TR/CRYPT.XPACK.GEN und tr/agent.8704.76

huhn_in_not · 21.03.2009, 21:37

Ein freundlich Pok Pok Pok erstmal.

also antivir findet immer die 2 die zwei gleichen trojaner: TR/CRYPT.XPACK.GEN und tr/agent.8704.76. ich weiß nicht wie man die löschen kann. ich hab mir den AW: TR/CRYPT.XPACK.GEN gelöscht?! thread durchgelesen und wollte die liste abarbeiten bei CCleaner hatte ich keine probleme. Malwarebytes-Anti-Malware konnte ich runtergeladen und installiern doch ich kann es nicht öffnen. Daraufhin hab ich gemerkt das ich mein laufwerk nicht öffen kann da die Fehlermeldung
"RECYCLER\S-7-3-71-......... konnte nicht gefunden werden" kommt ,weiß nicht mehr weiter

report von Antivir:

Premium Security Suite
Erstellungsdatum der Reportdatei: Samstag, 21. März 2009 20:52

Es wird nach 1310220 Virenstämmen gesucht.

Lizenznehmer : Huhn
Seriennummer : 1700493581-ISECE-0001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : KEN

Versionsinformationen:
BUILD.DAT : 9.0.0.355 29020 Bytes 11.3.2009 14:42:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 18.3.2009 15:10:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 18.3.2009 15:10:45
LUKE.DLL : 9.0.3.2 209665 Bytes 18.3.2009 15:11:06
LUKERES.DLL : 9.0.2.0 13569 Bytes 18.3.2009 15:11:06
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:38:17
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.2.2009 21:32:12
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11.3.2009 12:15:12
ANTIVIR3.VDF : 7.1.2.197 263168 Bytes 20.3.2009 16:25:05
Engineversion : 8.2.0.120
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.1.2009 20:59:56
AESCRIPT.DLL : 8.1.1.67 364923 Bytes 18.3.2009 15:22:43
AESCN.DLL : 8.1.1.8 127346 Bytes 6.3.2009 14:30:22
AERDL.DLL : 8.1.1.3 438645 Bytes 22.12.2008 12:38:18
AEPACK.DLL : 8.1.3.10 397686 Bytes 5.3.2009 14:30:06
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28.2.2009 07:33:07
AEHEUR.DLL : 8.1.0.107 1663352 Bytes 18.3.2009 15:22:42
AEHELP.DLL : 8.1.2.2 119158 Bytes 28.2.2009 07:33:03
AEGEN.DLL : 8.1.1.30 336245 Bytes 18.3.2009 15:22:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 22.12.2008 12:38:17
AECORE.DLL : 8.1.6.6 176501 Bytes 17.2.2009 23:15:52
AEBB.DLL : 8.1.0.3 53618 Bytes 22.12.2008 12:38:17
AVWINLL.DLL : 9.0.0.3 18177 Bytes 18.3.2009 15:10:47
AVPREF.DLL : 9.0.0.1 43777 Bytes 18.3.2009 15:10:45
AVREP.DLL : 8.0.0.3 155905 Bytes 18.3.2009 15:10:38
AVREG.DLL : 9.0.0.0 36609 Bytes 18.3.2009 15:10:45
AVARKT.DLL : 9.0.0.1 292609 Bytes 18.3.2009 15:10:40
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 18.3.2009 15:10:42
SQLITE3.DLL : 3.6.1.0 326401 Bytes 18.3.2009 15:11:10
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 18.3.2009 15:11:10
NETNT.DLL : 9.0.0.0 11521 Bytes 18.3.2009 15:11:07
RCIMAGE.DLL : 9.0.0.22 2901249 Bytes 18.3.2009 15:10:31
RCTEXT.DLL : 9.0.35.0 91393 Bytes 18.3.2009 15:10:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: h:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: H:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 21. März 2009 20:52

