Avira Support Forum

Hallo liebe Forengemeinde,

ich bin neu hier habe mir ein riesiges Problem mit dem Namen TR/Crypt.XPack.Gen3 eingefangen.

Ich konnte leider über die Suchfunktion leider keine eindeutige und für mich als nicht Fachmann verständliche Hilfestellung finden.

Deshalb bitte ich euch hiermit höflich um Hilfe, da ich mittlerweile schon verzweifelt bin :-(.

Ich habe von Antivir den Befall mit dem gennannten Trojaner gemeldet bekommen und ihn daraufhin löschen wollen.

Mittlerweile habe ich keine Icons mehr auf dem Desktop und keine Programme mehr im Startmenü.


Gibt es hierfür noch Rettung?

Vielen vielen Dank für eure Hilfe schon im Voraus

Bitte ein Fund-LOG von aVir posten und mal rein Vorsorglich die Installations-CDs raussuchen. Mal schauen was Du dir da eingefangen hast.

Hallo,

das log-file erstelle ich mit dem Anti Vir Rescue System oder?

Falls dies so ist werde ich das gemäß der Anleitung auf Chip.de machen

Nein - Antivir öffnen und den Fundbericht suchen - diesen dann kopieren und hier einfügen.

Danach:

lade dir combofix, führe es auf dem Desktop aus
http://virus-protect.org/artikel/tools/combofix.html

Bitte beende vorher alle Anwendungen -auch den Browser
Die AviraGuard ebenfalls - Klick in den Schirm - nimm das Häkchen weg
Lass die Maus in Ruhe wenn CFix läuft !
Mache nichts nebenher !

Combo fix wird einges bereits in Quarantäne tun
und einen Reboot machen - das ist in deinem Fall normal !

Bitte post das log von Combofix .

Bitte genau an die Anleitung halten. Wenn das Logfile zu lang, dann aufsplitten.

Bitte unbedingt vor der Anwendung des Tools sämtliche Icons in der Taskleiste unten rechts schließen, im Taskmanager alle Programme bis auf die windowseigenen beenden, die Firewall deaktivieren und sämtliche Wächter von Schutzprogrammen deaktivieren. Die Verbindung zum Internet trennen.

Hallo vielen Dank schon mal!

Anebi das Log-File von Antivir

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 17. März 2012 10:22

Es wird nach 3559403 Virenstämmen gesucht.

Lizenznehmer: Avira Free Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: xxxxx
Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 12:02:55
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 12:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 13:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 12:40:42
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:56:48
ANTIVIR1.VDF : 7.11.21.247 32208752 Bytes 01.02.2012 10:09:07
ANTIVIR2.VDF : 7.11.25.35 4150176 Bytes 12.03.2012 20:02:01
ANTIVIR3.VDF : 7.11.25.96 185856 Bytes 14.03.2012 19:57:10
Engineversion : 8.2.10.20
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 18:33:22
AESCRIPT.DLL : 8.1.4.9 455032 Bytes 12.03.2012 20:03:35
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 23:27:47
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 20:03:28
AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 20:33:09
AEPACK.DLL : 8.2.16.5 803190 Bytes 09.03.2012 19:12:04
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 14:43:15
AEHEUR.DLL : 8.1.4.4 4460916 Bytes 12.03.2012 20:03:21
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 09:30:04
AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 19:11:40
AEEXP.DLL : 8.1.0.24 74101 Bytes 09.03.2012 19:11:37
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 20:31:12
AECORE.DLL : 8.1.25.5 201079 Bytes 09.03.2012 19:11:36
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 19:10:09
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 09:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 10:27:58
AVREP.DLL : 10.0.0.10 174120 Bytes 14.12.2011 20:44:23
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 12:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 09:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 13:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 13:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 13:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 14:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 14:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 17. März 2012 10:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'attrib.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UL5FMpTprRwIpI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dot1XCfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YFJDscKybEK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdf24.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iFrmewrk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ZCfgSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CATSysDemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLKEEPER.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '54' Prozesse mit '54' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 17. März 2012 15:01
Benötigte Zeit: 4:38:36 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

31639 Verzeichnisse wurden überprüft
1259134 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1259132 Dateien ohne Befall
8948 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Nachdem das Combo Fix gelaufen ist, sehe ich jetzt im Startmenü wieder meine Programme allerdings mit dem Zusatz [Leer]

Ich kann Powerpoint dann nur über Datei die zb. auf einem Stick ist öffenen. Dann funktioniert aber alles soweit.

