Hallo,
Avira hat bei mir das Trojanische Pferd TR/Crypt.XPACK.Gen gefunden.
Auszug:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Eva All\Anwendungsdaten\Yxak\kuit.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Eva All\Anwendungsdaten\Yxak\kuit.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-776561741-616249376-725345543-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kuit.exe> konnte nicht repariert werden.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5aad9525.qua' verschoben!
bei einem späteren Versuch:
Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{B436A7BC-605B-4CDE-B684-1CF735E8F460}\RP70\A0013593.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{B436A7BC-605B-4CDE-B684-1CF735E8F460}\RP70\A0013593.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44becc8e.qua' verschoben!
Heute:
Es wurde kein Virus gefunden!
Alle Versionen vollständig im Anhang.
Außerdem vor 1 Woche:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Eva All\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\f2c80c8-2f922788
[0] Archivtyp: ZIP
--> Photo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
C:\Dokumente und Einstellungen\Eva All\Lokale Einstellungen\Temp\Photo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Eva All\Lokale Einstellungen\Temp\Photo.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5b91da31.qua' verschoben!
C:\Dokumente und Einstellungen\Eva All\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\f2c80c8-2f922788
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5cf2f540.qua' verschoben!
nach Aktualisierungen keine Funde mehr.
Hier die dds
Code:
.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_32
Run by Eva All at 13:35:20 on 2012-05-06
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.598 [GMT 2:00]
.
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
svchost.exe
svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\WINDOWS\system32\svchost.exe -k HPService
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Eva All\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Dokumente und Einstellungen\Eva All\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe
C:\Programme\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\bin\hpqbam08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
.
============== Pseudo HJT Report ===============
.
uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>
BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\programme\hp\digital imaging\smart web printing\hpswp_printenhancer.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programme\java\jre6\bin\ssv.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programme\gemeinsame dateien\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
EB: HP Smart Web Printing: {555d4d79-4bd2-4094-a395-cfc534424a05} - c:\programme\hp\digital imaging\smart web printing\hpswp_bho.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [Akamai NetSession Interface] "c:\dokumente und einstellungen\eva all\lokale einstellungen\anwendungsdaten\akamai\netsession_win.exe"
mRun: [IntelZeroConfig] "c:\programme\intel\wireless\bin\ZCfgSvc.exe"
mRun: [IntelWireless] "c:\programme\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
mRun: [Broadcom Wireless Manager UI] c:\windows\system32\WLTRAY.exe
mRun: [PMX Daemon] ICO.EXE
mRun: [CTSVolFE.exe] "c:\programme\creative\mixer\CTSVolFE.exe" /r
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [Dell QuickSet] c:\programme\dell\quickset\quickset.exe
mRun: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
mRun: [SynTPEnh] c:\programme\synaptics\syntp\SynTPEnh.exe
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [HP Software Update] c:\programme\hp\hp software update\HPWuSchd2.exe
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\bttray.lnk - c:\programme\widcomm\bluetooth software\BTTray.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\digita~1.lnk - c:\programme\digital line detect\DLG.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\hpdigi~1.lnk - c:\programme\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\dokume~1\alluse~1\startm~1\progra~1\autost~1\setpoint.lnk - c:\programme\setpoint\SetPoint.exe
IE: Nach Microsoft &Excel exportieren - c:\progra~1\micros~3\office11\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\programme\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office11\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\programme\hp\digital imaging\smart web printing\hpswp_BHO.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
Notify: igfxcui - igfxdev.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\eva all\anwendungsdaten\mozilla\firefox\profiles\xrhm93x2.default\
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\programme\microsoft silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: c:\programme\microsoft\office live\npOLW.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_235.dll
FF - plugin: c:\windows\system32\npdeployJava1.dll
FF - plugin: c:\windows\system32\npptools.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2011-9-19 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2011-9-19 136360]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2011-9-19 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-9-19 66616]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-30 257696]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\mozilla maintenance service\maintenanceservice.exe [2012-4-27 129976]
.
=============== Created Last 30 ================
.