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'H:\WINDOWS\system32\svchost.exe'
Signiert -> 'H:\WINDOWS\system32\winlogon.exe'
Signiert -> 'H:\WINDOWS\explorer.exe'
Signiert -> 'H:\WINDOWS\system32\smss.exe'
Signiert -> 'H:\WINDOWS\system32\wininet.DLL'
Signiert -> 'H:\WINDOWS\system32\wsock32.DLL'
Signiert -> 'H:\WINDOWS\system32\ws2_32.DLL'
Signiert -> 'H:\WINDOWS\system32\services.exe'
Signiert -> 'H:\WINDOWS\system32\lsass.exe'
Signiert -> 'H:\WINDOWS\system32\csrss.exe'
Signiert -> 'H:\WINDOWS\system32\drivers\kbdclass.sys'
Signiert -> 'H:\WINDOWS\system32\spoolsv.exe'
Signiert -> 'H:\WINDOWS\system32\alg.exe'
Signiert -> 'H:\WINDOWS\system32\wuauclt.exe'
Signiert -> 'H:\WINDOWS\system32\advapi32.DLL'
Signiert -> 'H:\WINDOWS\system32\user32.DLL'
Signiert -> 'H:\WINDOWS\system32\gdi32.DLL'
Signiert -> 'H:\WINDOWS\system32\kernel32.DLL'
Signiert -> 'H:\WINDOWS\system32\ntdll.DLL'
Signiert -> 'H:\WINDOWS\system32\ntoskrnl.exe'
Signiert -> 'H:\WINDOWS\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparaturanweisungen wurden in die Datei 'H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\AVSCAN-20090321-205428-815CFC7C.avp' geschrieben.
h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
h:\windows\system32\gaopdxcounter
[INFO] Die Datei ist nicht sichtbar.
h:\windows\system32\drivers\gaopdxeycmmpxtowkridvbfxymtageeprnowxr.sys
[INFO] Die Datei ist nicht sichtbar.
h:\windows\system32\drivers\gaopdxoulqjoodpiurqxdlxyhhilrqumuptnvp.sys
[INFO] Die Datei ist nicht sichtbar.
h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
[INFO] Die Datei ist nicht sichtbar.
h:\windows\system32\drivers\gaopdxtavbwulkyfgyqrstirpdwyqkssovrsbr.sys
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Agent.8704.76
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!

Ende des Suchlaufs: Samstag, 21. März 2009 20:54
Benötigte Zeit: 01:52 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
6 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
4 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise
39514 Objekte wurden beim Rootkitscan durchsucht
11 Versteckte Objekte wurden gefunden

Hier ist die log von hijackthis:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:04, on 21.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\SYSTEM32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Avira\AntiVir Desktop\avguard.exe
H:\Programme\avmwlanstick\WlanNetService.exe
H:\Programme\CPUCooL\CooLSrv.exe
H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\Programme\Avira\AntiVir Desktop\avmailc.exe
H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\svchost.exe
H:\Programme\Avira\AntiVir Desktop\sched.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\avmwlanstick\wlangui.exe
H:\WINDOWS\system32\VTTimer.exe
H:\Programme\Java\jre6\bin\jusched.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - H:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - H:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - H:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] H:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - H:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - file://H:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B706C692-F4D2-4D87-B8B4-6388DB365574}: NameServer = 85.255.112.177,85.255.112.117
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.177,85.255.112.117
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - H:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - H:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6892 bytes

für alle dir mir antworten leg ich ein Ei

john.doe · 21.03.2009, 21:44

Hallo und

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

huhn_in_not · 21.03.2009, 22:23

für die schnelle antwort brüt ich dir mal ein Ei dauert aber bisschen
"brüt brüt"

2 meldung kammen

hier ist der log:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-21 22:12:58
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT F7C68C06 ZwCreateKey
SSDT F7C68BFC ZwCreateThread
SSDT F7C68C0B ZwDeleteKey
SSDT F7C68C15 ZwDeleteValueKey
SSDT F7C68C1A ZwLoadKey
SSDT F7C68BE8 ZwOpenProcess
SSDT F7C68BED ZwOpenThread
SSDT F7C68C24 ZwReplaceKey
SSDT F7C68C1F ZwRestoreKey
SSDT F7C68C10 ZwSetValueKey
SSDT F7C68BF7 ZwTerminateProcess
SSDT F7C68BF2 ZwWriteVirtualMemory

