|
Plagegeister aller Art und deren Bekämpfung: TR/CRYPT.XPACK.GEN und tr/agent.8704.76Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.03.2009, 21:37 | #1 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Ein freundlich Pok Pok Pok erstmal. also antivir findet immer die 2 die zwei gleichen trojaner: TR/CRYPT.XPACK.GEN und tr/agent.8704.76. ich weiß nicht wie man die löschen kann. ich hab mir den AW: TR/CRYPT.XPACK.GEN gelöscht?! thread durchgelesen und wollte die liste abarbeiten bei CCleaner hatte ich keine probleme. Malwarebytes-Anti-Malware konnte ich runtergeladen und installiern doch ich kann es nicht öffnen. Daraufhin hab ich gemerkt das ich mein laufwerk nicht öffen kann da die Fehlermeldung "RECYCLER\S-7-3-71-......... konnte nicht gefunden werden" kommt ,weiß nicht mehr weiter report von Antivir: Premium Security Suite Erstellungsdatum der Reportdatei: Samstag, 21. März 2009 20:52 Es wird nach 1310220 Virenstämmen gesucht. Lizenznehmer : Huhn Seriennummer : 1700493581-ISECE-0001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : KEN Versionsinformationen: BUILD.DAT : 9.0.0.355 29020 Bytes 11.3.2009 14:42:00 AVSCAN.EXE : 9.0.3.3 464641 Bytes 18.3.2009 15:10:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 18.3.2009 15:10:45 LUKE.DLL : 9.0.3.2 209665 Bytes 18.3.2009 15:11:06 LUKERES.DLL : 9.0.2.0 13569 Bytes 18.3.2009 15:11:06 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:38:17 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.2.2009 21:32:12 ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.3.2009 12:15:12 ANTIVIR3.VDF : 7.1.2.197 263168 Bytes 20.3.2009 16:25:05 Engineversion : 8.2.0.120 AEVDF.DLL : 8.1.1.0 106868 Bytes 30.1.2009 20:59:56 AESCRIPT.DLL : 8.1.1.67 364923 Bytes 18.3.2009 15:22:43 AESCN.DLL : 8.1.1.8 127346 Bytes 6.3.2009 14:30:22 AERDL.DLL : 8.1.1.3 438645 Bytes 22.12.2008 12:38:18 AEPACK.DLL : 8.1.3.10 397686 Bytes 5.3.2009 14:30:06 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.2.2009 07:33:07 AEHEUR.DLL : 8.1.0.107 1663352 Bytes 18.3.2009 15:22:42 AEHELP.DLL : 8.1.2.2 119158 Bytes 28.2.2009 07:33:03 AEGEN.DLL : 8.1.1.30 336245 Bytes 18.3.2009 15:22:40 AEEMU.DLL : 8.1.0.9 393588 Bytes 22.12.2008 12:38:17 AECORE.DLL : 8.1.6.6 176501 Bytes 17.2.2009 23:15:52 AEBB.DLL : 8.1.0.3 53618 Bytes 22.12.2008 12:38:17 AVWINLL.DLL : 9.0.0.3 18177 Bytes 18.3.2009 15:10:47 AVPREF.DLL : 9.0.0.1 43777 Bytes 18.3.2009 15:10:45 AVREP.DLL : 8.0.0.3 155905 Bytes 18.3.2009 15:10:38 AVREG.DLL : 9.0.0.0 36609 Bytes 18.3.2009 15:10:45 AVARKT.DLL : 9.0.0.1 292609 Bytes 18.3.2009 15:10:40 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 18.3.2009 15:10:42 SQLITE3.DLL : 3.6.1.0 326401 Bytes 18.3.2009 15:11:10 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 18.3.2009 15:11:10 NETNT.DLL : 9.0.0.0 11521 Bytes 18.3.2009 15:11:07 RCIMAGE.DLL : 9.0.0.22 2901249 Bytes 18.3.2009 15:10:31 RCTEXT.DLL : 9.0.35.0 91393 Bytes 18.3.2009 15:10:31 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: h:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: H:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 21. März 2009 20:52 Untersuchung der Systemdateien wird begonnen: Signiert -> 'H:\WINDOWS\system32\svchost.exe' Signiert -> 'H:\WINDOWS\system32\winlogon.exe' Signiert -> 'H:\WINDOWS\explorer.exe' Signiert -> 'H:\WINDOWS\system32\smss.exe' Signiert -> 'H:\WINDOWS\system32\wininet.DLL' Signiert -> 'H:\WINDOWS\system32\wsock32.DLL' Signiert -> 'H:\WINDOWS\system32\ws2_32.DLL' Signiert -> 'H:\WINDOWS\system32\services.exe' Signiert -> 'H:\WINDOWS\system32\lsass.exe' Signiert -> 'H:\WINDOWS\system32\csrss.exe' Signiert -> 'H:\WINDOWS\system32\drivers\kbdclass.sys' Signiert -> 'H:\WINDOWS\system32\spoolsv.exe' Signiert -> 'H:\WINDOWS\system32\alg.exe' Signiert -> 'H:\WINDOWS\system32\wuauclt.exe' Signiert -> 'H:\WINDOWS\system32\advapi32.DLL' Signiert -> 'H:\WINDOWS\system32\user32.DLL' Signiert -> 'H:\WINDOWS\system32\gdi32.DLL' Signiert -> 'H:\WINDOWS\system32\kernel32.DLL' Signiert -> 'H:\WINDOWS\system32\ntdll.DLL' Signiert -> 'H:\WINDOWS\system32\ntoskrnl.exe' Signiert -> 'H:\WINDOWS\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf nach versteckten Objekten wird begonnen. Die Reparaturanweisungen