90033000 \SystemRoot\system32\DRIVERS\storport.sys
0x90074000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x9007F000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x90096000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x900A1000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x900C4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x900D3000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x900E7000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x900FC000 \SystemRoot\system32\DRIVERS\termdd.sys
0x9010C000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x90117000 \SystemRoot\system32\DRIVERS\swenum.sys
0x90119000 \SystemRoot\system32\DRIVERS\ks.sys
0x90143000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x9014D000 \SystemRoot\system32\DRIVERS\umbus.sys
0x9015A000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x9018F000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9020F000 \SystemRoot\system32\drivers\RTKVHDA.sys
0x90410000 \SystemRoot\system32\drivers\portcls.sys
0x9043D000 \SystemRoot\system32\drivers\drmk.sys
0x90462000 \SystemRoot\system32\drivers\iksysflt.sys
0x90477000 \SystemRoot\system32\drivers\KCOM.SYS
0x90485000 \SystemRoot\system32\drivers\iksyssec.sys
0x9049C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0x904A5000 \SystemRoot\System32\Drivers\Null.SYS
0x904AC000 \SystemRoot\System32\Drivers\Beep.SYS
0x904B3000 \SystemRoot\System32\drivers\vga.sys
0x904BF000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x904E0000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x904E8000 \SystemRoot\system32\drivers\rdpencdd.sys
0x904F0000 \SystemRoot\System32\Drivers\Msfs.SYS
0x904FB000 \SystemRoot\System32\Drivers\Npfs.SYS
0x90509000 \SystemRoot\System32\DRIVERS\rasacd.sys
0x90512000 \SystemRoot\system32\DRIVERS\tdx.sys
0x90528000 \SystemRoot\system32\DRIVERS\smb.sys
0x9053C000 \SystemRoot\system32\drivers\afd.sys
0x90584000 \SystemRoot\System32\DRIVERS\netbt.sys
0x905B6000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x905BF000 \SystemRoot\system32\DRIVERS\pacer.sys
0x905D5000 \SystemRoot\system32\DRIVERS\netbios.sys
0x905E3000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x905F6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x901A0000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x90200000 \SystemRoot\system32\drivers\nsiproxy.sys
0x901DC000 \SystemRoot\System32\Drivers\dfsc.sys
0x8FDD2000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9020A000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
0x901F3000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x853E2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8FDF4000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x9020C000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x8F400000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x853F2000 \SystemRoot\system32\DRIVERS\usbscan.sys
0x851DC000 \SystemRoot\system32\DRIVERS\usbprint.sys
0x8C1CC000 \SystemRoot\System32\Drivers\crashdmp.sys
0x8C1D9000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x8C1E4000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x9AC00000 \SystemRoot\System32\win32k.sys
0x851E6000 \SystemRoot\System32\drivers\Dxapi.sys
0x851F0000 \SystemRoot\system32\DRIVERS\monitor.sys
0x9AE20000 \SystemRoot\System32\TSDDD.dll
0x9AE40000 \SystemRoot\System32\cdd.dll
0x82A03000 \SystemRoot\system32\drivers\luafv.sys
0x82A1E000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x82A33000 \SystemRoot\system32\drivers\spsys.sys
0x82AE3000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x82AF3000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x82B06000 \SystemRoot\system32\drivers\HTTP.sys
0x82B73000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x82B90000 \SystemRoot\system32\DRIVERS\bowser.sys
0x82BA9000 \SystemRoot\System32\drivers\mpsdrv.sys
0x82BBE000 \SystemRoot\system32\drivers\mrxdav.sys
0x82BDF000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9EC06000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x9EC3F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x9EC57000 \SystemRoot\System32\DRIVERS\srv2.sys
0x9EC7E000 \SystemRoot\System32\DRIVERS\srv.sys
0x9ECCC000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x9ECD5000 \SystemRoot\system32\DRIVERS\parvdm.sys
0x9ECDC000 \SystemRoot\system32\drivers\peauth.sys
0x9EDBA000 \SystemRoot\System32\Drivers\secdrv.SYS
0x9EDC4000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9EDD0000 \??\C:\Program Files\Spyware Doctor\PCTSDInj32.sys
0x9EDD7000 \SystemRoot\system32\DRIVERS\cdfs.sys
0x9EDED000 \??\C:\Users\Jens\AppData\Local\Temp\catchme.sys
0x9EDF5000 \??\C:\Windows\system32\Drivers\PROCEXP113.SYS
0x9EDF7000 \??\C:\Users\Jens\AppData\Local\Temp\mbr.sys
0xC280B000 \??\C:\Users\Jens\AppData\Local\Temp\kwldypoc.sys
0x77D90000 \Windows\System32\ntdll.dll