2012-05-05 12:56:57 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-05-05 12:56:56 476960 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-05-05 12:18:57 -------- d-----w- c:\programme\Microsoft
2012-04-30 10:13:16 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-04-29 09:37:10 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2012-04-29 09:36:39 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2012-04-29 09:35:24 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2012-04-29 09:34:16 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2012-04-29 09:32:17 852480 -c----w- c:\windows\system32\dllcache\vgx.dll
2012-04-29 09:31:56 10496 -c----w- c:\windows\system32\dllcache\ndistapi.sys
2012-04-29 09:31:54 139784 -c----w- c:\windows\system32\dllcache\rdpwd.sys
2012-04-29 09:31:52 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll
2012-04-29 09:31:52 3072 ------w- c:\windows\system32\iacenc.dll
2012-04-29 09:30:02 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2012-04-29 09:18:16 274288 ----a-w- c:\windows\system32\mucltui.dll
2012-04-29 09:18:16 215920 ----a-w- c:\windows\system32\muweb.dll
2012-04-29 09:18:16 17776 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-04-27 08:47:41 -------- d-----w- c:\programme\Mozilla Maintenance Service
2012-04-27 08:47:25 157352 ----a-w- c:\programme\mozilla firefox\maintenanceservice_installer.exe
2012-04-27 08:47:25 129976 ----a-w- c:\programme\mozilla firefox\maintenanceservice.exe
2012-04-27 08:16:33 -------- d-----w- c:\programme\MSECache
2012-04-26 15:24:54 -------- d-----w- c:\windows\system32\de-de
2012-04-26 15:24:53 -------- d-----w- c:\windows\system32\de
2012-04-26 15:24:53 -------- d-----w- c:\windows\l2schemas
2012-04-26 15:24:52 -------- d-----w- c:\windows\system32\bits
2012-04-26 15:17:41 -------- d-----w- c:\windows\network diagnostic
2012-04-26 15:06:21 -------- d-----w- c:\windows\EHome
2012-04-26 14:39:28 -------- d-----w- c:\windows\system32\NtmsData
2012-04-14 16:50:53 5632 ----a-w- c:\windows\system32\ptpusb.dll
2012-04-14 16:50:52 159232 ----a-w- c:\windows\system32\ptpusd.dll
2012-04-07 18:21:04 -------- d-----w- C:\113ddc02bab719e1cc5b
2012-04-07 18:19:40 -------- d-----w- c:\windows\system32\XPSViewer
2012-04-07 18:19:09 89088 ----a-w- c:\windows\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
2012-04-07 18:18:56 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2012-04-07 18:18:56 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2012-04-07 18:18:56 597504 ------w- c:\windows\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2012-04-07 18:18:56 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2012-04-07 18:18:56 575488 ------w- c:\windows\system32\xpsshhdr.dll
2012-04-07 18:18:56 117760 ------w- c:\windows\system32\prntvpt.dll
2012-04-07 18:18:55 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2012-04-07 18:18:55 1676288 ------w- c:\windows\system32\xpssvcs.dll
2012-04-07 18:18:55 -------- d-----w- C:\8450328530ac25a8fa8aa19c49
2012-04-07 09:58:04 -------- d-----w- C:\2a4fe5036b4a7acf120608
2012-04-07 09:58:01 -------- d-----w- C:\b7526145a17f185450dff302dc41ca5a
2012-04-07 08:40:03 588728 ----a-w- c:\programme\mozilla firefox\gkmedias.dll
2012-04-07 08:40:03 43960 ----a-w- c:\programme\mozilla firefox\mozglue.dll
.
==================== Find3M ====================
.
2012-05-05 12:55:37 472864 ----a-w- c:\windows\system32\deployJava1.dll
2012-05-05 10:12:23 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-29 14:09:48 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:09:48 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-28 18:49:19 672768 ----a-w- c:\windows\system32\wininet.dll
2012-02-28 18:49:18 61952 ----a-w- c:\windows\system32\tdc.ocx
2012-02-28 18:49:16 81920 ----a-w- c:\windows\system32\ieencode.dll
2012-02-28 18:47:50 371200 ----a-w- c:\windows\system32\html.iec
.
============= FINISH: 13:36:04,10 ===============
defogger, attach und gmer (deskop.zip) sowie die Avira-logs im Anhang.
Noch eine Frage:
Kann ich eine Externe-Festplatte anschließen, ohne dass sie sich infiziert?
Was ist mit kürzlich angeschlossenen USB-Sticks, Kamera etc.?
Ich hoffe ich habe alles richtig gemacht und jemand hier kann mir weiterhelfen.
Vielen Dank im Voraus.