wurden in die Datei 'H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090321-205428-815CFC7C.avp' geschrieben. h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde gelöscht. h:\windows\system32\gaopdxcounter [INFO] Die Datei ist nicht sichtbar. h:\windows\system32\drivers\gaopdxeycmmpxtowkridvbfxymtageeprnowxr.sys [INFO] Die Datei ist nicht sichtbar. h:\windows\system32\drivers\gaopdxoulqjoodpiurqxdlxyhhilrqumuptnvp.sys [INFO] Die Datei ist nicht sichtbar. h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys [INFO] Die Datei ist nicht sichtbar. h:\windows\system32\drivers\gaopdxtavbwulkyfgyqrstirpdwyqkssovrsbr.sys [INFO] Die Datei ist nicht sichtbar. [FUND] Ist das Trojanische Pferd TR/Agent.8704.76 [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! Ende des Suchlaufs: Samstag, 21. März 2009 20:54 Benötigte Zeit: 01:52 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 6 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 1 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 4 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise 39514 Objekte wurden beim Rootkitscan durchsucht 11 Versteckte Objekte wurden gefunden Hier ist die log von hijackthis:Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:32:04, on 21.3.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\SYSTEM32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\Programme\Avira\AntiVir Desktop\avguard.exe H:\Programme\avmwlanstick\WlanNetService.exe H:\Programme\CPUCooL\CooLSrv.exe H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe H:\Programme\Java\jre6\bin\jqs.exe H:\Programme\Avira\AntiVir Desktop\avmailc.exe H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE H:\WINDOWS\Explorer.EXE H:\WINDOWS\System32\svchost.exe H:\Programme\Avira\AntiVir Desktop\sched.exe H:\WINDOWS\SOUNDMAN.EXE H:\Programme\avmwlanstick\wlangui.exe H:\WINDOWS\system32\VTTimer.exe H:\Programme\Java\jre6\bin\jusched.exe H:\WINDOWS\system32\ctfmon.exe H:\WINDOWS\system32\svchost.exe H:\Programme\Internet Explorer\iexplore.exe H:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com, R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - H:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - H:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - H:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] H:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Winamp Search - H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - file://H:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B706C692-F4D2-4D87-B8B4-6388DB365574}: NameServer = 85.255.112.177,85.255.112.117 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117 O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - H:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - H:\Programme\CPUCooL\CooLSrv.exe O23 - Service: CyberLink Media Library Service - Cyberlink - H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6892 bytes für alle dir mir antworten leg ich ein Ei |
21.03.2009, 21:44 | #2 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Hallo und
__________________GMER - Rootkit Detection
ciao, andreas
__________________ |
21.03.2009, 22:23 | #3 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 für die schnelle antwort brüt ich dir mal ein Ei dauert aber bisschen
__________________"brüt brüt" 2 meldung kammen hier ist der log: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-21 22:12:58 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7C68C06 ZwCreateKey SSDT F7C68BFC ZwCreateThread SSDT F7C68C0B ZwDeleteKey SSDT F7C68C15 ZwDeleteValueKey SSDT F7C68C1A ZwLoadKey SSDT F7C68BE8 ZwOpenProcess SSDT F7C68BED ZwOpenThread SSDT F7C68C24 ZwReplaceKey SSDT F7C68C1F ZwRestoreKey SSDT F7C68C10 ZwSetValueKey SSDT F7C68BF7 ZwTerminateProcess SSDT F7C68BF2 ZwWriteVirtualMemory Code 84136990 ZwEnumerateKey Code 840CF4A0 ZwFlushInstructionCache Code 8432F056 IofCallDriver Code 842DD056 IofCompleteRequest ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8432F05B .text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 842DD05B PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 840CF4A4 PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB52 5 Bytes JMP 84136994 ---- User code sections - GMER 1.0.14 ---- .