Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avira hat TR/Crypt.XPACK.Gen gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.02.2011, 09:40   #1
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo zusammen,

ich bin neu hier im Forum und ein ziemlicher Computer-Laie. Trotzdem habe ich mich bemüht, eure Anweisungen zu lesen und zu befolgen. Sollte ich was vergessen oder falsch gemacht haben, bitte ich dies zu entschuldigen.

Für jede Hilfe bedanke ich mich schon im voraus.

Folgende Meldung erscheint nach jedem Computer-Start:

In der Datei 'C:\Dokumente und Einstellungen\K***\Lokale Einstellungen\Temp\mrnvcx.dat'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ich habe dann gemäß eurer Anleitung alle Schritte durchgeführt. Die Logfiles (hijackthis, MBAM, defogger, Gmer, OTL und Extras) befinden sich als zip-Datei im Anhang.

Bitte melden, wenn noch weitere Informationen gebraucht werden.

Jetzt bin ich mal gespannt ob ich den Quälgeist mit meinem begrenzen Kenntnissen und eurer professionellen Hilfe wieder loswerde.

Vielen Dank für jede Unterstützung

Alt 27.02.2011, 20:40   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________

__________________

Alt 28.02.2011, 00:14   #3
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo Cosinus,

danke für die schnelle Rückmeldung.

Hier die Logdateien:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5898

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28.02.2011 01:05:57
mbam-log-2011-02-28 (01-05-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|M:\|)
Durchsuchte Objekte: 230528
Laufzeit: 1 Stunde(n), 8 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{3e0b6ff9-effb-410e-ae6d-69013bd4b106}\RP618\A0114439.exe (Spyware.PWS) -> Quarantined and deleted successfully.


Hier nochmal die Logdatei von gestern:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5885

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

26.02.2011 19:25:18
mbam-log-2011-02-26 (19-25-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144009
Laufzeit: 4 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XTTB00001.XTTB00001Toolbar (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Value: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\test3.exe (Spyware.PWS) -> Quarantined and deleted successfully.
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.

Beides auch als Anhang

Gruß
Rolkoe
__________________
Angehängte Dateien
Dateityp: txt mbam-log-2011-02-26 (19-25-18).txt (2,6 KB, 205x aufgerufen)
Dateityp: txt mbam-log-2011-02-28 (01-05-57).txt (1,2 KB, 197x aufgerufen)

Alt 28.02.2011, 10:49   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.02.2011, 21:44   #5
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Guten Abend Arne,

hier das ComboFix-Log.

Danke und Gruß
Roland

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-28.02 - K**sch 28.02.2011  22:20:22.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.511.255 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\K**sch\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {82366800-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {F443DC68-FFA4-00EB-0D24-347CA8A3377C}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\audiograbber\audiograbber.exe
c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat
c:\dokumente und einstellungen\K**sch\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\K**sch\LENlab_V2_0_win32.exe
c:\dokumente und einstellungen\K**sch\Lokale Einstellungen\Temp\mrnvcx.dat
c:\windows\system32\STEC3.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_STEC3
-------\Service_STEC3


(((((((((((((((((((((((   Dateien erstellt von 2011-01-28 bis 2011-02-28  ))))))))))))))))))))))))))))))
.

2011-02-26 18:16 . 2011-02-26 18:16	--------	d-----w-	c:\programme\ERUNT
2011-02-26 18:06 . 2011-02-26 18:06	--------	d-----w-	c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-26 18:06 . 2011-02-26 18:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2011-02-26 21:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-26 18:06 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-27 18:32 . 2011-01-27 18:32	1409	----a-w-	c:\windows\QTFont.for
2010-12-22 07:06 . 2009-07-15 09:09	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-15 09:07 . 2009-07-15 09:07	32467048	----a-w-	c:\programme\avira_antivir_personal_de.exe
2009-04-13 08:49 . 2009-04-13 08:49	3190688	----a-w-	c:\programme\ccsetup218.exe
2007-08-17 16:06 . 2007-08-17 16:02	50005304	----a-w-	c:\programme\iTunesSetup.exe
2006-04-14 17:33 . 2006-04-14 17:32	5651168	----a-w-	c:\programme\FirefoxGoogleToolbarSetup.exe
2004-10-01 12:06 . 2008-10-12 20:53	500736	----a-w-	c:\programme\Unlock_esd.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-19 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-16 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-11 73728]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat 2yMCAGBHNJ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\RadioJack\\RJack.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24669:TCP"= 24669:TCP:BitComet 24669 TCP
"24669:UDP"= 24669:UDP:BitComet 24669 UDP

