Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.12.2010, 13:02   #1
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hi Forum,

Ich bin neu hier und ich weiß nicht ob es dieses thema schoon gibt,
aber seit gestern kommt immer wieder die Warnung: Guard: Malware Gefunden...
Jede minute oder sogar öfters
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\VsgAVlkEhsnmOcX.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe das komplette System mit Avira Antivir Personal durchsuchen lassen aber es ist nichts passiert
Was soll ich denn jetzt machen ?

LG Joscha_

Alt 26.12.2010, 20:34   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 26.12.2010, 22:08   #3
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5399

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2010 22:06:40
mbam-log-2010-12-26 (22-06-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 220739
Laufzeit: 45 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\glaide32 (Rootkit.Rustock) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ElkTBhTOiqUEWYN.exe (Trojan.FakeAlert) -> Value: ElkTBhTOiqUEWYN.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2747171 (Rogue.FakeHDD) -> Value: 2747171 -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\vsgavlkehsnmocx.dll (Rogue.FakeHDD) -> Delete on reboot.
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\elktbhtoiquewyn.exe (Trojan.FakeAlert) -> Delete on reboot.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\2747171.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\***\anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
__________________

Alt 26.12.2010, 22:21   #4
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Hier die Logs von OTL.exe


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 26.12.2010 22:27:01 - Run 2
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS
 
Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211BU.sys (ZyDAS Technology Corporation)
DRV - (NETw3x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw3x32.sys (Intel® Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q="
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 00:21:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 00:21:11 | 000,000,000 | ---D | M]
 
[2009.09.07 17:07:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Extensions
[2010.12.26 12:59:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions
[2009.09.14 16:55:09 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.05.30 17:14:41 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2010.05.30 17:15:06 | 000,000,881 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\conduit.xml
[2010.12.23 12:22:41 | 000,000,958 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\icqplugin.xml
[2010.12.26 13:00:00 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.09.07 17:32:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.03.29 23:37:15 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.09.18 10:08:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.18 10:08:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.18 10:08:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.18 10:08:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.18 10:08:56 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.03.24 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKCU..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.)
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161947797234 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 () - file:///C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131
O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.26 10:48:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.12.26 21:18:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
[2010.12.26 21:18:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.26 21:18:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.26 21:18:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.26 21:18:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.26 21:17:07 | 007,734,208 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe
[2010.12.26 21:15:57 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe
[2010.12.26 21:14:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Text Malware
[2010.12.26 19:40:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\setup.pss
[2010.12.25 21:04:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Lukas Musik
[2010.12.15 15:34:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (3)
[2010.12.15 15:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (2)
[2010.12.15 13:15:30 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe
[2010.12.15 13:15:19 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys
[2010.12.12 22:57:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\PS3
[2010.12.11 12:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php-Dateien
[2010.12.09 23:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
[2010.12.09 23:52:42 | 000,000,000 | ---D | C] -- C:\Programme\OpenOffice.org 3
[2010.12.09 23:51:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OpenOffice.org 3.2 (de) Installation Files
[2010.12.09 21:29:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Joschas Ordner
[2010.12.06 20:31:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\PAC207
[2010.12.06 20:31:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations
[2010.12.06 20:18:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Default album
[2010.11.28 20:55:54 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.11.28 20:55:49 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2010.11.28 20:52:51 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.11.28 20:51:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer
[2010.11.28 20:50:50 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.12.26 22:11:31 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.26 22:10:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.26 22:10:56 | 1063,256,064 | -HS- | M] () -- C:\hiberfil.sys
[2010.12.26 21:18:15 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.26 21:17:49 | 007,734,208 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe
[2010.12.26 21:16:02 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe
[2010.12.26 21:03:51 | 000,001,500 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\CCleaner.lnk
[2010.12.26 20:12:30 | 000,000,319 | -HS- | M] () -- C:\boot.ini
[2010.12.26 18:02:23 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk
[2010.12.26 15:19:26 | 000,000,476 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Lukas Hartmann.job
[2010.12.26 13:40:20 | 000,135,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.26 12:24:12 | 003,091,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg
[2010.12.25 23:49:29 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.25 11:07:03 | 000,004,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.19 14:09:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.12.19 14:08:39 | 000,013,785 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt
[2010.12.17 17:29:38 | 000,179,448 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.12.17 15:23:18 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.13 16:46:55 | 000,010,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps
[2010.12.11 12:40:30 | 000,120,978 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm
[2010.12.11 09:52:07 | 001,000,181 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG
[2010.12.11 09:49:48 | 000,846,788 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG
[2010.12.11 09:47:05 | 000,558,573 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG
[2010.12.11 09:45:23 | 000,878,361 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG
[2010.12.08 23:50:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.12.08 23:25:55 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Skype.lnk
[2010.11.28 20:56:42 | 000,001,526 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\iTunes.lnk
[2010.11.28 20:53:11 | 000,001,588 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.12.26 21:18:15 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.26 18:02:23 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk
[2010.12.26 13:40:51 | 003,091,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg
[2010.12.19 14:07:43 | 000,013,785 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt
[2010.12.13 16:46:55 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps
[2010.12.11 12:40:28 | 000,120,978 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm
[2010.12.11 09:52:06 | 001,000,181 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG
[2010.12.11 09:49:48 | 000,846,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG
[2010.12.11 09:47:05 | 000,558,573 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG
[2010.12.11 09:45:20 | 000,878,361 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG
[2010.11.28 20:53:11 | 000,001,588 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk
[2009.12.25 10:27:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2009.11.26 16:14:05 | 000,000,013 | ---- | C] () -- C:\WINDOWS\TEXTware.ini
[2009.11.26 16:14:01 | 000,115,200 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll
[2009.11.26 16:13:58 | 000,209,408 | ---- | C] () -- C:\WINDOWS\System32\TWASBB01.DLL
[2009.11.26 16:13:58 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\TWAIED02.DLL
[2009.11.26 16:13:58 | 000,009,216 | ---- | C] () -- C:\WINDOWS\System32\TWASFI.DLL
[2009.11.26 16:13:57 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TWAVBX32.DLL
[2009.11.26 16:13:56 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXTBS.DLL
[2009.11.26 16:12:10 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2009.10.10 15:34:23 | 000,004,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat
[2009.09.29 15:29:06 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.09.10 14:55:33 | 000,135,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.07 16:57:46 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.10.30 10:40:12 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006.10.27 12:13:10 | 000,001,000 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.10.27 11:46:23 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2006.10.27 11:46:23 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\56BA1BC9C6.sys
[2006.10.27 11:24:03 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006.10.26 11:34:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.08.05 13:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.01.08 10:30:22 | 000,011,170 | ---- | C] () -- C:\WINDOWS\System32\PA207USD.DLL
 