Meine Daten sehe ich alle im Explorer.

Was müsste ich jetzt noch bereinigen, dass ich das Viren Problem voll los bin.

Vielen vielen Dank schon mal.

Quoted from "Radfahrer85"

Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]

Es gibt schon sehr lange das Service Pack 3 für XP. Du erhälst seit mehr als einem Jahr keine Sicherheitsupdates mehr.

Quoted from "Radfahrer85"

BUILD.DAT : 8.2.0.354 17048 Bytes 23.10.2009 13:15:00

Die Version 8 von Antivir ist Uralt. Aktuell ist die Version 12. Warum nie eine aktuelle Version installiert?

Nighthawk möchte den Report mit dem Fund sehen. Also wo der Fund mit Bezeichnung und Dateipfad aufgelistet ist.

Desweiteren bitte auch noch das Log von Combofix posten. Zu finden unter C:\Combofix.txt.

Hallo,

vielen Dank für die Infos. Ich hoffe die folgenden Logs sind die richtigen. Und ja wenn das so ist wären neuere Versionen sinnvoll gewesen aber jetzt bin ich als
Nichtfachmann schon in Brunnen gefallen.

Fürs nächste mal ist diese Lektion gelernt.

ANTIVIR-LOG:

In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temp\dpmezwX7NJzdLv.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temp\1ED1TDn0Bv9zwF.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen3' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


Die Datei 'C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\5af8bf2e-16918e78'
enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2010-0840' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fc9ce57.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\339899b1-785c1b72'
enthielt einen Virus oder unerwünschtes Programm 'EXP/JAVA.Niabil.Gen' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9cce33.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\5f994a71-551790bb'
enthielt einen Virus oder unerwünschtes Programm 'TR/PSW.Zbot.3987' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f9cce6f.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Temp\jar_cache4558329749878520091.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Horse.TLV' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd5d8a2.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\jar_cache8685759141593441916.tmp'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/Agent.DR.4' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fd5d8ec.qua' verschoben!


Die Datei 'C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\5af8bf2e-16918e78'
enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2010-0840' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
Fehler in der ARK Lib.
Die Datei wurde zum Löschen nach einem Neustart markiert.

COMBO FIX - LOG:

ComboFix 12-03-16.05 - xxxxx 17.03.2012 16:48:23.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.578 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxxxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~UL5FMpTprRwIpI
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~UL5FMpTprRwIpIr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UL5FMpTprRwIpI
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UL5FMpTprRwIpI.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YFJDscKybEK.exe
C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Cyme\iwqe.exe
C:\WINDOWS\Downloaded Program Files\IDropPTB.dll
C:\WINDOWS\system32\PowerToyReadme.htm
C:\WINDOWS\system32\SET2B0.tmp
C:\WINDOWS\system32\SET2B4.tmp
C:\WINDOWS\system32\SET2B5.tmp
C:\WINDOWS\system32\SET2BC.tmp


((((((((((((((((((((((( Dateien erstellt von 2012-02-17 bis 2012-03-17 ))))))))))))))))))))))))))))))


2012-02-29 10:30:25 . 2012-02-29 10:30:25 -------- d--h--w- C:\Programme\Gemeinsame Dateien\Skype
2012-02-28 11:59:23 . 2012-02-28 11:59:23 -------- d--h--w- C:\Programme\OriginLab
2012-02-28 11:40:48 . 2000-01-04 06:39:00 212992 ---ha-w- C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\ILog.dll
.


(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

2012-02-21 21:17:31 . 2011-11-25 20:48:41 134104 ---ha-w- C:\Programme\mozilla firefox\components\browsercomps.dll


(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))


