| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.03.2011, 16:09
| #16 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
[2011.03.18 15:59:12 | 000,000,000 | -H-D | M] -- C:\skhfushjfls
[2011.03.16 10:57:54 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Omonesuf.dat
[2011.03.16 10:57:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Qbesazoz.bin
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.07.11 06:34:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{676ea266-7802-11dc-b837-487444737531}\Shell - "" = AutoRun
O33 - MountPoints2\{676ea266-7802-11dc-b837-487444737531}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{676ea266-7802-11dc-b837-487444737531}\Shell\AutoRun\command - "" = G:\pushinst.exe
O33 - MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\Shell - "" = AutoRun
O33 - MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\Shell\AutoRun\command - "" = H:\pushinst.exe
:Commands
[purity]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
25.03.2011, 13:59
| #17 |
 | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Uff, geschafft, er hat zwar erst rumgemeckert und wollte nicht, aber nun hat er es doch getan:
__________________All processes killed ========== OTL ========== C:\skhfushjfls folder moved successfully. C:\WINDOWS\Omonesuf.dat moved successfully. C:\WINDOWS\Qbesazoz.bin moved successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{676ea266-7802-11dc-b837-487444737531}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{676ea266-7802-11dc-b837-487444737531}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{676ea266-7802-11dc-b837-487444737531}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{676ea266-7802-11dc-b837-487444737531}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{676ea266-7802-11dc-b837-487444737531}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{676ea266-7802-11dc-b837-487444737531}\ not found. File G:\pushinst.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e40626a-508e-11e0-81e8-487444737531}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e40626a-508e-11e0-81e8-487444737531}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6e40626a-508e-11e0-81e8-487444737531}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6e40626a-508e-11e0-81e8-487444737531}\ not found. File H:\pushinst.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: *** ->Temp folder emptied: 162308 bytes ->Temporary Internet Files folder emptied: 187934 bytes ->FireFox cache emptied: 4983499 bytes ->Flash cache emptied: 575 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 96681 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 5,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 03252011_132324 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Und hier die Startprogramme, von denen ich finde, dass einige sehr gruselig sind, aber welche und wie/wo lösche ich die endgültig, oder ist das völlig irrelevant? AKTIVIERT Pfad: HKLM/SOFTWARE/MICROSOFT/WINDOWS/CurrentVersion/Run: FRITZWLANMini c/programme/avmwlanstick/fritzwlanmini.exe avp c/programme/kaspersky lab/kaspersky internet security 2011/avp.exe ctfmon c/windows/system32/ctfmon.exe DEAKTIVIERT Pfad: SOFTWARE/MICROSOFT/WINDOWS/CurrentVersion/Run: Qg5 c/dokumenteundeinstellungen/***/lokaleeinsstellungen/temp/qg5.exe AdobeARM c/programme/gemeinsamedateien/adobe/arm/1.0/AdobeArm.exe Reader_sl c/programme/adobe/reader 10.0/reader/reader_sl.exe ccleaner c/programme/ccleaner/ccleaner.cxe/AUTO ctfmon c/windows/system32/ctfmon.exe hkcmd c/windows/system32/hkcmd.exe igfxtray c/windows/system32/igfxtray.exe oxanuvazij rundll32.exe “c/windows/oxanuvazij.dll”,Startup msmsgs “c/programme/messenger/msmsgs.exe”/background Qg7 c/dokumenteundeinstellungen/***/lokaleeinsstellungen/temp/qg7.exe igfxpers c/windows/system32/igfxpers.exe QTTask « c/programme/quicktime/qttask/.exe « -atboottime SetRefresh c/programme/Compaq/SetRefresh/SetRefresh.exe TeaTimer c/programme/spybot – Search & Destroy/TeaTimer.exe jusched c/programme/java/jre6/bin/jusched.exe realsched “c/programme/real/realplayer/update/realsched.exe”-osboot DEAKTIVIERT Microsoft Office c/programme/microsoaft/office/OSA9.exe b-I Pfad: Common Startup uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe c/dokumenteundeinstellungen/***/lokaleeinsstellungen/temp/ uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe Pfad: Startup So, bleibe heute online, habe jedoch häufig Ladeprobleme. Danke, Danke, Danke, Danke! sarogi |
|
25.03.2011, 14:49
| #18 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Dann bitte jetzt CF ausführen:
__________________ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ |
|
25.03.2011, 15:39
| #19 |
| | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Hallo Arne, 1. Beichte: Den bei mir seit Ewigkeiten installierten CCleaner habe ich vergessen vorher anzumachen..... (schäm!) 2. Nachdem ich Kaspersky deaktiviert habe, hat Window gequakt, das der Computer nicht geschützt ist - sonst habe ich kein Programm geöffnet bzw. irgendetwas angefasst..... 3. Nach dem automatischen Neustart ist Kaspersky mit seiner "Lizenz läuft ab" automatisch aufgegangen Hier nun ComboFix: Combofix Logfile: Code:
ATTFilter ComboFix 11-03-24.06 - *** 25.03.2011 15:14:47.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.503.299 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\load.exe
.
c:\windows\system32\drivers\ntfs.sys . . . ist infiziert!!