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15.09.2010 22:23 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 10:09 135336]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [21.08.2009 14:24 70336]
S3 libusb0;LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [20.01.2011 23:33 28672]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [13.07.2009 23:15 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [13.07.2009 23:15 8320]
S4 Gtr960kdmqed;Gtr960kdmqed; [x]
.
Inhalt des "geplante Tasks" Ordners

2011-02-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Download all links using BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm
IE: Download link using &BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Mozilla\Firefox\Profiles\3f2ht9id.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ixquick HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Nokia PC Suite - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Nokia_PC_Suite_6_84_10_3_ger_web.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-28 22:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1872)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\wscntfy.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-28  22:35:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-02-28 21:35

Vor Suchlauf: 11 Verzeichnis(se), 17.416.630.272 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.726.672.896 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 9DA36450C90A8C36D591909D4A20134A
         
--- --- ---


Alt 01.03.2011, 13:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Driver::
Gtr960kdmqed
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> Avira hat TR/Crypt.XPACK.Gen gefunden

Alt 01.03.2011, 23:21   #7
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo Arne,

anbei das neue ComboFix-Log

Danke und Gruß
Roland

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-28.07 - Koelsch 02.03.2011   0:00.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.511.271 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\K**sch\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\K**sch\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {82366800-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *Enabled/Updated* {F443DC68-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Gtr960kdmqed


(((((((((((((((((((((((   Dateien erstellt von 2011-02-01 bis 2011-03-01  ))))))))))))))))))))))))))))))
.

2011-02-26 18:16 . 2011-02-26 18:16	--------	d-----w-	c:\programme\ERUNT
2011-02-26 18:06 . 2011-02-26 18:06	--------	d-----w-	c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-26 18:06 . 2011-02-26 18:06	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-26 18:06 . 2011-02-26 21:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-02-26 18:06 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-27 18:32 . 2011-01-27 18:32	1409	----a-w-	c:\windows\QTFont.for
2010-12-22 07:06 . 2009-07-15 09:09	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-15 09:07 . 2009-07-15 09:07	32467048	----a-w-	c:\programme\avira_antivir_personal_de.exe
2009-04-13 08:49 . 2009-04-13 08:49	3190688	----a-w-	c:\programme\ccsetup218.exe
2007-08-17 16:06 . 2007-08-17 16:02	50005304	----a-w-	c:\programme\iTunesSetup.exe
2006-04-14 17:33 . 2006-04-14 17:32	5651168	----a-w-	c:\programme\FirefoxGoogleToolbarSetup.exe
2004-10-01 12:06 . 2008-10-12 20:53	500736	----a-w-	c:\programme\Unlock_esd.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCSuiteTrayApplication"="c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-19 281768]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-4-16 110592]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Image Zone Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-11 73728]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi9"=c:\dokume~1\K**sch\LOKALE~1\Temp\mrnvcx.dat 2yMCAGBHNJ

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\RadioJack\\RJack.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\BitComet\\BitComet.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"24669:TCP"= 24669:TCP:BitComet 24669 TCP
"24669:UDP"= 24669:UDP:BitComet 24669 UDP

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [15.09.2010 22:23 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.07.2009 10:09 135336]
S3 HRService;Haufe iDesk-Service in c:\programme\Haufe\iDesk\iDeskService\Zope;c:\programme\Haufe\iDesk\iDeskService\ideskservice.exe [21.08.2009 14:24 70336]
S3 libusb0;LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1;c:\windows\system32\drivers\libusb0.sys [20.01.2011 23:33 28672]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [13.07.2009 23:15 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [13.07.2009 23:15 8320]
.
Inhalt des "geplante Tasks" Ordners