*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2012-01-03 15:31:28 1514152 ---ha-w- C:\Programme\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "C:\Programme\Ask.com\GenericAskToolbar.dll" [2012-01-03 15:31:28 1514152]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "C:\Programme\Ask.com\GenericAskToolbar.dll" [2012-01-03 15:31:28 1514152]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20 94208 ---ha-w- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20 94208 ---ha-w- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20 94208 ---ha-w- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12:20 94208 ---ha-w- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 12:11:12 490952]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 07:20:59 222080]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-03-17 12:29:55 39408]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2009-06-20 16:40:49 2356088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 10:19:58 819200]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 10:17:42 970752]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-22 22:32:00 7561216]
"nwiz"="nwiz.exe" [2006-03-22 22:32:00 1519616]
"NVHotkey"="nvHotkey.dll" [2006-03-22 22:32:00 73728]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 13:28:40 266497]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 01:38:00 34672]
"NvMediaCenter"="NvMCTray.dll" [2006-03-22 22:32:00 86016]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 21:24:02 620152]
"SunJavaUpdateSched"="C:\Programme\Java\jre6\bin\jusched.exe" [2009-10-11 03:17:36 149280]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 21:12:54 49152]
"DivXUpdate"="C:\Programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 19:45:26 1164584]
"ApnUpdater"="C:\Programme\Ask.com\Updater\Updater.exe" [2012-01-03 15:31:34 1391272]
"PDFPrint"="C:\Programme\pdf24\pdf24.exe" [2011-12-16 11:54:22 220744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 12:00:00 15360]

C:\Dokumente und Einstellungen\xxxxx\Startmenü\Programme\Autostart\
Dropbox.lnk - C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-2-15 24246216]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CATELFSlaveProcess.exe"=
"C:\\Altair\\licensing10.0\\security\\bin\\win32\\lmtools.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B19\\intel_a\\code\\bin\\CNEXT.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\ICQ7.4\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\xxxxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"C:\\Programme\\Veetle\\Player\\VeetleNet.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [09.11.2008 10:15:27 717296]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [24.04.2007 16:52:10 16688]
R2 Akamai;Akamai NetSession Interface;C:\WINDOWS\System32\svchost.exe -k Akamai [28.02.2006 13:00:00 14336]
R2 BBDemon;Backbone Service;C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [29.04.2006 07:32:56 49152]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [31.01.2009 17:10:20 247096]
S2 gupdate;Google Update Service (gupdate);C:\Programme\Google\Update\GoogleUpdate.exe [17.03.2010 13:30:04 135664]
S2 SkypeUpdate;Skype Updater;C:\Programme\Skype\Updater\Updater.exe [15.02.2012 13:30:18 158856]
S3 ADM851X;ADM851X USB To Fast Ethernet Adapter;C:\WINDOWS\system32\drivers\ADM851X.SYS [03.11.2009 10:55:04 22144]
S3 gupdatem;Google Update-Dienst (gupdatem);C:\Programme\Google\Update\GoogleUpdate.exe [17.03.2010 13:30:04 135664]
S3 USB-100;Realtek RTL8150 USB 10/100 Fast Ethernet XP Driver;C:\WINDOWS\system32\drivers\rtl8150.SYS [21.10.2009 18:56:02 21504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai

Inhalt des "geplante Tasks" Ordners

2012-03-17 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2010-03-17 12:30:04 . 2010-03-17 12:29:59]

2012-03-17 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Programme\Google\Update\GoogleUpdate.exe [2010-03-17 12:30:04 . 2010-03-17 12:29:59]

2009-09-17 C:\WINDOWS\Tasks\NSSstub.job
- C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe [2009-09-17 14:45:36 . 2009-09-17 14:45:36]

2012-03-17 C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
- C:\Programme\Ask.com\UpdateTask.exe [2012-01-03 15:31:32 . 2012-01-03 15:31:32]


------- Zusätzlicher Suchlauf -------

uStart Page = hxxp://start.icq.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe
FF - ProfilePath - C:\Dokumente und Einstellungenxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\416z5cpr.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=18&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://de.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=244506&p=
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false

- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Start WingMan Profiler - (no file)
HKCU-Run-ICQ - C:\Programme\ICQ7.2\ICQ.exe
HKCU-Run-{C053E86B-BC9D-2936-DDDE-45549C45A6F9} - C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Cyme\iwqe.exe
HKLM-Run-YFJDscKybEK.exe - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\YFJDscKybEK.exe

Bitte folgende Datei aus C:\qoobox\quarantine zu Virustotal (link in meiner Signatur) hochladen, analysieren lassen und Ergebnis kopieren und hier posten.

C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Cyme\iwqe.exe

Ok, ich habe im Verzeichnis C:\qoobox\quarantine nach der betreffenden Datei gesucht.

Leider gibt es dort nur den Ordner "All Users" und keinen personenbezogenen.