========== LOP Check ==========
 
[2009.09.14 18:34:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2010.03.18 18:04:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.10.22 12:35:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2010.08.21 11:42:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.10.22 12:35:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB
[2010.12.14 21:36:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.05.14 14:54:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.08.21 11:41:09 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.12.26 13:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\ICQ
[2010.12.09 23:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
[2009.10.10 15:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Template
[2010.08.21 11:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\TuneUp Software
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---

--- --- ---


OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 26.12.2010 22:27:01 - Run 2
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS
 
Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"3553:TCP" = 3553:TCP:*:Enabled:wtqwhca
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5 -- File not found
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43DCF766-6838-4F9A-8C91-D92DA586DFA8}" = Microsoft Windows-Journal-Viewer
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90840407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Excel Viewer 2003
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A70800000002}" = Adobe Reader 7.0.8 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes
"1F811665-E818-4956-9173-35CD47C9DCE0" = Otto
"7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner (remove only)
"CNXT_MODEM_PCI_VEN_14F1&DEV_2C06&SUBSYS_14F10000" = Soft Modem with SmartCP
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NSS" = Norton Security Scan
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TuneUp Utilities" = TuneUp Utilities
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UnityWebPlayer" = Unity Web Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 26.12.2010 04:11:47 | Computer Name = LUKAS | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
 in 0x800423f4) fehlgeschlagen.
 
Error - 26.12.2010 11:24:59 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
 nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich 
durch eine fehlerhafte Registrierung verursacht.
 