2011-02-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-07-25 12:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Download all links using BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm
IE: Download link using &BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\K**sch\Anwendungsdaten\Mozilla\Firefox\Profiles\3f2ht9id.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ixquick HTTPS - Deutsch
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: BitDefender QuickScan: {e001c731-5e37-4538-a5cb-8168736a2360} - %profile%\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - user.js: yahoo.homepage.dontask - true
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-03-02 00:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2544)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
c:\programme\PC Connectivity Solution\ServiceLayer.exe
c:\programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\programme\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
c:\windows\system32\WgaTray.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-02  00:15:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-03-01 23:14
ComboFix2.txt  2011-02-28 21:35

Vor Suchlauf: 12 Verzeichnis(se), 17.903.710.208 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.888.071.680 Bytes frei

- - End Of File - - 96CFC7D7EEAA585DA94F293DF2B31CC3
         
--- --- ---

Alt 02.03.2011, 11:28   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.03.2011, 20:04   #9
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo Arne,

habe alle Schritte ausgeführt. Anbei die Logs.

Gruß
Roland

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-02 20:48:00
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Maxtor_6Y080P0 rev.YAR41BW0
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys


---- System - GMER 1.0.15 ----

SSDT   F8BF840E                                                                                                                        ZwCreateKey
SSDT   F8BF8404                                                                                                                        ZwCreateThread
SSDT   F8BF8413                                                                                                                        ZwDeleteKey
SSDT   F8BF841D                                                                                                                        ZwDeleteValueKey
SSDT   F8BF8422                                                                                                                        ZwLoadKey
SSDT   F8BF83F0                                                                                                                        ZwOpenProcess
SSDT   F8BF83F5                                                                                                                        ZwOpenThread
SSDT   F8BF842C                                                                                                                        ZwReplaceKey
SSDT   F8BF8427                                                                                                                        ZwRestoreKey
SSDT   F8BF8418                                                                                                                        ZwSetValueKey