Code 84136990 ZwEnumerateKey
Code 840CF4A0 ZwFlushInstructionCache
Code 8432F056 IofCallDriver
Code 842DD056 IofCompleteRequest

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8432F05B
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 842DD05B
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC4 5 Bytes JMP 840CF4A4
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB52 5 Bytes JMP 84136994

---- User code sections - GMER 1.0.14 ----

.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[628] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[1304] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)

---- Modules - GMER 1.0.14 ----

Module \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys (*** hidden *** ) F4A10000-F4A26000 (90112 bytes)

---- Services - GMER 1.0.14 ----

Service H:\WINDOWS\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys (*** hidden *** ) [SYSTEM] gaopdxserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv \\?\globalroot\systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl \\?\globalroot\systemroot\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll

---- EOF - GMER 1.0.14 ----

john.doe · 21.03.2009, 22:52

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
gaopdxserv.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys

Files to delete:
h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

huhn_in_not · 21.03.2009, 23:59

omg das ei wir immer größer danke für diese wiedermal schnelle antwort und die mühe.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at H:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath: \systemroot\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys" deleted successfully.
File "h:\windows\system32\drivers\gaopdxppfmlwhovktubqivwxrinvmyfvndjtkp.sys" deleted successfully.

Error: file "h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll" not found!
Deletion of file "h:\windows\system32\gaopdxstirtpxebfpodowkvpqosenebdmtnkpb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

und hier das:game log

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-21 23:56:57
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----

SSDT F7CEA886 ZwCreateKey
SSDT F7CEA87C ZwCreateThread
SSDT F7CEA88B ZwDeleteKey
SSDT F7CEA895 ZwDeleteValueKey
SSDT F7CEA89A ZwLoadKey
SSDT F7CEA868 ZwOpenProcess
SSDT F7CEA86D ZwOpenThread
SSDT F7CEA8A4 ZwReplaceKey
SSDT F7CEA89F ZwRestoreKey
SSDT F7CEA890 ZwSetValueKey
SSDT F7CEA877 ZwTerminateProcess
SSDT F7CEA872 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

? txoh.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF341 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4467187F H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 44671800 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 44671844 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4467178C H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446717C6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446718BA H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text H:\Programme\Internet Explorer\iexplore.exe[3440] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016F6 H:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Tcp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\Udp avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice \Driver\Tcpip \Device\RawIp avfwot.sys (TDI filtering kernel driver/Avira GmbH)

---- EOF - GMER 1.0.14 ----

john.doe · 22.03.2009, 00:08

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

huhn_in_not · 22.03.2009, 00:31

das ei gleich fertig omg was für ein service hier

also die festplatte lässt sich wieder problemlose öffen

ComboFix 09-03-19.02 - andreas 2009-03-22 0:21:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.447.154 [GMT 1:00]
ausgeführt von:: h:\dokumente und einstellungen\andreas\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
FW: Avira Firewall *disabled*
FW: Avira Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf
h:\windows\system32\drivers\gaopdxeycmmpxtowkridvbfxymtageeprnowxr.sys
h:\windows\system32\drivers\gaopdxoulqjoodpiurqxdlxyhhilrqumuptnvp.sys
h:\windows\system32\drivers\gaopdxtavbwulkyfgyqrstirpdwyqkssovrsbr.sys
h:\windows\system32\gaopdxcounter
h:\windows\system32\MSVolume.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-21 bis 2009-03-21 ))))))))))))))))))))))))))))))
.