Im Orginalordner befindet sich die .exe auch nicht.

Malwarebytes Anti - Malware
bitte von hier downloaden : http://www.majorgeeks.com

Nix anderes anklicken !!! Download startet automatisch !!!!

Starte das Programm - bitte unbedingt beachten unter Vista und Windows 7 als Administrator auszuführen !!!
und mache ein online update
überprüfe ob Du die aktuellsten Virendefinitionen hast
schließe ALLE Anwendungen - Auch deinen Browser
Wähle ALLE Laufwerke
Starte den Vollständigen Suchlauf
Warte bis der Scan durchgelaufen ist
Nach dem Scan > Remove selected / Ausgewähltes entfernen - damit geht alles in die Quarantäne

Auch den Antivirguard deaktivieren und während des Scans vom Internet trennen. Nach dem Scan Guard wieder aktivieren und Verbindung wieder herstellen.

Dann show results
1.die bitte hier ins Forum posten

Hier die Results von Malwarebytes - ANTI Matware:


Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.18.02

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
xxxxx :: xxxxxx-NOTEBOOK [Administrator]

Schutz: Aktiviert

18.03.2012 12:40:29
mbam-log-2012-03-18 (16-01-57).txt



Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 498402
Laufzeit: 3 Stunde(n), 19 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{C053E86B-BC9D-2936-DDDE-45549C45A6F9} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Cyme\iwqe.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoDesktop (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Programme\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Keine Aktion durchgeführt.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\UL5FMpTprRwIpI.exe.vir (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\YFJDscKybEK.exe.vir (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{802B6FB2-74E4-4A23-A01F-2F31C216C8C6}\RP790\A0158539.exe (Trojan.FakeHDD) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{802B6FB2-74E4-4A23-A01F-2F31C216C8C6}\RP790\A0158540.exe (Trojan.FakeHDD) -> Keine Aktion durchgeführt.

(Ende)

Quoted from "Radfahrer85"

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{C053E86B-BC9D-2936-DDDE-45549C45A6F9} (Trojan.ZbotR.Gen) -> Daten: "C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Cyme\iwqe.exe" -> Keine Aktion durchgeführt.

Das habe ich befürchtet - der ZBOT-Verdacht ist bestätigt. Durch diesen Backdoor ist dein System kompromittiert und nicht mehr vertrauenswürdig. Am sichersten wäre es du sicherst deine Daten (keine ausführbaren Dateien wie exe, bat, com etc.), formatierst die Systempartition und setzt Windows neu auf.

Bitte dann auf dem neuen System sämtliche Passwörter ändern und bei Onlinebanking umgehend deine Bank informieren.

Lies bitte auch folgendes: Kompromittierung, Backdoor;
neuaufsetzen



Hier noch ein paar Tipps für die Zukunft:

Rüste dein System mit Secunia und Updatechecker von Filehippo aus um immer auf dem aktuellsten Stand zu sein. Verzichte auf den parallelen Einsatz anderer Antivirenlösungen neben Antivir (z.B. McAffee / AVG / Kaspersky), da diese sich gegenseitig ausbremsen bzw. schlimmstenfalls eleminieren. Wenn du mit dem Firefox surfst, installiere die Addons noscript und Adblock plus. Deaktiviere die Autorunfunktion Autorun deaktivieren. Installiere dir als 2tes Auge auch mal solche Tools wie superantispyware und Malwarebytes und lasse sie gelegentlich mal scannen - ist ganz hilfreich. Verzichte außerdem auf den Einsatz von Toolbars in den Browsern, denn sie stellen ein Sicherheitsrisiko dar - darauf schauen das du sie bei Programminstallationen abwählst.

Ok vielen Dank für die kompetente Hilfe. Das bedeutet Festplatte formatieren und Windows neu installieren.

Eine Frage hätte ich noch was bedeutet der Befall für möglicherweise eingesteckte USB-Speicher.

Könnene des Weiteren Bilddateien im .jpg Format als nicht befallen angesehen werden oder sollten diese auch gelöscht werden.

Vielen Dank.

Quoted from "Radfahrer85"

Könnene des Weiteren Bilddateien im .jpg Format als nicht befallen angesehen werden oder sollten diese auch gelöscht werden.

Eher nicht. USB - Sticks u.ä. genau scannen - einen Autorun-Wurm hat der eigentlich nicht im Gepäck.