---- User code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\WgaTray.exe[204] WININET.dll!InternetErrorDlg                                                               771FC31D 5 Bytes  JMP 0101211B C:\WINDOWS\system32\WgaTray.exe (Windows Genuine Advantage Notification/Microsoft Corporation)
.text  C:\WINDOWS\System32\svchost.exe[280] ntdll.dll!NtOpenKey                                                                        7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\System32\svchost.exe[280] kernel32.dll!CreateProcessW                                                                7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\System32\svchost.exe[280] kernel32.dll!ExitProcess                                                                   7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!connect                                                                         71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!send                                                                            71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!WSARecv                                                                         71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!recv                                                                            71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\System32\svchost.exe[280] ws2_32.dll!WSASend                                                                         71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\system32\winlogon.exe[672] ntdll.dll!NtOpenKey                                                                       7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\system32\winlogon.exe[672] kernel32.dll!CreateProcessW                                                               7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\system32\winlogon.exe[672] kernel32.dll!ExitProcess                                                                  7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!connect                                                                        71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\system32\winlogon.exe[672] WS2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\system32\services.exe[720] ntdll.dll!NtOpenKey                                                                       7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\system32\services.exe[720] kernel32.dll!CreateProcessW                                                               7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\system32\services.exe[720] kernel32.dll!ExitProcess                                                                  7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\system32\services.exe[720] ws2_32.dll!connect                                                                        71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\system32\services.exe[720] ws2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\system32\services.exe[720] ws2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\system32\services.exe[720] ws2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\system32\services.exe[720] ws2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\system32\lsass.exe[732] ntdll.dll!NtOpenKey                                                                          7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\system32\lsass.exe[732] kernel32.dll!CreateProcessW                                                                  7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\system32\lsass.exe[732] kernel32.dll!ExitProcess                                                                     7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!connect                                                                           71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!send                                                                              71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSARecv                                                                           71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!recv                                                                              71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\system32\lsass.exe[732] WS2_32.dll!WSASend                                                                           71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ntdll.dll!NtOpenKey                                                          7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] kernel32.dll!CreateProcessW                                                  7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] kernel32.dll!ExitProcess                                                     7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!send                                                              71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!WSARecv                                                           71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Java\jre1.6.0_03\bin\jusched.exe[788] ws2_32.dll!WSASend                                                           71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\system32\svchost.exe[916] ntdll.dll!NtOpenKey                                                                        7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\system32\svchost.exe[916] kernel32.dll!CreateProcessW                                                                7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\system32\svchost.exe[916] kernel32.dll!ExitProcess                                                                   7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!connect                                                                         71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!send                                                                            71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!WSARecv                                                                         71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!recv                                                                            71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\system32\svchost.exe[916] ws2_32.dll!WSASend                                                                         71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ntdll.dll!NtOpenKey                                              7C91DD3C 5 Bytes  JMP 100B3DF8 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!CreateProcessW                                      7C802332 3 Bytes  JMP 100B3C40 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!CreateProcessW + 4                                  7C802336 1 Byte  [93]
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] kernel32.dll!ExitProcess                                         7C81CDDA 5 Bytes  JMP 100B3E7C 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!connect                                               71A1406A 5 Bytes  JMP 100B3AF4 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!send                                                  71A1428A 5 Bytes  JMP 100B3268 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!WSARecv                                               71A14318 5 Bytes  JMP 100B27F4 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!recv                                                  71A1615A 5 Bytes  JMP 100B2788 
.text  C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe[948] ws2_32.dll!WSASend                                               71A16233 5 Bytes  JMP 100B3AA0 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ntdll.dll!NtOpenKey                                                           7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] kernel32.dll!CreateProcessW                                                   7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] kernel32.dll!ExitProcess                                                      7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!connect                                                            71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!send                                                               71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!WSARecv                                                            71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!recv                                                               71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Avira\AntiVir Desktop\avgnt.exe[956] ws2_32.dll!WSASend                                                            71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\System32\svchost.exe[1100] ntdll.dll!NtOpenKey                                                                       7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\System32\svchost.exe[1100] kernel32.dll!CreateProcessW                                                               7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\System32\svchost.exe[1100] kernel32.dll!ExitProcess                                                                  7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!connect                                                                        71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\System32\svchost.exe[1100] ws2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 10003AA0 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ntdll.dll!NtOpenKey                                                                       7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] kernel32.dll!CreateProcessW                                                               7C802332 5 Bytes  JMP 10003C40 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] kernel32.dll!ExitProcess                                                                  7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!connect                                                                        71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!send                                                                           71A1428A 5 Bytes  JMP 10003268 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!WSARecv                                                                        71A14318 5 Bytes  JMP 100027F4 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!recv                                                                           71A1615A 5 Bytes  JMP 10002788 