2009-03-21 20:36 . 2009-03-21 20:36 <DIR> d-------- h:\programme\Trend Micro
2009-03-21 18:07 . 2009-03-21 18:07 <DIR> d-------- h:\programme\CCleaner
2009-03-21 02:01 . 2009-03-21 02:05 <DIR> d-------- h:\programme\Registry Doktor 2009
2009-03-21 01:41 . 2009-03-21 19:19 <DIR> d-------- h:\programme\Fighters
2009-03-21 01:41 . 2009-03-21 01:41 <DIR> d-------- h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Fighters
2009-03-18 18:41 . 2009-03-21 00:02 <DIR> d-------- h:\programme\Norton Security Scan
2009-03-18 18:41 . 2009-03-18 18:41 <DIR> d-------- h:\programme\Gemeinsame Dateien\Symantec Shared
2009-03-18 16:41 . 2009-03-18 16:41 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\Avira
2009-03-18 16:18 . 2009-03-18 16:18 <DIR> d-------- h:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2009-03-18 16:18 . 2009-03-18 16:18 <DIR> d-------- h:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Startmenü
2009-03-18 16:17 . 2009-03-18 16:17 <DIR> d-------- h:\programme\Avira
2009-03-18 16:17 . 2009-03-18 16:11 97,096 --a------ h:\windows\system32\drivers\avfwot.sys
2009-03-18 16:17 . 2009-03-18 16:11 69,632 --a------ h:\windows\system32\drivers\avfwim.sys
2009-03-18 16:17 . 2009-03-18 16:11 55,640 --a------ h:\windows\system32\drivers\avgntflt.sys
2009-03-17 03:46 . 2009-03-17 03:46 <DIR> d-------- h:\programme\Audacity
2009-03-16 21:40 . 2009-03-16 21:40 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\Octoshape
2009-03-16 13:19 . 2009-03-16 13:19 <DIR> d-------- h:\programme\Gemeinsame Dateien\DivX Shared
2009-03-11 12:41 . 2009-03-11 12:50 <DIR> d-------- h:\programme\PhotoFiltre Studio
2009-03-11 12:41 . 2009-03-11 12:41 45 ---h----- h:\windows\dzep9358.dat
2009-03-01 09:58 . 2009-03-01 09:58 <DIR> d-------- h:\dokumente und einstellungen\andreas\Anwendungsdaten\GRETECH
2009-02-24 14:04 . 2009-02-24 14:04 <DIR> d-------- h:\programme\HyCam2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 23:00 --------- d-----w h:\programme\Starcraft
2009-03-21 20:43 --------- d-----w h:\dokumente und einstellungen\andreas\Anwendungsdaten\teamspeak2
2009-03-19 13:05 --------- d-----w h:\dokumente und einstellungen\andreas\Anwendungsdaten\Winamp
2009-03-18 15:17 --------- d-----w h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2009-03-16 12:20 --------- d-----w h:\programme\DivX
2009-03-14 13:28 --------- d-----w h:\programme\Warcraft III
2009-03-01 08:57 --------- d-----w h:\programme\GRETECH
2009-02-24 12:38 --------- d-----w h:\programme\Winamp
2009-02-11 19:45 --------- d-----w h:\programme\Gemeinsame Dateien\NSV
2009-02-11 19:41 --------- d-----w h:\programme\Winamp Toolbar
2009-02-11 19:41 --------- d-----w h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar
2009-02-09 14:04 1,846,912 ----a-w h:\windows\system32\win32k.sys
2009-02-06 12:42 --------- d-----w h:\programme\CPUCooL
2009-01-27 01:34 90,112 ----a-w h:\windows\system32\dpl100.dll
2009-01-27 01:34 823,296 ----a-w h:\windows\system32\divx_xx0c.dll
2009-01-27 01:34 823,296 ----a-w h:\windows\system32\divx_xx07.dll
2009-01-27 01:34 815,104 ----a-w h:\windows\system32\divx_xx0a.dll
2009-01-27 01:34 802,816 ----a-w h:\windows\system32\divx_xx11.dll
2009-01-27 01:34 684,032 ----a-w h:\windows\system32\DivX.dll
2009-01-23 14:55 --------- d-----w h:\programme\pdf
2009-01-03 05:56 69,632 ----a-w h:\windows\ScUnin.exe
2008-12-22 16:11 410,984 ----a-w h:\windows\system32\deploytk.dll
2009-01-27 01:34 1,044,480 ----a-w h:\programme\mozilla firefox\plugins\libdivx.dll
2009-01-27 01:34 200,704 ----a-w h:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "h:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}]
2008-09-02 15:05 398776 --a------ h:\programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="h:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"AVMWlanClient"="h:\programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"SunJavaUpdateSched"="h:\programme\Java\jre6\bin\jusched.exe" [2008-12-22 136600]
"avgnt"="h:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-18 209153]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 h:\windows\soundman.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 h:\windows\system32\VTTimer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=NVDESK32.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 avfwot;avfwot;h:\windows\system32\drivers\avfwot.sys [2009-03-18 97096]
R1 ntiomin;ntiomin;h:\windows\system32\drivers\ntiomin.sys [2008-04-12 11392]
R2 AntiVirFirewallService;Avira Firewall;h:\programme\Avira\AntiVir Desktop\avfwsvc.exe [2009-03-18 383745]
R2 AntiVirMailService;Avira AntiVir MailGuard;h:\programme\Avira\AntiVir Desktop\avmailc.exe [2009-03-18 186625]
R2 AntiVirSchedulerService;Avira AntiVir Planer;h:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;h:\programme\Avira\AntiVir Desktop\avwebgrd.exe [2009-03-18 432897]
R3 avfwim;AvFw Packet Filter Miniport;h:\windows\system32\drivers\avfwim.sys [2009-03-18 69632]
S3 avmeject;AVM Eject;h:\windows\system32\drivers\avmeject.sys [2008-12-16 4352]
S3 cmudau32;C-Media USB UDA Sound Interface;h:\windows\system32\drivers\cmudaxu.sys [2009-01-06 1414528]
S3 FWLANUSB;AVM FRITZ!WLAN;h:\windows\system32\drivers\fwlanusb.sys [2008-12-16 265088]
.
Inhalt des "geplante Tasks" Ordners