Processes (total 64):
0 System Idle Process
4 System
496 C:\Windows\System32\smss.exe
564 csrss.exe
616 C:\Windows\System32\wininit.exe
628 csrss.exe
660 C:\Windows\System32\services.exe
672 C:\Windows\System32\lsass.exe
680 C:\Windows\System32\lsm.exe
844 C:\Windows\System32\svchost.exe
876 C:\Windows\System32\winlogon.exe
948 C:\Windows\System32\nvvsvc.exe
976 C:\Windows\System32\svchost.exe
1012 C:\Windows\System32\svchost.exe
1100 C:\Windows\System32\svchost.exe
1160 C:\Windows\System32\svchost.exe
1180 C:\Windows\System32\svchost.exe
1268 C:\Windows\System32\audiodg.exe
1304 C:\Windows\System32\SLsvc.exe
1356 C:\Windows\System32\svchost.exe
1500 C:\Windows\System32\svchost.exe
1736 C:\Windows\System32\spoolsv.exe
1796 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1816 C:\Windows\System32\svchost.exe
1932 C:\Windows\System32\taskeng.exe
1992 C:\Windows\System32\dwm.exe
1260 C:\Windows\System32\taskeng.exe
344 C:\Program Files\Windows Defender\MSASCui.exe
2060 C:\Windows\RtHDVCpl.exe
2116 C:\Program Files\Lexmark X1100 Series\LXBKbmgr.exe
2132 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2260 C:\Program Files\pdf24\pdf24.exe
2340 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2348 C:\Program Files\Windows Sidebar\sidebar.exe
2368 C:\Program Files\Lexmark X1100 Series\LXBKbmon.exe
2388 C:\Windows\ehome\ehtray.exe
2440 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
2472 C:\Program Files\Windows Media Player\wmpnscfg.exe
2528 C:\Windows\ehome\ehmsas.exe
2592 C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
2612 C:\Program Files\Sun\StarOffice 8\program\soffice.exe
2628 C:\Program Files\Sun\StarOffice 8\program\soffice.bin
2668 C:\Program Files\OpenOffice.org 2.4\program\soffice.bin
2804 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
2824 C:\Windows\System32\svchost.exe
2868 C:\Windows\System32\lxbkcoms.exe
2900 C:\Program Files\Common Files\microsoft shared\VS7Debug\mdm.exe
3012 C:\Windows\System32\svchost.exe
3232 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
3276 C:\Windows\System32\svchost.exe
3404 C:\Windows\System32\svchost.exe
3436 C:\Windows\System32\SearchIndexer.exe
1972 C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
2992 C:\Program Files\Windows Media Player\wmpnetwk.exe
3096 C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
3904 C:\Windows\System32\conime.exe
2380 C:\Windows\explorer.exe
4784 C:\Windows\System32\notepad.exe
3676 C:\Program Files\Mozilla Firefox\firefox.exe
5228 C:\Windows\System32\notepad.exe
5180 taskeng.exe
5436 C:\Windows\System32\SearchProtocolHost.exe
5032 C:\Windows\System32\SearchFilterHost.exe
5364 C:\Users\Jens\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000018`6b5e1e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD321KJ, Rev: CP100-12

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected
SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

Alt 06.10.2010, 19:33   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Sieht alles ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.10.2010, 06:45   #14
JensL
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Hallo Arne,

hier das Ergebnis von Malewarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4764

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07.10.2010 07:33:39
mbam-log-2010-10-07 (07-33-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 253494
Laufzeit: 53 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



... und hier Superantispyware


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 10/07/2010 bei 08:25 AM

Version der Applikation : 4.44.1000

Version der Kern-Datenbank : 5647
Version der Spur-Datenbank : 3459

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:31:19

Gescannte Speicherelemente : 736
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 23548
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 30798
Erfasste Datei-Elemente : 0


Schöne Grüße

Jens

Geändert von JensL (07.10.2010 um 07:29 Uhr)

Alt 07.10.2010, 13:41   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Standard

TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp



Sieht ok aus, keine Funde!
Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp
alarm, anderen, anti-malware, beiträge, c:\windows, check, dateien, ergebnis, explorer, fehler, festgestellt, format, forum, guard, infizierte, infizierte dateien, malwarebytes, meldung, neu, nichts, service, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen2, version, vista, windows



Ähnliche Themen: TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp


  1. Windows Vista: TR/Crypt.XPACK.Gen2 gefährlich?
    Log-Analyse und Auswertung - 27.12.2014 (1)
  2. TR/Crypt.EPACK.Gen2 gefunden in C:\Windows\Temp
    Log-Analyse und Auswertung - 20.01.2014 (13)
  3. TR/Crypt.XPACK.Gen2 unter SysVolInf kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 29.08.2012 (3)
  4. TR/crypt.xpack.gen2 unter windows 7, eigene Dateien ausgeblendet
    Log-Analyse und Auswertung - 16.04.2012 (3)
  5. Trojaner TR/Crypt.XPACK.Gen in C:\Windows\Temp\_avast_ entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2011 (4)
  6. tr/crypt.xpack.gen3 in c:\windows\temp
    Log-Analyse und Auswertung - 02.06.2011 (11)
  7. infizierung: TR/Crypt.XPACK.Gen3" in C:/Windows/Temp/...
    Mülltonne - 18.10.2010 (1)
  8. TR/Crypt.XPACK.Gen3 und TR/Dropper.Gen in C:\Windows\Temp\
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (4)
  9. TR/crypt.xpack.gen3 in Vista im Ordner c:\windows\temp\TMP....
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (8)
  10. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  11. 'TR/Crypt.XPACK.Gen3' in C:\WINDOWS\Temp\TMP24.tmp
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (1)
  12. Massenweise Viren werden in Windows/Temp erstellt (Tr/Crypt.xpack.Gen3+TR/Crypt.Pepn.Gen und andere)
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (6)
  13. TR/Crypt.XPACK.Gen klaut Passwörter in C:\Windows\Temp\_avast04_
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (24)
  14. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  15. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  16. ständig TR/Crypt.XPACK.Gen2 im temp ordner
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (18)
  17. TR/Crypt.XPACK.Gen in C:\Windows\Temp\~F435.tmp
    Plagegeister aller Art und deren Bekämpfung - 25.11.2009 (5)

Zum Thema TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp - Hallo, ich bin neu hier und habe (natürlich) ein Trojaner-Problem. AntiVir Guard schlug Alarm und hat im Verzeichnis c:\windows\temp\ mehrere infizierte Dateien festgestellt (tMPDC5.tmp und weitere). Eine vollständige Systemprüfung mit - TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp...
Archiv
Du betrachtest: TR/crypt.xpack.gen2 und 3 unter Vista in c:\windows\temp\tMPDC5.tmp auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.