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH) ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys (*** hidden *** ) F4A10000-F4A26000 (90112 bytes) ---- Services - GMER 1.0.14 ---- Service H:\WINDOWS\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll ---- EOF - GMER 1.0.14 ---- |
21.03.2009, 22:52 | #4 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 1.) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: gaopdxserv.sys Registry keys to delete: HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys Files to delete: h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll
2.) Poste ein neues Gmer-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
21.03.2009, 23:59 | #5 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 omg das ei wir immer größer danke für diese wiedermal schnelle antwort und die mühe. Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at H:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "gaopdxserv.sys" found! ImagePath: \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "gaopdxserv.sys" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully. File "h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys" deleted successfully. Error: file "h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll" not found! Deletion of file "h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. und hier das:game log GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-03-21 23:56:57 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7CEA886 ZwCreateKey SSDT F7CEA87C ZwCreateThread SSDT F7CEA88B ZwDeleteKey SSDT F7CEA895 ZwDeleteValueKey SSDT F7CEA89A ZwLoadKey SSDT F7CEA868 ZwOpenProcess SSDT F7CEA86D ZwOpenThread SSDT F7CEA8A4 ZwReplaceKey SSDT F7CEA89F ZwRestoreKey SSDT F7CEA890 ZwSetValueKey SSDT F7CEA877 ZwTerminateProcess SSDT F7CEA872 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? txoh.sys Das System kann die angegebene Datei nicht finden. ! ---- User code sections - GMER 1.0.14 ---- .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) .text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH) AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH) ---- EOF - GMER 1.0.14 ---- |
22.03.2009, 00:08 | #6 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ --> TR/CRYPT.XPACK.GEN und tr/agent.8704.76 |
22.03.2009, 00:31 | #7 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 das ei gleich fertig omg was für ein service hier also die festplatte lässt sich wieder problemlose öffen ComboFix 09-03-19.02 - andreas 2009-03-22 0:21:55.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.447.154 [GMT 1:00] ausgeführt von:: h:\dokumente und einstellungen\andreas\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) FW: Avira Firewall *disabled* FW: Avira Firewall *enabled* * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . H:\Autorun.inf h:\windows\system32\drivers\gaopdxeycmmpxtowkridvbfxymtageeprnowxr.sys h:\windows\system32\drivers\gaopdxoulqjoodpiurqxdlxyhhilrqumuptnvp.sys h:\windows\system32\drivers\gaopdxtavbwulkyfgyqrstirpdwyqkssovrsbr.sys h:\windows\system32\gaopdxcounter h:\windows\system32\MSVolume.dll . ((((((((((((((((((((((( Dateien erstellt von 2009-02-21 bis 2009-03-21 )))))))))))))))))))))))))))))) . 2009-03-21 20:36 . 2009-03-21 20:36 <DIR> d-------- h:\programme\Trend Micro 2009-03-21 18:07 . 2009-03-21 18:07 <DIR> d-------- h:\programme\CCleaner 2009-03-21 02:01 . 2009-03-21 02:05 <DIR> d-------- h:\programme\Registry Doktor 2009 2009-03-21 01:41 . 2009-03-21 19:19 <DIR> d-------- h:\programme\Fighters 2009-03-21 01:41 . 2009-03-21 01:41 <DIR> d-------- h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Fighters 2009-03-18 18:41 . 2009-03-21 00:02 <DIR> d-------- h:\programme\Norton Security Scan 2009-03-18 18:41 . 2009-03-18 18:41 <DIR> d-------- h:\programme\Gemeinsame Dateien\Symantec Shared 2009-03-18 16:41 . 2009-03-18 16:41 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\Avira 2009-03-18 16:18 . 2009-03-18 16:18 <DIR> d-------- h:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Startmenü 2009-03-18 16:18 . 2009-03-18 16:18 <DIR> d-------- h:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Startmenü 2009-03-18 16:17 . 