[ System Events ]
Error - 25.12.2010 18:58:28 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:30 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:33 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:37 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:58:39 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 18:59:20 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 25.12.2010 19:42:24 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 04:11:43 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 04:11:46 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
 mit den Argumenten "-Service"  gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
 
Error - 26.12.2010 17:11:08 | Computer Name = LUKAS | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >
         
--- --- ---
Angehängte Dateien
Dateityp: txt OTL.Txt (53,1 KB, 186x aufgerufen)
Dateityp: txt Extras.Txt (35,5 KB, 189x aufgerufen)

Geändert von Joscha_ (26.12.2010 um 22:36 Uhr)

Alt 27.12.2010, 11:56   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.12.2010, 12:39   #6
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



All processes killed
========== OTL ==========
Service pxsgyax stopped successfully!
Service pxsgyax deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service lskjmtgcd stopped successfully!
Service lskjmtgcd deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service lrcimqdol stopped successfully!
Service lrcimqdol deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service jmfue stopped successfully!
Service jmfue deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service djlgfa stopped successfully!
Service djlgfa deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service adbhgx stopped successfully!
Service adbhgx deleted successfully!
File C:\WINDOWS\System32\rnhsv.dll File not found not found.
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "Search" removed from browser.search.defaultthis.engineName
Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\WallPaper deleted successfully.
C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\BackupWallPaper deleted successfully.
File C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\blasgini:C:\WINDOWS\system32\autoycfg.dll deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 131072 bytes
->Flash cache emptied: 348 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 131206 bytes
->Flash cache emptied: 348 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Lukas Hartmann
->Temp folder emptied: 126922700 bytes
->Temporary Internet Files folder emptied: 14981983 bytes
->Java cache emptied: 3513201 bytes
->FireFox cache emptied: 108975206 bytes
->Flash cache emptied: 40886 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32969 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1240390 bytes
%systemroot%\System32 .tmp files removed: 4411783 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1624 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 248,00 mb


OTL by OldTimer - Version 3.2.18.0 log created on 12272010_123422

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 27.12.2010, 14:32   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2010, 16:09   #8
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010  16:01:00.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.659 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Oeminfo.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-27 11:34 . 2010-12-27 11:34	--------	d-----w-	C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55	--------	d-----w-	c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54	--------	d-----w-	c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31	--------	d-----w-	c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55	--------	d-----w-	c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56	--------	d-----w-	c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50	--------	d-----w-	c:\programme\Bonjour

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00	371200	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42	30528	----a-w-	c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53	30016	----a-w-	c:\windows\system32\uxtuneup.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
pnvsv
yunpd
.
Inhalt des "geplante Tasks" Ordners

2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 16:04
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-12-28  16:05:59
ComboFix-quarantined-files.txt  2010-12-28 15:05

Vor Suchlauf: 8 Verzeichnis(se), 62.916.526.080 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.927.781.888 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - 2450A751AFF409826EEBC4E63CE1E08F
         
--- --- ---

Alt 28.12.2010, 19:18   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Netsvc::
pnvsv
yunpd
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.12.2010, 19:52   #10
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Combofix Logfile:
Code:
ATTFilter
ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010  19:37:47.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1014.652 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))
.

2010-12-27 11:34 . 2010-12-27 11:34	--------	d-----w-	C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55	--------	d-----w-	c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52	--------	d-----w-	c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54	--------	d-----w-	c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31	--------	d-----w-	c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55	--------	d-----w-	c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56	--------	d-----w-	c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50	--------	d-----w-	c:\programme\Bonjour

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57	81920	----a-w-	c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00	371200	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42	30528	----a-w-	c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53	30016	----a-w-	c:\windows\system32\uxtuneup.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 19:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-28  19:44:39
ComboFix-quarantined-files.txt  2010-12-28 18:44
ComboFix2.txt  2010-12-28 15:05

Vor Suchlauf: 10 Verzeichnis(se), 62.892.187.648 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.882.000.896 Bytes frei