.text  C:\WINDOWS\system32\spoolsv.exe[1508] ws2_32.dll!WSASend                                                                        71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] ntdll.dll!NtOpenKey                                                          7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] kernel32.dll!CreateProcessW                                                  7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] kernel32.dll!ExitProcess                                                     7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!send                                                              71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!WSARecv                                                           71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!recv                                                              71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Avira\AntiVir Desktop\sched.exe[1564] WS2_32.dll!WSASend                                                           71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ntdll.dll!NtOpenKey                                                        7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] kernel32.dll!CreateProcessW                                                7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] kernel32.dll!ExitProcess                                                   7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!connect                                                         71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!send                                                            71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!WSARecv                                                         71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!recv                                                            71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Avira\AntiVir Desktop\avguard.exe[1696] ws2_32.dll!WSASend                                                         71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] ntdll.dll!NtOpenKey          7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] kernel32.dll!CreateProcessW  7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] kernel32.dll!ExitProcess     7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!connect           71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!send              71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!WSARecv           71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!recv              71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe[1712] WS2_32.dll!WSASend           71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ntdll.dll!NtOpenKey                                                   7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] kernel32.dll!CreateProcessW                                           7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] kernel32.dll!ExitProcess                                              7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!connect                                                    71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!send                                                       71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!WSARecv                                                    71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!recv                                                       71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe[1772] ws2_32.dll!WSASend                                                    71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ntdll.dll!NtOpenKey                                                     7C91DD3C 5 Bytes  JMP 10003DF8 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] KERNEL32.dll!CreateProcessW                                             7C802332 5 Bytes  JMP 10003C40 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] KERNEL32.dll!ExitProcess                                                7C81CDDA 5 Bytes  JMP 10003E7C 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!connect                                                      71A1406A 5 Bytes  JMP 10003AF4 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!send                                                         71A1428A 5 Bytes  JMP 10003268 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!WSARecv                                                      71A14318 5 Bytes  JMP 100027F4 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!recv                                                         71A1615A 5 Bytes  JMP 10002788 
.text  C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe[1784] ws2_32.dll!WSASend                                                      71A16233 5 Bytes  JMP 10003AA0 
.text  C:\Programme\Mozilla Firefox\firefox.exe[2696] ntdll.dll!LdrLoadDll                                                             7C9261CA 5 Bytes  JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text  C:\Programme\Mozilla Firefox\plugin-container.exe[3048] USER32.dll!TrackPopupMenu                                               77D64ED6 5 Bytes  JMP 10402342 C:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 20:55:35 on 02.03.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl  (File not found)
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl
"NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Aspi32" (Aspi32) - "Adaptec" - C:\WINDOWS\system32\drivers\Aspi32.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"GEARAspiWDM" (GEARAspiWDM) - "GEAR Software Inc." - C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kgqoafoc" (kgqoafoc) - ? - C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys  (Hidden registry entry, rootkit activity | File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"LibUsb-Win32 - Kernel Driver 03/20/2007, 0.1.12.1" (libusb0) - "hxxp://libusb-win32.sourceforge.net" - C:\WINDOWS\System32\DRIVERS\libusb0.sys
"Linksys Wireless-G PCI Adapter Driver" (RT2500) - "Ralink Technology Inc." - C:\WINDOWS\System32\DRIVERS\RT2500.sys
"Mass Storage Filter Driver" (massfilter) - ? - C:\WINDOWS\System32\drivers\massfilter.sys  (File not found)
"Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys
"pavboot" (pavboot) - "Panda Security, S.L." - C:\WINDOWS\System32\drivers\pavboot.sys
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"ZTE Diagnostic Port" (ZTEusbser6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbser6k.sys  (File not found)
"ZTE NMEA Port" (ZTEusbnmea) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbnmea.sys  (File not found)
"ZTE Proprietary USB Driver" (ZTEusbmdm6k) - ? - C:\WINDOWS\System32\DRIVERS\ZTEusbmdm6k.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll
{ED65AB21-B24F-11d3-BA80-00C0CA16AA37} "Mobile" - ? -   (File not found | COM-object registry key not found)
{ED65AB22-B24F-11d3-BA80-00C0CA16AA37} "Mobile ContextMenuHandler" - ? -   (File not found | COM-object registry key not found)
{ED65AB23-B24F-11d3-BA80-00C0CA16AA37} "Mobile PropertySheetHandler" - ? -   (File not found | COM-object registry key not found)
{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll
{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL
{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -   (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll  (File not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "Java Plug-in 1.5.0_10" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_10\bin\npjpi150_10.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -   (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll
"ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "ICQ Toolbar" - ? - C:\PROGRA~1\ICQTOO~1\toolbaru.dll  (File not found)
<binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - "Yahoo! Inc." - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)
"Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"HP Image Zone Schnellstart.lnk" - "Hewlett-Packard Co." - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe  (Shortcut exists | File exists)
"Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\K**sch\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"updateMgr" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"PCSuiteTrayApplication" - "Nokia" - C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Apple Mobile Device" (Apple Mobile Device) - "Apple, Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"AVM FRITZ!web Routing Service" (de_serv) - "AVM Berlin" - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
"Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope" (HRService) - ? - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe  (File found, but it contains no detailed information)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
"NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
"ServiceLayer" (ServiceLayer) - "Nokia." - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru


MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000003c

Kernel Drivers (total 120):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EC000 \WINDOWS\system32\hal.dll
0xF8A36000 \WINDOWS\system32\KDCOM.DLL
0xF8946000 \WINDOWS\system32\BOOTVID.dll
0xF84E6000 ACPI.sys
0xF8A38000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF84D5000 pci.sys
0xF8536000 isapnp.sys
0xF8546000 ohci1394.sys
0xF8556000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
0xF8A3A000 viaide.sys
0xF87B6000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF8566000 MountMgr.sys
0xF84B6000 ftdisk.sys
0xF8A3C000 dmload.sys
0xF8490000 dmio.sys
0xF87BE000 PartMgr.sys
0xF87C6000 pavboot.sys
0xF8576000 VolSnap.sys
0xF8478000 atapi.sys
0xF8586000 disk.sys
0xF8596000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF8458000 fltmgr.sys
0xF8446000 sr.sys
0xF85A6000 PxHelp20.sys
0xF842F000 KSecDD.sys
0xF83A2000 Ntfs.sys
0xF8375000 NDIS.sys
0xF85B6000 viaagp.sys
0xF87CE000 viaagp1.sys
0xF835B000 Mup.sys
0xF85E6000 \SystemRoot\System32\DRIVERS\nic1394.sys
0xF78E3000 \SystemRoot\System32\DRIVERS\amdk7.sys
0xF7683000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
0xF766F000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF8836000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF764C000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF883E000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xF78D3000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF8846000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF884E000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF89F6000 \SystemRoot\system32\drivers\pfc.sys
0xF78C3000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF78B3000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF7629000 \SystemRoot\System32\DRIVERS\ks.sys
0xF8856000 \SystemRoot\System32\Drivers\GEARAspiWDM.sys
0xF78A3000 \SystemRoot\System32\DRIVERS\imapi.sys
0xF7893000 \SystemRoot\system32\drivers\viaudio.sys
0xF7605000 \SystemRoot\system32\drivers\portcls.sys
0xF7883000 \SystemRoot\system32\drivers\drmk.sys
0xF885E000 \SystemRoot\System32\DRIVERS\fetnd5.sys
0xF8866000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF75F4000 \SystemRoot\System32\DRIVERS\serial.sys
0xF8A02000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF75E0000 \SystemRoot\System32\DRIVERS\parport.sys
0xF8A06000 \SystemRoot\System32\DRIVERS\gameenum.sys
0xF8B77000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF7873000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF8A0A000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF75C9000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF7863000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF7853000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF886E000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF75B8000 \SystemRoot\System32\DRIVERS\psched.sys
0xF85F6000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF8876000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF887E000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF7562000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF8606000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8A64000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF7506000 \SystemRoot\System32\DRIVERS\update.sys
0xF8A26000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF8616000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF8626000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8A6A000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF8A6C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF8C18000 \SystemRoot\System32\Drivers\Null.SYS
0xF8A6E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF8896000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF889E000 \SystemRoot\System32\drivers\vga.sys
0xF8A70000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8A72000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF88A6000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF88AE000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF8317000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF44AB000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF4452000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF442A000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF4408000 \SystemRoot\System32\drivers\afd.sys
0xF8656000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF88B6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0xF43DD000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF436E000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF8666000 \SystemRoot\System32\Drivers\Fips.SYS
0xF434D000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF8676000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF8686000 \SystemRoot\System32\DRIVERS\arp1394.sys
0xF425F000 \SystemRoot\system32\DRIVERS\avipbb.sys
0xF8A78000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0xF86D6000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF4247000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8A80000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF7552000 \SystemRoot\System32\drivers\Dxapi.sys
0xF88DE000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF8C32000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xF40B2000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xF40CF000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF3E2D000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF8A82000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF402E000 \SystemRoot\System32\Drivers\Aspi32.SYS
0xF3D8B000 \SystemRoot\System32\DRIVERS\srv.sys
0xF3C86000 \SystemRoot\system32\drivers\wdmaud.sys
0xF4285000 \SystemRoot\system32\drivers\sysaudio.sys
0xF3774000 \SystemRoot\system32\DRIVERS\usbscan.sys
0xF2DD3000 \??\C:\DOKUME~1\K**sch\LOKALE~1\Temp\kgqoafoc.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 34):
0 System Idle Process
4 System
580 C:\WINDOWS\system32\smss.exe
644 csrss.exe
672 C:\WINDOWS\system32\winlogon.exe
720 C:\WINDOWS\system32\services.exe
732 C:\WINDOWS\system32\lsass.exe
916 C:\WINDOWS\system32\svchost.exe
1004 svchost.exe
1100 C:\WINDOWS\system32\svchost.exe
1180 svchost.exe
1336 svchost.exe
1508 C:\WINDOWS\system32\spoolsv.exe
1564 C:\Programme\Avira\AntiVir Desktop\sched.exe
1696 C:\Programme\Avira\AntiVir Desktop\avguard.exe
1712 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
1772 C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
2040 C:\Programme\Avira\AntiVir Desktop\avshadow.exe
216 C:\WINDOWS\explorer.exe
280 C:\WINDOWS\system32\svchost.exe
448 wdfmgr.exe
948 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
956 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
788 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
1784 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
264 C:\Programme\PC Connectivity Solution\ServiceLayer.exe
204 C:\WINDOWS\system32\WgaTray.exe
1064 C:\WINDOWS\system32\wscntfy.exe
1624 alg.exe
1852 C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
2104 C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
2696 C:\Programme\Mozilla Firefox\firefox.exe
3048 C:\Programme\Mozilla Firefox\plugin-container.exe
1944 C:\Dokumente und Einstellungen\K**sch\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`52c65e00 (NTFS)