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-02-25 bis 2011-03-25 ))))))))))))))))))))))))))))))
.
.
2011-03-25 12:23 . 2011-03-25 12:23 -------- d-----w- C:\_OTL
2011-03-23 12:55 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-23 12:55 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-03-23 12:55 . 2011-03-23 12:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-03-21 09:56 . 2011-03-21 09:56 -------- d-----w- c:\programme\ERUNT
2011-03-20 13:42 . 2010-10-05 19:26 109240 ----a-w- c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru\components\abhelperxpcom.dll
2011-03-20 13:42 . 2010-10-05 19:27 150200 ----a-w- c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
2011-03-20 13:42 . 2011-03-20 18:32 114243 ----a-w- c:\windows\system32\drivers\klin.dat
2011-03-20 13:42 . 2011-03-20 18:32 97859 ----a-w- c:\windows\system32\drivers\klick.dat
2011-03-20 13:40 . 2011-03-25 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2011-03-20 13:40 . 2011-03-20 13:40 -------- d-----w- c:\programme\Kaspersky Lab
2011-03-20 13:22 . 2011-03-20 13:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2011-03-18 15:46 . 2011-03-20 13:37 -------- d-----w- c:\programme\Spybot - Search & Destroy
2011-03-18 15:46 . 2011-03-20 13:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-03-18 14:14 . 2011-03-18 14:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-03-18 14:13 . 2011-03-18 14:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-03-17 11:45 . 2011-03-17 11:45 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp
2011-03-17 10:21 . 2011-03-17 10:21 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-03-16 22:17 . 2011-03-16 22:17 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2011-03-16 16:27 . 2011-03-16 18:34 -------- d-----w- c:\programme\MMalwarebytes' Anti-Malware
2011-03-01 18:29 . 2011-03-01 18:29 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Temp
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2004-08-04 12:00 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-04 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-02 07:58 . 2005-07-11 05:29 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-07-11 05:29 677888 ----a-w- c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-04 12:00 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-04 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2011-01-04 19:36 . 2011-01-04 19:36 1110476 ----a-w- C:\7z920.exe
2010-12-31 14:03 . 2004-08-04 12:00 1855104 ----a-w- c:\windows\system32\win32k.sys
2007-08-13 19:01 . 2007-08-13 19:01 881584 ----a-w- c:\programme\Google_Updater.exe
2006-09-10 12:00 . 2006-09-10 12:00 1980509 -c--a-w- c:\programme\mp3gain-win-full-1_3_4.exe
2006-07-18 18:43 . 2006-07-18 18:43 279752 -c--a-w- c:\programme\RHDTOOL11.EXE
2005-11-26 18:08 . 2005-11-26 18:08 726329 -c--a-w- c:\programme\sudoku_setup.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^setup_9.0.0.722_18.03.2011_00-06.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\setup_9.0.0.722_18.03.2011_00-06.lnk
backup=c:\windows\pss\setup_9.0.0.722_18.03.2011_00-06.lnkStartup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnk]
path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnk
backup=c:\windows\pss\_uninst_kaspersky_9.0.0.722_02.02.2011_10-51.exe.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-11-10 11:49 932288 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-30 15:45 35736 ----a-w- c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccleaner]
2010-11-02 23:09 1862456 ----a-w- c:\programme\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2005-04-25 08:29 77824 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2005-04-25 08:32 94208 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2005-04-25 08:32 114688 ----a-w- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetRefresh]
2003-11-20 16:01 525824 ----a-w- c:\programme\COMPAQ\SetRefresh\SetRefresh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-12-19 15:34 274608 ----a-w- c:\programme\Real\RealPlayer\Update\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
.