- - End Of File - - 7D7AA5F0E6BE344D9D6B242DA49C40E0
         
--- --- ---

Alt 28.12.2010, 20:15   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.12.2010, 14:57   #12
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-29 14:54:29
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9100828AS rev.3.ALB
Running: eyx03kzu.exe; Driver: C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            F7E75C86                                                                                                                                         ZwCreateKey
SSDT            F7E75C7C                                                                                                                                         ZwCreateThread
SSDT            F7E75C8B                                                                                                                                         ZwDeleteKey
SSDT            F7E75C95                                                                                                                                         ZwDeleteValueKey
SSDT            F7E75C9A                                                                                                                                         ZwLoadKey
SSDT            F7E75C68                                                                                                                                         ZwOpenProcess
SSDT            F7E75C6D                                                                                                                                         ZwOpenThread
SSDT            F7E75CA4                                                                                                                                         ZwReplaceKey
SSDT            F7E75C9F                                                                                                                                         ZwRestoreKey
SSDT            F7E75C90                                                                                                                                         ZwSetValueKey

---- Devices - GMER 1.0.15 ----

Device                                                                                                                                                           Ntfs.sys (NT File System Driver/Microsoft Corporation)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device                                                                                                                                                           mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@DisplayName                                                                                            Boot Microsoft
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@Type                                                                                                   32
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@Start                                                                                                  2
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@ErrorControl                                                                                           0
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@ImagePath                                                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@ObjectName                                                                                             LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx@Description                                                                                            Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters (not active ControlSet)                                                                     
Reg             HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters@ServiceDll                                                                                  C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@DisplayName                                                                                            Boot Monitor
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@Type                                                                                                   32
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@Start                                                                                                  2
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@ErrorControl                                                                                           0
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@ImagePath                                                                                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@ObjectName                                                                                             LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa@Description                                                                                            Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters (not active ControlSet)                                                                     
Reg             HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters@ServiceDll                                                                                  C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@DisplayName                                                                                             Monitor Manager
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@Type                                                                                                    32
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@Start                                                                                                   2
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@ErrorControl                                                                                            0
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@ImagePath                                                                                               %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@ObjectName                                                                                              LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue@Description                                                                                             Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters (not active ControlSet)                                                                      
Reg             HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters@ServiceDll                                                                                   C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@DisplayName                                                                                         Center Config
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Type                                                                                                32
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Start                                                                                               2
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ErrorControl                                                                                        0
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ImagePath                                                                                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ObjectName                                                                                          LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Description                                                                                         Erm?glicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu ver?ndern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers ver?ndert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters (not active ControlSet)                                                                  
Reg             HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters@ServiceDll                                                                               C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@DisplayName                                                                                         Network Center
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Type                                                                                                32
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Start                                                                                               2
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ErrorControl                                                                                        0
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ImagePath                                                                                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ObjectName                                                                                          LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Description                                                                                         Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters (not active ControlSet)                                                                  
Reg             HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters@ServiceDll                                                                               C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@DisplayName                                                                                           Manager Driver
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Type                                                                                                  32
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Start                                                                                                 2
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ErrorControl                                                                                          0
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ImagePath                                                                                             %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ObjectName                                                                                            LocalSystem
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Description                                                                                           Bietet automatische Konfiguration f?r 802.11-Adapter.
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters (not active ControlSet)                                                                    
Reg             HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters@ServiceDll                                                                                 C:\WINDOWS\system32\rnhsv.dll
Reg             HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y!                                          71230

---- Files - GMER 1.0.15 ----

File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0139.jpg                    592185 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0253.jpg                    1399443 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Thumbs.db                        9728 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_10c5d007283248a6bfb42440b3e7ecc8.jpg  6114 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_962e92f2411a4e62a08063ce4f761504.jpg  8538 bytes
File            C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\Thumbs.db                               7168 bytes

---- EOF - GMER 1.0.15 ----
         
--- --- ---


OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:03:34 on 29.12.2010

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"Norton Security Scan for Lukas Hartmann.job" - "Symantec Corporation" - C:\Programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"fgtdapow" (fgtdapow) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys  (Hidden registry entry, rootkit activity | File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)" (ZD1211BU(ZyDAS)) - "ZyDAS Technology Corporation" - C:\WINDOWS\System32\DRIVERS\zd1211Bu.sys

