Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2

allure · 17.04.2011, 22:30

Hallo,

anbei der combofix-Bericht:

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-04-16.03 - Bungel 17.04.2011  23:18:56.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.660 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Bungel\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Bungel\Desktop\Internet Explorer.lnk
c:\dokumente und einstellungen\Bungel\Lokale Einstellungen\Anwendungsdaten\{226EA79C-1AF7-4BD1-AC64-1135E9D7020B}
c:\dokumente und einstellungen\Bungel\Lokale Einstellungen\Anwendungsdaten\{226EA79C-1AF7-4BD1-AC64-1135E9D7020B}\chrome.manifest
c:\dokumente und einstellungen\Bungel\Lokale Einstellungen\Anwendungsdaten\{226EA79C-1AF7-4BD1-AC64-1135E9D7020B}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Bungel\Lokale Einstellungen\Anwendungsdaten\{226EA79C-1AF7-4BD1-AC64-1135E9D7020B}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Bungel\Lokale Einstellungen\Anwendungsdaten\{226EA79C-1AF7-4BD1-AC64-1135E9D7020B}\install.rdf
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\{BC493C0A-D887-4367-82B2-89152536C015}
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\{BC493C0A-D887-4367-82B2-89152536C015}\chrome.manifest
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\{BC493C0A-D887-4367-82B2-89152536C015}\chrome\content\_cfg.js
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\{BC493C0A-D887-4367-82B2-89152536C015}\chrome\content\overlay.xul
c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\{BC493C0A-D887-4367-82B2-89152536C015}\install.rdf
C:\IE8-WI~1.EXE
c:\monitortest\MonitorTest.exe
c:\windows\system\oeminfo.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-17 bis 2011-04-17  ))))))))))))))))))))))))))))))
.
.
2011-04-17 20:58 . 2011-04-17 20:58	--------	d-----w-	c:\programme\CCleaner
2011-04-15 19:08 . 2011-04-15 19:08	--------	d-----w-	C:\_OTL
2011-04-15 08:46 . 2011-04-15 08:46	--------	d-----w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Malwarebytes
2011-04-15 08:45 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-15 08:45 . 2011-04-15 08:45	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-15 08:45 . 2011-04-15 08:46	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-15 08:45 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-09 12:35 . 2011-04-09 12:36	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2011-04-09 12:35 . 2011-04-09 12:35	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Startmenü
2011-04-09 12:35 . 2011-04-09 12:35	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Netcodec
2011-04-08 11:49 . 2011-04-08 11:49	--------	d-----w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Avira
2011-04-07 18:20 . 2011-04-07 18:20	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-04-04 18:03 . 2011-04-05 19:49	--------	d-----w-	c:\windows\system32\NtmsData
2011-04-04 17:12 . 2011-04-09 12:36	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2011-03-29 19:56 . 2011-04-09 18:09	--------	d-----w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\ZoomBrowser EX
2011-03-29 19:53 . 2011-03-29 19:53	--------	d-----w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\CANON INC
2011-03-29 19:52 . 2001-08-18 02:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2011-03-29 19:52 . 2008-04-13 18:45	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2011-03-29 19:52 . 2008-04-13 18:45	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2011-03-29 19:52 . 2008-04-14 02:22	159232	----a-w-	c:\windows\system32\ptpusd.dll
2011-03-29 19:46 . 2011-03-29 19:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2011-03-29 19:44 . 2011-03-29 19:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Canon
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-15 20:18 . 2011-04-15 20:18	389608	----a-w-	C:\_OTL.zip
2011-03-23 17:21 . 2009-07-27 12:22	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-07 05:33 . 2005-03-21 11:35	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-03 22:57	420864	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-03 22:46	1858048	------w-	c:\windows\system32\win32k.sys
2011-02-27 11:53 . 2011-02-27 11:52	36657376	----a-w-	C:\Nokia_PC_Suite_ger_web.exe
2011-02-22 23:05 . 2004-08-03 22:58	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-02-22 23:05 . 2004-08-03 22:57	916480	----a-w-	c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-03 22:57	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-02-22 11:41 . 2004-08-03 22:42	385024	----a-w-	c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-03 21:15	455936	------w-	c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-03 21:14	357888	------w-	c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-03 22:54	290432	----a-w-	c:\windows\system32\atmfd.dll