2009-03-18 16:17 <DIR> d-------- h:\programme\Avira 2009-03-18 16:17 . 2009-03-18 16:11 97,096 --a------ h:\windows\system32\drivers\avfwot.sys 2009-03-18 16:17 . 2009-03-18 16:11 69,632 --a------ h:\windows\system32\drivers\avfwim.sys 2009-03-18 16:17 . 2009-03-18 16:11 55,640 --a------ h:\windows\system32\drivers\avgntflt.sys 2009-03-17 03:46 . 2009-03-17 03:46 <DIR> d-------- h:\programme\Audacity 2009-03-16 21:40 . 2009-03-16 21:40 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\Octoshape 2009-03-16 13:19 . 2009-03-16 13:19 <DIR> d-------- h:\programme\Gemeinsame Dateien\DivX Shared 2009-03-11 12:41 . 2009-03-11 12:50 <DIR> d-------- h:\programme\PhotoFiltre Studio 2009-03-11 12:41 . 2009-03-11 12:41 45 ---h----- h:\windows\dzep9358.dat 2009-03-01 09:58 . 2009-03-01 09:58 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\GRETECH 2009-02-24 14:04 . 2009-02-24 14:04 <DIR> d-------- h:\programme\HyCam2 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-21 23:00 --------- d-----w h:\programme\Starcraft 2009-03-21 20:43 --------- d-----w h:\dokumente und einstellungen\andreas\Anwendungsdaten\teamspeak2 2009-03-19 13:05 --------- d-----w h:\dokumente und einstellungen\andreas\Anwendungsdaten\Winamp 2009-03-18 15:17 --------- d-----w h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira 2009-03-16 12:20 --------- d-----w h:\programme\DivX 2009-03-14 13:28 --------- d-----w h:\programme\Warcraft III 2009-03-01 08:57 --------- d-----w h:\programme\GRETECH 2009-02-24 12:38 --------- d-----w h:\programme\Winamp 2009-02-11 19:45 --------- d-----w h:\programme\Gemeinsame Dateien\NSV 2009-02-11 19:41 --------- d-----w h:\programme\Winamp Toolbar 2009-02-11 19:41 --------- d-----w h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar 2009-02-09 14:04 1,846,912 ----a-w h:\windows\system32\win32k.sys 2009-02-06 12:42 --------- d-----w h:\programme\CPUCooL 2009-01-27 01:34 90,112 ----a-w h:\windows\system32\dpl100.dll 2009-01-27 01:34 823,296 ----a-w h:\windows\system32\divx_xx0c.dll 2009-01-27 01:34 823,296 ----a-w h:\windows\system32\divx_xx07.dll 2009-01-27 01:34 815,104 ----a-w h:\windows\system32\divx_xx0a.dll 2009-01-27 01:34 802,816 ----a-w h:\windows\system32\divx_xx11.dll 2009-01-27 01:34 684,032 ----a-w h:\windows\system32\DivX.dll 2009-01-23 14:55 --------- d-----w h:\programme\pdf 2009-01-03 05:56 69,632 ----a-w h:\windows\ScUnin.exe 2008-12-22 16:11 410,984 ----a-w h:\windows\system32\deploytk.dll 2009-01-27 01:34 1,044,480 ----a-w h:\programme\mozilla firefox\plugins\libdivx.dll 2009-01-27 01:34 200,704 ----a-w h:\programme\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "h:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}] 2008-09-02 15:05 398776 --a------ h:\programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Reader Speed Launcher"="h:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792] "AVMWlanClient"="h:\programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992] "SunJavaUpdateSched"="h:\programme\Java\jre6\bin\jusched.exe" [2008-12-22 136600] "avgnt"="h:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-18 209153] "SoundMan"="SOUNDMAN.EXE" [2007-04-16 h:\windows\soundman.exe] "VTTimer"="VTTimer.exe" [2005-03-08 h:\windows\system32\VTTimer.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=NVDESK32.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= msaud32_divx.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 avfwot;avfwot;h:\windows\system32\drivers\avfwot.sys [2009-03-18 97096] R1 ntiomin;ntiomin;h:\windows\system32\drivers\ntiomin.sys [2008-04-12 11392] R2 AntiVirFirewallService;Avira Firewall;h:\programme\Avira\AntiVir Desktop\avfwsvc.exe [2009-03-18 383745] R2 AntiVirMailService;Avira AntiVir MailGuard;h:\programme\Avira\AntiVir Desktop\avmailc.exe [2009-03-18 186625] R2 AntiVirSchedulerService;Avira AntiVir Planer;h:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289] R2 AntiVirWebService;Avira AntiVir WebGuard;h:\programme\Avira\AntiVir Desktop\avwebgrd.exe [2009-03-18 432897] R3 avfwim;AvFw Packet Filter Miniport;h:\windows\system32\drivers\avfwim.sys [2009-03-18 69632] S3 avmeject;AVM Eject;h:\windows\system32\drivers\avmeject.sys [2008-12-16 4352] S3 cmudau32;C-Media USB UDA Sound Interface;h:\windows\system32\drivers\cmudaxu.sys [2009-01-06 1414528] S3 FWLANUSB;AVM FRITZ!WLAN;h:\windows\system32\drivers\fwlanusb.sys [2008-12-16 265088] . Inhalt des "geplante Tasks" Ordners 2009-03-20 h:\windows\Tasks\Norton Security Scan for andreas.job - h:\programme\Norton Security Scan\Nss.exe [2008-09-19 04:18] . - - - - Entfernte verwaiste Registrierungseinträge - - - - URLSearchHooks-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) BHO-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) Toolbar-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file) WebBrowser-{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyServer = socks= uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com, IE: &Winamp Search - h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html LSP: h:\programme\Avira\AntiVir Desktop\avsda.dll FF - ProfilePath - . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-22 00:23:58 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(924) h:\programme\Avira\AntiVir Desktop\avsda.dll . Zeit der Fertigstellung: 2009-03-22 0:25:29 ComboFix-quarantined-files.txt 2009-03-21 23:25:20 Vor Suchlauf: 33 Verzeichnis(se), 93.707.132.928 Bytes frei Nach Suchlauf: 33 Verzeichnis(se), 93,925,019,648 Bytes frei 152 --- E O F --- 2009-03-20 12:33:40 |
22.03.2009, 00:34 | #8 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Du heißt also auch Andreas. Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die Liste unter Punkt 2 ab. CCleaner hast du schon. Gute Nacht, Andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.03.2009, 00:45 | #9 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 omg omg 1000 mal thx für die schnellen antworten ich wünsch dir so was von ne gute nacht Andreas wow Geändert von huhn_in_not (22.03.2009 um 00:50 Uhr) Grund: einfach cool |
22.03.2009, 12:57 | #10 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 pok pok pok hier ist der log von malware: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1883 Windows 5.1.2600 Service Pack 3 22.3.2009 08:25:18 mbam-log-2009-03-22 (08-25-18).txt Scan-Methode: Vollständiger Scan (H:\|) Durchsuchte Objekte: 169012 Laufzeit: 2 hour(s), 18 minute(s), 33 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b706c692-f4d2-4d87-b8b4-6388db365574}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: H:\Dokumente und Einstellungen\andreas\Desktop\Hopsassa.exe (Rogue.Installer) -> Quarantined and deleted successfully. hier von hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:56:41, on 22.3.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\spoolsv.exe H:\Programme\Avira\AntiVir Desktop\sched.exe H:\Programme\Avira\AntiVir Desktop\avguard.exe H:\Programme\avmwlanstick\WlanNetService.exe H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe H:\Programme\Java\jre6\bin\jqs.exe H:\Programme\Avira\AntiVir Desktop\avmailc.exe H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE H:\WINDOWS\Explorer.EXE H:\WINDOWS\SOUNDMAN.EXE H:\Programme\avmwlanstick\wlangui.exe H:\WINDOWS\system32\VTTimer.exe H:\Programme\Java\jre6\bin\jusched.exe H:\WINDOWS\system32\ctfmon.exe H:\WINDOWS\System32\svchost.exe H:\Programme\Internet Explorer\iexplore.exe H:\Programme\Trend Micro\HijackThis\HijackThis.exe H:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com, O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll (file missing) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (file missing) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [AVMWlanClient] H:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - file://H:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - H:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: CyberLink Media Library Service - Cyberlink - H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe -- End of file - 5376 bytes hier ist die list: Adobe Flash Player 10 ActiveX Adobe Reader 8.1.0 - Deutsch Adobe Shockwave Player 11 ANIWZCS2 Service Athlon 64 Processor Driver Audacity 1.2.6 Avira Premium Security Suite AVM FRITZ!WLAN CCleaner (remove only) DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player EasyCleaner GOM Player HijackThis 2.0.2 