[Explorer]
-----( HKCU\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Desktop\Components )-----
"(0) Source" - ? - /C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Versions-Update für Internet Explorer" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? -   (File not found | COM-object registry key not found)
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? -   (File not found | COM-object registry key not found)
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? -   (File not found | COM-object registry key not found)
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? -   (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
 "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
"ICQ7" - "ICQ, LLC." - C:\Programme\ICQ7.0\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Lukas Hartmann\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
"TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 122):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7CBE000 \WINDOWS\system32\KDCOM.DLL
0xF7BCE000 \WINDOWS\system32\BOOTVID.dll
0xF776E000 ACPI.sys
0xF7CC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF775D000 pci.sys
0xF77BE000 isapnp.sys
0xF7BD2000 compbatt.sys
0xF7BD6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7D86000 pciide.sys
0xF7A3E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF77CE000 MountMgr.sys
0xF773E000 ftdisk.sys
0xF7CC2000 dmload.sys
0xF7718000 dmio.sys
0xF7BDA000 ACPIEC.sys
0xF7D87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7A46000 PartMgr.sys
0xF77DE000 VolSnap.sys
0xF7700000 atapi.sys
0xF77EE000 disk.sys
0xF77FE000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF76E0000 fltmgr.sys
0xF76CE000 sr.sys
0xF7A4E000 PxHelp20.sys
0xF76B7000 KSecDD.sys
0xF76A4000 WudfPf.sys
0xF7617000 Ntfs.sys
0xF75EA000 NDIS.sys
0xF75D0000 Mup.sys
0xF79EE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7C8A000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF7449000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xF7435000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF740D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF726B000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
0xF7AEE000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF7247000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7AF6000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF7233000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
0xF79FE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF7AFE000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7204000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7CF0000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7B06000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A0E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF7A1E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF7A2E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF71E1000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7B0E000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0xF7DE9000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7C92000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF71CA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF783E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF7B16000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF7191000 \SystemRoot\system32\DRIVERS\psched.sys
0xF784E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7B1E000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF7B26000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF7161000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF785E000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7CF2000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF7103000 \SystemRoot\system32\DRIVERS\update.sys
0xF7CB2000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF786E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xAA385000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xAA361000 \SystemRoot\system32\drivers\portcls.sys
0xF789E000 \SystemRoot\system32\drivers\drmk.sys
0xAA32E000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xAA23C000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xAA18A000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF7B2E000 \SystemRoot\System32\Drivers\Modem.SYS
0xF78AE000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF7CFC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7E65000 \SystemRoot\System32\Drivers\Null.SYS
0xF7CFE000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7B4E000 \SystemRoot\System32\drivers\vga.sys
0xF7D00000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7D02000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7B56000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF7B5E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF7C5E000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xAA157000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xAA0FE000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xAA0B0000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xAA088000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF78BE000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xA9FC6000 \SystemRoot\System32\drivers\afd.sys
0xF78CE000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7B66000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xA9F9B000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xA9F2B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF78DE000 \SystemRoot\System32\Drivers\Fips.SYS
0xA9F05000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF7D06000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF794E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xA9EC5000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7D1E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys
0xF7BA6000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7DB1000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF021000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF043000 \SystemRoot\System32\ialmdev5.DLL
0xBF07E000 \SystemRoot\System32\ialmdd5.DLL
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xA9D98000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA9D58000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xA9ADB000 \SystemRoot\system32\drivers\wdmaud.sys
0xA9E75000 \SystemRoot\system32\drivers\sysaudio.sys
0xA96DA000 \SystemRoot\System32\Drivers\HTTP.sys
0xA9747000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xA9592000 \SystemRoot\system32\DRIVERS\srv.sys
0xF7E22000 \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys
0xF7B76000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xA8F0F000 \??\C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 36):
0 System Idle Process
4 System
1576 C:\WINDOWS\system32\smss.exe
1756 csrss.exe
1844 C:\WINDOWS\system32\winlogon.exe
1920 C:\WINDOWS\system32\services.exe
1932 C:\WINDOWS\system32\lsass.exe
256 C:\WINDOWS\system32\svchost.exe
344 svchost.exe
440 C:\WINDOWS\system32\svchost.exe
484 C:\WINDOWS\system32\svchost.exe
548 svchost.exe
628 svchost.exe
940 C:\WINDOWS\system32\spoolsv.exe
992 C:\Programme\Avira\AntiVir Desktop\sched.exe
1328 C:\WINDOWS\explorer.exe
1492 C:\WINDOWS\ehome\ehtray.exe
1532 C:\WINDOWS\RTHDCPL.exe
1552 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1572 C:\WINDOWS\system32\hkcmd.exe
1600 C:\WINDOWS\system32\igfxpers.exe
1616 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
616 C:\Programme\Avira\AntiVir Desktop\avguard.exe
664 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
680 C:\Programme\Bonjour\mDNSResponder.exe
780 C:\WINDOWS\system32\svchost.exe
1204 svchost.exe
1124 C:\WINDOWS\system32\svchost.exe
1432 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
468 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
1112 mcrdsvc.exe
1816 wmpnetwk.exe
3004 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
3180 alg.exe
2916 C:\Programme\Mozilla Firefox\firefox.exe
3200 C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000014`d9840c00 (NTFS)