PhysicalDrive0 Model Number: Maxtor6Y080P0, Rev: YAR41BW0

Size Device Name MBR Status
--------------------------------------------
76 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

Alt 02.03.2011, 20:10   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.03.2011, 19:56   #11
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo Arne,

Avira hat immer noch angeschlagen.
Auch nach dem Malwarbytes-Scan.
Nach dem SUPER AntiSpyware-Scan kam bis jetzt keine Meldung mehr.

Danke und Gruß
Roland


Hier die beiden Logs:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5944

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.03.2011 18:17:32
mbam-log-2011-03-03 (18-17-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 222003
Laufzeit: 47 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/03/2011 at 08:25 PM

Application Version : 4.49.1000

Core Rules Database Version : 6522
Trace Rules Database Version: 4334

Scan type : Complete Scan
Total Scan Time : 01:53:09

Memory items scanned : 502
Memory threats detected : 0
Registry items scanned : 7365
Registry threats detected : 0
File items scanned : 82130
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\K**sch\Cookies\k**sch@yadro[2].txt

Trojan.Agent/Gen-Turnover
C:\DOKUMENTE UND EINSTELLUNGEN\K**SCH\LOKALE EINSTELLUNGEN\TEMP\MRNVCX.DAT
C:\QOOBOX\QUARANTINE\C\DOKUMENTE UND EINSTELLUNGEN\K**SCH\LOKALE EINSTELLUNGEN\TEMP\MRNVCX.DAT.VIR
C:\QOOBOX\QUARANTINE\C\DOKUME~1\K**SCH\LOKALE~1\TEMP\MRNVCX.DAT.VIR

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E0B6FF9-EFFB-410E-AE6D-69013BD4B106}\RP648\A0122315.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{3E0B6FF9-EFFB-410E-AE6D-69013BD4B106}\RP648\A0122316.DLL

Alt 04.03.2011, 12:05   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Das sind nur Überreste, tw. im Combofix-Quarantäneordner und tw. in der Systemwiederherstellung (SWH)

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.03.2011, 16:36   #13
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Hallo Arne,

die Systemherstellung habe ich deaktiviert.
Es kamen auch keine weiteren Meldungen.

Sollte ich alle in diesem Zusammenhang installierte Programme wieder deinstallieren?

Arne, dir auf jeden Fall an dieser Stelle schon mal vielen, vielen Dank für deine Zeit und Geduld.

Auch vielen Dank an Trojaner-Board.de. Sehr professionel aufgemacht. Die Schritt-für-Schritt-Anleitungen sind auch für Laien wie mich durchführbar mit Hilfe der fachkundigen Helfern.

Ich werde euch weiterempfehlen und euch eine kleine Spende zukommen lassen.