HyperCam 2 ICCup Launcher Java(TM) 6 Update 11 Malwarebytes' Anti-Malware MediaBar 2.0 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.5) Norton Security Scan Norton Security Scan (Symantec Corporation) OpenOffice.org 3.0 Realtek AC'97 Audio Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Starcraft TeamSpeak 2 RC2 Update für Windows XP (KB967715) VC80CRTRedist - 8.0.50727.762 VIA/S3G Display Driver Viewpoint Media Player Winamp Windows Internet Explorer 7 Windows Media Format Runtime hoffe ich hab alles richtig gemacht Geändert von huhn_in_not (22.03.2009 um 13:02 Uhr) Grund: ups hab die programmliste vergessen |
22.03.2009, 13:03 | #11 | |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76Zitat:
Na, sollen wir die Jungs bei Malwarebytes aufklären oder lassen wir sie dumm sterben? Die Liste der installierten Programme fehlt noch (Punkt 2d). ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.03.2009, 18:58 | #12 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Ich hab das ei fertig was machst du jetzt damit?^^ joha hier ist sie: Adobe Flash Player 10 ActiveX Adobe Reader 8.1.0 - Deutsch Adobe Shockwave Player 11 ANIWZCS2 Service Athlon 64 Processor Driver Audacity 1.2.6 Avira Premium Security Suite AVM FRITZ!WLAN CCleaner (remove only) DivX Codec DivX Converter DivX Player DivX Plus DirectShow Filters DivX Web Player EasyCleaner GOM Player HijackThis 2.0.2 HyperCam 2 ICCup Launcher Java(TM) 6 Update 11 Malwarebytes' Anti-Malware MediaBar 2.0 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Mozilla Firefox (3.0.5) Norton Security Scan Norton Security Scan (Symantec Corporation) OpenOffice.org 3.0 Realtek AC'97 Audio Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows XP (KB923789) Sicherheitsupdate für Windows XP (KB941569) Sicherheitsupdate für Windows XP (KB951748) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Starcraft TeamSpeak 2 RC2 Update für Windows XP (KB967715) VC80CRTRedist - 8.0.50727.762 VIA/S3G Display Driver Viewpoint Media Player Winamp Windows Internet Explorer 7 Windows Media Format Runtime P.S: "ciao, andreas" passt schon ganz gut Geändert von huhn_in_not (22.03.2009 um 19:03 Uhr) Grund: falsches smilie )= |
22.03.2009, 19:10 | #13 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 Deinstalliere Bearshare, falls du es noch haben solltest. Scanner laufenlassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
22.03.2009, 21:57 | #14 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 pok pok dnake für antwort pok hier ist der log: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/22/2009 at 09:45 PM Application Version : 4.25.1014 Core Rules Database Version : 3808 Trace Rules Database Version: 1763 Scan type : Complete Scan Total Scan Time : 01:49:52 Memory items scanned : 477 Memory threats detected : 0 Registry items scanned : 3636 Registry threats detected : 0 File items scanned : 87408 File threats detected : 8 Adware.Tracking Cookie H:\Dokumente und Einstellungen\andreas\Cookies\andreas@specificclick[2].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@apmebf[2].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@doubleclick[2].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@serving-sys[3].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@fastclick[1].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@atdmt[2].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@yadro[1].txt H:\Dokumente und Einstellungen\andreas\Cookies\andreas@bs.serving-sys[2].txt |
22.03.2009, 22:13 | #15 |
| TR/CRYPT.XPACK.GEN und tr/agent.8704.76 1.) Deinstalliere:
2.) Installiere (Toolbars immer abwählen, Haken weg):
3.) Poste ein letztes HJT-Log. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
Themen zu TR/CRYPT.XPACK.GEN und tr/agent.8704.76 |
.dll, 0 bytes, adobe, antivir, antivir guard, avgnt, avgnt.exe, avira, bho, desktop, einstellungen, firewall, freundlich, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, logon.exe, nicht gefunden, nt.dll, ntdll.dll, object, plug-in, security, services.exe, software, stick, suchlauf, svchost.exe, tr/agent.8704.76, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, versteckte objekte, windows, winlogon.exe, wuauclt.exe |