PhysicalDrive0 Model Number: ST9100828AS, Rev: 3.ALB

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Geändert von Joscha_ (29.12.2010 um 15:05 Uhr)

Alt 29.12.2010, 15:58   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\adbhgx
HKLM\SYSTEM\ControlSet003\Services\djlgfa
HKLM\SYSTEM\ControlSet003\Services\jmfue
HKLM\SYSTEM\ControlSet003\Services\lrcimqdol
HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd
HKLM\SYSTEM\ControlSet003\Services\pxsgyax
HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}

Files to delete:
C:\WINDOWS\system32\rnhsv.dll
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.12.2010, 22:33   #14
Joscha_
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet003\Services\adbhgx" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\djlgfa" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\jmfue" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\lrcimqdol" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\pxsgyax" deleted successfully.

Error: file "C:\WINDOWS\system32\rnhsv.dll" not found!
Deletion of file "C:\WINDOWS\system32\rnhsv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 29.12.2010, 22:41   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.ZPACK.Gen - Standard

TR/Crypt.ZPACK.Gen



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Crypt.ZPACK.Gen
'tr/crypt.zpack.gen', aktion, antivir, avira, avira antivir, datei, einstellungen, forum, gen, guard, kommt immer wieder, lokale, malware, neu, nichts, personal, programm, system, temp, thema, tr/crypt.zpack.gen, trojan, unerwünschtes programm, virus, vsgavlkehsnmocx.dll, warnung, zugriff



Ähnliche Themen: TR/Crypt.ZPACK.Gen


  1. TR/Crypt.ZPACK.*, TR.Crypt.XPACK.*, nicht gefundene AdWare
    Log-Analyse und Auswertung - 12.11.2015 (10)
  2. Troj.TR/Crypt.Zpack.151493+Troj.TR/Crypt.Xpack.138980 entfernen+daten entschlüsseln
    Log-Analyse und Auswertung - 27.08.2015 (27)
  3. TR/Crypt.Zpack.96184 und TR/Crypt.Zpack.96450 entgültig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 14.09.2014 (13)
  4. Vermute TR/Crypt.ZPACK.47328 und TR/Crypt.ZPACK.56424 auf dem Rechner
    Log-Analyse und Auswertung - 12.05.2014 (10)
  5. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  6. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  7. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  8. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  9. TR/Dldr.Wintrim.BX.52, TR/Crypt.ZPACK.Gen, TR/Crypt.PEPM.Gen, ADWARE/Adware.Gen - ich brauche Hilfe.
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (8)
  10. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  11. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  12. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  13. AntiVir: TR/Crypt.XDR.Gen & TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 02.02.2010 (1)
  14. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  15. Computer infiziert: Crypt.ZPACK.Gen, Vundo.Gen (3mal), Crypt.ZPACK.Gen, Alureon.CZ
    Log-Analyse und Auswertung - 25.12.2009 (11)
  16. Trojaner TR/Crypt.ASPM.Gen und TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.10.2009 (4)
  17. TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (10)

Zum Thema TR/Crypt.ZPACK.Gen - Hi Forum, Ich bin neu hier und ich weiß nicht ob es dieses thema schoon gibt, aber seit gestern kommt immer wieder die Warnung: Guard: Malware Gefunden... Jede minute oder - TR/Crypt.ZPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.ZPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.