Viele Grüße

Alt 07.03.2011, 14:35   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Ja die Programme können alle wieder runter. Rechner ist soweit wieder ok oder noch weitere meldungen/Funde/Probleme?

Zitat:
Auch vielen Dank an Trojaner-Board.de. Sehr professionel aufgemacht. Die Schritt-für-Schritt-Anleitungen sind auch für Laien wie mich durchführbar mit Hilfe der fachkundigen Helfern.
Ich werde euch weiterempfehlen und euch eine kleine Spende zukommen lassen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.03.2011, 18:05   #15
Rolkoe
 
Avira hat TR/Crypt.XPACK.Gen gefunden - Standard

Avira hat TR/Crypt.XPACK.Gen gefunden



Rechner läuft wieder wie am Schnürchen. Nochmals vielen Dank

Gruß
Roland

Antwort

Themen zu Avira hat TR/Crypt.XPACK.Gen gefunden
anleitung, avira, datei, einstellungen, falsch, forum, gebraucht, gen, gmer, hallo zusammen, hijack, hijackthis, logfiles, lokale, mbam, meldung, neu, programm, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', trojan, unerwünschtes programm, virus, zip-datei, zugriff



Ähnliche Themen: Avira hat TR/Crypt.XPACK.Gen gefunden


  1. Windows 8 pro = tr/crypt.xpack.81090 von Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 21.10.2014 (11)
  2. tr/crypt.xpack.81090 von Avira gefunden - Betriebssystem Windows 8 pro
    Alles rund um Windows - 15.10.2014 (5)
  3. TR/Crypt.Xpack.96738 bei Avira gefunden
    Log-Analyse und Auswertung - 01.10.2014 (3)
  4. Trojaner nach Fake-Email, TR/Crypt.Xpack.87275 wird ständig von Avira gefunden
    Log-Analyse und Auswertung - 13.09.2014 (13)
  5. Avira meldet: 'TR/Crypt.Xpack.66163' [trojan] gefunden.
    Log-Analyse und Auswertung - 12.06.2014 (15)
  6. Trojaner tr/crypt.xpack.gen8 von Avira Gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.07.2013 (12)
  7. TR/Crypt.XPACK.Gen7 von Avira in StarMoney-Datei gefunden - was tun?
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (6)
  8. TR/Crypt.XPACK.Gen und EXP/JAVA.Nanube.Gen von Avira gefunden, wie kann ich sie löschen?
    Plagegeister aller Art und deren Bekämpfung - 11.11.2012 (10)
  9. TR/Crypt.XPACK.Gen2 von Avira Antivir gefunden
    Log-Analyse und Auswertung - 31.10.2012 (51)
  10. TR/crypt.XPACK.gen durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (13)
  11. TR/Crypt.XPACK.Gen, TR/Jorik.Mokes.aqd von Avira gefunden. Wie werde ich sie wieder los?
    Plagegeister aller Art und deren Bekämpfung - 02.08.2012 (17)
  12. TR/Crypt.XPACK.Gen, von Avira gefunden, in 'C:\update_exe63477...
    Log-Analyse und Auswertung - 20.07.2012 (1)
  13. TR/Crypt.XPACK.Gen von Avira gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.05.2012 (5)
  14. 'TR/Crypt.XPACK.Gen2' [trojan] von Avira Antivir gefunden, taucht nach entfernen wieder auf
    Log-Analyse und Auswertung - 29.09.2011 (21)
  15. TR/Crypt.XPACK.Gen3 von Avira Guard gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.11.2010 (9)
  16. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  17. Avira hat TR/Crypt.XPACK.Gen gefunden
    Log-Analyse und Auswertung - 23.11.2009 (1)

Zum Thema Avira hat TR/Crypt.XPACK.Gen gefunden - Hallo zusammen, ich bin neu hier im Forum und ein ziemlicher Computer-Laie. Trotzdem habe ich mich bemüht, eure Anweisungen zu lesen und zu befolgen. Sollte ich was vergessen oder falsch - Avira hat TR/Crypt.XPACK.Gen gefunden...
Archiv
Du betrachtest: Avira hat TR/Crypt.XPACK.Gen gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.