2009-03-20 h:\windows\Tasks\Norton Security Scan for andreas.job
- h:\programme\Norton Security Scan\Nss.exe [2008-09-19 04:18]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
BHO-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
Toolbar-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file)
WebBrowser-{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - (no file)

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyServer = socks=
uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
IE: &Winamp Search - h:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
LSP: h:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 00:23:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(924)
h:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2009-03-22 0:25:29
ComboFix-quarantined-files.txt 2009-03-21 23:25:20

Vor Suchlauf: 33 Verzeichnis(se), 93.707.132.928 Bytes frei
Nach Suchlauf: 33 Verzeichnis(se), 93,925,019,648 Bytes frei

152 --- E O F --- 2009-03-20 12:33:40

john.doe · 22.03.2009, 00:34

Du heißt also auch Andreas. Klicke auf "Für alle Neuen" in meiner Signatur und arbeite die Liste unter Punkt 2 ab. CCleaner hast du schon.

Gute Nacht,
Andreas

huhn_in_not · 22.03.2009, 00:45

omg omg 1000 mal thx für die schnellen antworten ich wünsch dir so was von ne gute nacht Andreas wow

huhn_in_not · 22.03.2009, 12:57

pok pok pok hier ist der log von malware:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1883
Windows 5.1.2600 Service Pack 3

22.3.2009 08:25:18
mbam-log-2009-03-22 (08-25-18).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 169012
Laufzeit: 2 hour(s), 18 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b706c692-f4d2-4d87-b8b4-6388db365574}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.177,85.255.112.117 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\Dokumente und Einstellungen\andreas\Desktop\Hopsassa.exe (Rogue.Installer) -> Quarantined and deleted successfully.

hier von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:41, on 22.3.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Avira\AntiVir Desktop\sched.exe
H:\Programme\Avira\AntiVir Desktop\avguard.exe
H:\Programme\avmwlanstick\WlanNetService.exe
H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
H:\Programme\Java\jre6\bin\jqs.exe
H:\Programme\Avira\AntiVir Desktop\avmailc.exe
H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\avmwlanstick\wlangui.exe
H:\WINDOWS\system32\VTTimer.exe
H:\Programme\Java\jre6\bin\jusched.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Internet Explorer\iexplore.exe
H:\Programme\Trend Micro\HijackThis\HijackThis.exe
H:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - H:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMWlanClient] H:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - file://H:\DRIVERS\snapsys\HDDDiag\bin\npseatools.cab
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - H:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - H:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - H:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 5376 bytes

hier ist die list:

Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.0 - Deutsch
Adobe Shockwave Player 11
ANIWZCS2 Service
Athlon 64 Processor Driver
Audacity 1.2.6
Avira Premium Security Suite
AVM FRITZ!WLAN
CCleaner (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
EasyCleaner
GOM Player
HijackThis 2.0.2
HyperCam 2
ICCup Launcher
Java(TM) 6 Update 11
Malwarebytes' Anti-Malware
MediaBar 2.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.5)
Norton Security Scan
Norton Security Scan (Symantec Corporation)
OpenOffice.org 3.0
Realtek AC'97 Audio
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Starcraft
TeamSpeak 2 RC2
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
VIA/S3G Display Driver
Viewpoint Media Player
Winamp
Windows Internet Explorer 7
Windows Media Format Runtime

hoffe ich hab alles richtig gemacht

john.doe · 22.03.2009, 13:03

Zitat:

H:\Dokumente und Einstellungen\andreas\Desktop\Hopsassa.exe (Rogue.Installer)

Na, sollen wir die Jungs bei Malwarebytes aufklären oder lassen wir sie dumm sterben?

Die Liste der installierten Programme fehlt noch (Punkt 2d).

ciao, andreas

huhn_in_not · 22.03.2009, 18:58

Ich hab das ei fertig was machst du jetzt damit?^^

joha hier ist sie:

Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.0 - Deutsch
Adobe Shockwave Player 11
ANIWZCS2 Service
Athlon 64 Processor Driver
Audacity 1.2.6
Avira Premium Security Suite
AVM FRITZ!WLAN
CCleaner (remove only)
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Web Player
EasyCleaner
GOM Player
HijackThis 2.0.2
HyperCam 2
ICCup Launcher
Java(TM) 6 Update 11
Malwarebytes' Anti-Malware
MediaBar 2.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.5)
Norton Security Scan
Norton Security Scan (Symantec Corporation)
OpenOffice.org 3.0
Realtek AC'97 Audio
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Starcraft
TeamSpeak 2 RC2
Update für Windows XP (KB967715)
VC80CRTRedist - 8.0.50727.762
VIA/S3G Display Driver
Viewpoint Media Player
Winamp
Windows Internet Explorer 7
Windows Media Format Runtime

P.S: "ciao, andreas" passt schon ganz gut

john.doe · 22.03.2009, 19:10

Deinstalliere Bearshare, falls du es noch haben solltest.

Scanner laufenlassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

huhn_in_not · 22.03.2009, 21:57

pok pok dnake für antwort pok

hier ist der log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/22/2009 at 09:45 PM

Application Version : 4.25.1014

Core Rules Database Version : 3808
Trace Rules Database Version: 1763

Scan type : Complete Scan
Total Scan Time : 01:49:52

Memory items scanned : 477
Memory threats detected : 0
Registry items scanned : 3636
Registry threats detected : 0
File items scanned : 87408
File threats detected : 8

Adware.Tracking Cookie
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@specificclick[2].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@apmebf[2].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@doubleclick[2].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@serving-sys[3].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@fastclick[1].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@atdmt[2].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@yadro[1].txt
H:\Dokumente und Einstellungen\andreas\Cookies\andreas@bs.serving-sys[2].txt

john.doe · 22.03.2009, 22:13

1.) Deinstalliere:

Adobe Reader 8.1.0 - Deutsch
Java(TM) 6 Update 11
Norton Security Scan
Norton Security Scan (Symantec Corporation)
Mozilla Firefox (3.0.5)
SuperAntiSpyware

2.) Installiere (Toolbars immer abwählen, Haken weg):

3.) Poste ein letztes HJT-Log.

ciao, andreas

TR/CRYPT.XPACK.GEN und tr/agent.8704.76

Plagegeister aller Art und deren Bekämpfung: TR/CRYPT.XPACK.GEN und tr/agent.8704.76