2011-02-13 13:17 . 2011-02-13 13:16	1492776	----a-w-	C:\setup_Pixum_Fotobuch.exe
2011-02-09 13:53 . 2004-08-03 22:57	270848	------w-	c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-08-03 22:57	186880	------w-	c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2004-08-03 22:57	978944	----a-w-	c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2004-08-03 22:57	974848	------w-	c:\windows\system32\mfc42u.dll
2011-02-02 07:58 . 2005-03-21 11:33	2067456	------w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2005-03-21 11:33	677888	------w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-03 22:57	440832	------w-	c:\windows\system32\shimgvw.dll
2007-02-21 22:03 . 2007-08-31 20:46	66672	----a-w-	c:\programme\mozilla firefox\components\jar50.dll
2007-02-21 22:03 . 2007-08-31 20:46	54376	----a-w-	c:\programme\mozilla firefox\components\jsd3250.dll
2007-02-21 22:03 . 2007-08-31 20:46	34952	----a-w-	c:\programme\mozilla firefox\components\myspell.dll
2007-02-21 22:03 . 2007-08-31 20:46	46720	----a-w-	c:\programme\mozilla firefox\components\spellchk.dll
2007-02-21 22:03 . 2007-08-31 20:46	172144	----a-w-	c:\programme\mozilla firefox\components\xpinstal.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	----a-w-	c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\programme\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-12-21 1483264]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-15 6803456]
"nwiz"="nwiz.exe" [2005-06-15 1519616]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-04-26 589824]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-06-15 86016]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-29 185896]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-18 281768]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-11-12 141600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Bungel\Startmen\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2010-2-26 21979992]
FRITZ!DSL Protect.lnk - c:\programme\FRITZ!DSL\FwebProt.exe [2007-9-7 1070384]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - c:\windows\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2008-7-2 29184]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]
MotionSD STUDIO - Autostart SD Browser -.lnk - c:\programme\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe [2008-2-29 66952]
PHOTOfunSTUDIO -viewer-.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-7-10 40960]
WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2010\meinsparbuchheute.exe [2010-5-26 1164584]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\Bungel\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.07.2009 14:22 135336]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
S3 dtwmnic5;Telekom Eumex 724PC DSL;c:\windows\system32\DRIVERS\dtwmnic5.sys --> c:\windows\system32\DRIVERS\dtwmnic5.sys [?]
S3 ulisa;Telekom ISDN-Adapter (USB);c:\windows\system32\Drivers\ulisa.sys --> c:\windows\system32\Drivers\ulisa.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - klmd25
.
Inhalt des "geplante Tasks" Ordners
.
2011-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-04-17 c:\windows\Tasks\User_Feed_Synchronization-{D7C6E822-3130-433E-A255-BA7C38DEA443}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://board.beauty24.de/forumdisplay.php?s=&forumid=6
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search - c:\programme\google\GoogleToolbar1.dll/cmsearch.html
IE: &Translate English Word - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
IE: Backward Links - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page - c:\programme\google\GoogleToolbar1.dll/cmcache.html
IE: Similar Pages - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
IE: Translate Page into English - c:\programme\google\GoogleToolbar1.dll/cmtrans.html
DPF: ImgUploader - hxxp://www.pixum.de/int/EasyUpload/ImgUploader.cab
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Bungel\Anwendungsdaten\Mozilla\Firefox\Profiles\l17mphag.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-17 23:23
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe???B? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(420)
c:\windows\system32\ATL.DLL
.
Zeit der Fertigstellung: 2011-04-17  23:25:18
ComboFix-quarantined-files.txt  2011-04-17 21:25
.
Vor Suchlauf: 24 Verzeichnis(se), 56.462.794.752 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 56.504.680.448 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 95684201513DD5360ECC5021D955C5EF

--- --- ---

Viele Grüße
allure

Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2

Plagegeister aller Art und deren Bekämpfung: Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2

Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2

Ähnliche Themen: Befall von verschiedenen Viren TR\Kazy.18911.10, TR\Crypt.EPACK.Gen2