R0 BsStor;InCD Storage Helper Driver;c:\windows\system32\drivers\bsstor.sys [11.07.2005 08:18 9344]
R0 WDMCAPI;ISDN PCI CAPI;c:\windows\system32\drivers\WDMCAPI.sys [31.07.2003 09:21 774045]
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]
R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [20.10.2004 03:47 98304]
R2 BsUDF;InCD UDF Driver;c:\windows\system32\drivers\bsudf.sys [11.07.2005 08:18 462464]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [20.10.2004 02:40 118784]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [11.10.2007 15:01 265088]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]
R3 WDMWANMP;NDIS WAN miniport;c:\windows\system32\drivers\wdmwanmp.sys [25.03.2003 16:31 28800]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [07.11.2007 16:39 4352]
S3 BCM42XX;Broadcom iLine10(tm)-Netzwerkadaptertreiber;c:\windows\system32\drivers\bcm42xx5.sys [12.07.2005 08:30 54271]
S3 BCM44X2;BCM 10/100-Ethernetnetwerkadapter-Treiber;c:\windows\system32\drivers\BCM4E5.SYS [12.07.2005 08:30 26568]
.
Inhalt des "geplante Tasks" Ordners
.
2011-03-25 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1417001333-1644491937-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
2011-03-20 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1417001333-1644491937-682003330-1003.job
- c:\programme\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s
IE: Hinzufügen zu Anti-Banner - c:\programme\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\wz1tk3v1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Anti-Banner: KavAntiBanner@Kaspersky.ru - c:\programme\Mozilla Firefox\extensions\KavAntiBanner@Kaspersky.ru
FF - Ext: Modul zur Link-Untersuchung: linkfilter@kaspersky.ru - c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKU-Default-Run-Recycle.Bin.exe - c:\recycle.bin\Recycle.Bin.exe
MSConfigStartUp-A9YA3MI1CF - c:\dokume~1\***\LOKALE~1\Temp\Qg5.exe
MSConfigStartUp-Kcocotoy - c:\windows\oxanuvazij.dll
MSConfigStartUp-NtWqIVLZEWZU - c:\dokume~1\***\LOKALE~1\Temp\Qg7.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-03-25 15:26
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{945169D7-C27E-315B-97A3E6913A1C7622}\{06C63AB7-5C18-FA8E-E5D32118C99A5B59}\{F7BD6AFF-A45B-6FB8-BB91AB79C0A3DA53}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A73A7B6D-D5C7-2D01-6A3ED58A203D5FEA}\{958FE6C0-B367-4AD6-C310294BFC5DB709}\{E2E9EAF6-387C-4947-07B2C800F4ACC9F3}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BE08C2D3-409A-BA9A-CCC3BF5A93C4C5B2}\{31E0C4F5-10D2-2559-BD8FA6F8E4FD42BD}\{0C75E684-EF64-45D0-854DEF6D927DBB7D}*]
"H35SBU1TDACDN4RUAHZ4TWNZVG1"=hex:01,00,01,00,00,00,00,00,2a,e8,d8,b5,da,1c,28,
8f,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2600)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\brss01a.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-03-25 15:32:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-03-25 14:31
.
Vor Suchlauf: 5.593.579.520 Bytes frei
Nach Suchlauf: 5.569.077.248 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F2400593115BE848B27F561E1AB0B437
Gruss sarogi |
|
05.04.2011, 14:02
| #20 |
| | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Hallo, ist denn da niemand mehr? AntiVir hat TR/CryptZPack.Gen2 gemeldet?! Bitte, kann mir keiner helfen, diesen Trojaner wegzukriegen? Danke!!! |
|
05.04.2011, 14:40
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Bitte mal Ruhe bewahren. Hier sind noch zig andere die Hilfe wollen und es können schon mal Stränge übersehen werden! Dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html
__________________ --> Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. |
|
05.04.2011, 14:46
| #22 |
| | Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. Hallo Arne, sollte kein meckern sein, nur ein verzweifeltes - Warum kriege ich das olle Ding einfach nicht wech? -!!!!! Und übrigens bin ich sehr platt: Das teure Kaspersky hat nichts gefunden, mein kostenloses AntiVir hat ihn.... Viele Grüße sarogi |
|
| Themen zu Alles voll mit TROJANER/ViREN: TR/Crypt.XPACK.GEN, JAVA/Agent.10515, Qg5, Qg7, Windows Prefetch USW. |
| 0x00000001, adobe, aufrufe, avira, bho, computer, error, explorer, extras.txt, fehler, firefox, flash player, format, google bilder, installation, intranet, java/agent.10515, kaspersky, location, logfile, maßnahme, ntdll.dll, oldtimer, photoshop, plug-in, prefetch, refresh, registry, remote control, routine, rundll, saver, scan, searchplugins, shell32.dll, startprogramme, stick, tastatur, tr/crypt.xpack.ge, tr/crypt.xpack.gen, udp, viren, virus, windows, windows internet, winlogon.exe |
Linear-Darstellung
