TR/Crypt.XPACK.Gen

**Sunny** · 23.07.2007, 20:08

Das System scheint noch ziemlich vermüllt...aber es wird langsam:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

Gruß
Sunny

muehle · 23.07.2007, 20:26

hier erstmal das ergebnis von combofix

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\emdat.tm
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

((((((((((((((((((((((((( Files Created from 2007-06-23 to 2007-07-23 )))))))))))))))))))))))))))))))

2007-07-23 21:12 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-23 20:57 <DIR> d-------- C:\bases_x
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-23 20:56 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-23 20:54 153,600 --a------ C:\WINDOWS\R.COM
2007-07-23 20:54 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-07-23 16:25 <DIR> d-------- C:\VundoFix Backups
2007-07-23 15:49 21,693 --a------ C:\dnsbak.reg
2007-07-23 15:25 <DIR> d-------- C:\Programme\HJT
2007-07-22 22:15 <DIR> d-------- C:\Programme\Turbo Navigator
2007-06-28 21:35 4,762,112 --a------ C:\WINDOWS\system32\NCMedia.dll
2007-06-28 21:35 383,238 --a------ C:\WINDOWS\system32\libmp3lame-0.dll
2007-06-28 21:35 <DIR> d-------- C:\Programme\Smallvideosoft
2007-06-28 21:35 <DIR> d-------- C:\Mp3 Output
2007-06-27 21:32 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2007-06-27 20:34 <DIR> d-------- C:\Programme\Total Video Player

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-23 19:21:48 -------- d-----w C:\DOKUME~1\FELIXM~1\ANWEND~1\Azureus
2007-07-23 19:15:25 -------- d-----w C:\Programme\lg_fwupdate
2007-07-23 01:26:40 -------- d-----w C:\Programme\DLH98
2007-07-22 16:13:34 724,992 ----a-w C:\WINDOWS\iun6002.exe
2007-07-20 20:02:49 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-20 19:59:33 -------- d-----w C:\Programme\RTL Wintergames 2007
2007-06-28 19:32:36 -------- d-----w C:\Programme\Total Video Converter
2007-06-28 19:31:20 114,688 ----a-w C:\WINDOWS\system32\wmatimer.dll
2007-06-28 16:40:25 -------- d-----w C:\DOKUME~1\FELIXM~1\ANWEND~1\temp
2007-06-21 18:29:39 84,816 ----a-w C:\DOKUME~1\FELIXM~1\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-06-21 12:31:45 -------- d--h--w C:\Programme\WindowsUpdate
2007-06-07 07:38:55 -------- d-----w C:\Programme\PartyGaming
2007-06-07 07:24:02 -------- d-----w C:\Programme\AOL 7.0
2007-06-05 18:23:56 -------- d-----w C:\Programme\Web Publish
2007-06-02 14:16:49 -------- d-----w C:\Programme\Google
2007-06-02 14:16:42 -------- d-----w C:\Programme\DivX
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-07 10:26:24 14,669 ----a-w C:\WINDOWS\mozver.dat
2007-05-02 18:04:14 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-05-02 18:04:14 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-05-02 18:04:14 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2004-10-01 13:00:16 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2004-10-30 18:26:29 56 --sh--r C:\WINDOWS\system32\5555763A1F.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2005-04-12 10:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-14 15:48]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 15:04]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 18:19]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-30 20:18]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2005-10-13 02:20]
"Spyware Begone"="C:\freescan\freescan.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"SpecifyDefaultButtons"=0 (0x0)
"Btn_Search"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\D-Link AirPlus DWL-120+ Wireless USB Adapter.lnk
backup=C:\WINDOWS\pss\D-Link AirPlus DWL-120+ Wireless USB Adapter.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Felix Mühlberg^Startmenü^Programme^Autostart^ubisoft register.lnk]
path=C:\Dokumente und Einstellungen\Felix Mühlberg\Startmenü\Programme\Autostart\ubisoft register.lnk
backup=C:\WINDOWS\pss\ubisoft register.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"C:\Programme\AVPersonal\AVGNT.EXE" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Programme\D-Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C64 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
"C:\Programme\Microsoft IntelliPoint\point32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia Tray Application]
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VOBRegCheck]
C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wqfqbocwnjyv]
C:\WINDOWS\System32\gqfnxq.exe

R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys
R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\system32\drivers\prosync1.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys
R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys
R0 sfvfs02;StarForce Protection VFS Driver (version 2.x);C:\WINDOWS\system32\drivers\sfvfs02.sys
R1 avgio;avgio;\??\C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
R1 NPPTNT2;NPPTNT2;\??\C:\WINDOWS\System32\npptNT2.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R1 papycpu2;papycpu2;C:\WINDOWS\system32\DRIVERS\papycpu2.sys
R1 papyjoy;papyjoy;C:\WINDOWS\system32\DRIVERS\papyjoy.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys
R2 ACEDRV07;ACEDRV07;\??\C:\WINDOWS\system32\drivers\ACEDRV07.sys
R2 ANIO;ANIO Service;\??\C:\WINDOWS\system32\ANIO.SYS
R2 atksgt;atksgt;C:\WINDOWS\system32\DRIVERS\atksgt.sys
R2 BthServ;Bluetooth Support Service;C:\WINDOWS\system32\svchost.exe -k bthsvcs
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
R2 enodpl;enodpl;C:\WINDOWS\system32\drivers\enodpl.sys
R2 lirsgt;lirsgt;C:\WINDOWS\system32\DRIVERS\lirsgt.sys
R2 tandpl;tandpl;C:\WINDOWS\system32\drivers\tandpl.sys
R3 asapiW2k;ASAPIW2K;C:\WINDOWS\system32\Drivers\ASAPIW2K.sys
R3 avgntflt;avgntflt;\??\C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 MxlW2k;MxlW2k;C:\WINDOWS\system32\drivers\MxlW2k.sys
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
R3 Point32;Microsoft IntelliPoint Filter Driver;C:\WINDOWS\system32\DRIVERS\point32.sys
R3 RT73;D-Link USB Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\Dr71WU.sys
R3 usbehci;Miniporttreiber fr erweiterten Microsoft USB 2.0-Hostcontroller;C:\WINDOWS\system32\DRIVERS\usbehci.sys
R3 usbhub;Microsoft USB-Standardhubtreiber;C:\WINDOWS\system32\DRIVERS\usbhub.sys
R3 usbohci;Miniporttreiber fr Microsoft USB Open Host-Controller;C:\WINDOWS\system32\DRIVERS\usbohci.sys
R3 usbstor;USB-Massenspeichertreiber;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
R3 wanatw;WAN Miniport (ATW);C:\WINDOWS\system32\DRIVERS\wanatw4.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S2 Fax;Fax;C:\WINDOWS\system32\fxssvc.exe
S3 ATWPKT;ATWPKT;\??\C:\WINDOWS\system32\Drivers\ATWPKT.SYS
S3 BthEnum;Bluetooth-Anforderungsblocktreiber;C:\WINDOWS\system32\DRIVERS\BthEnum.sys
S3 BTHMODEM;Serieller Kommunikationstreiber fr Bluetooth;C:\WINDOWS\system32\DRIVERS\bthmodem.sys
S3 BthPan;Bluetooth-Ger„t (PAN);C:\WINDOWS\system32\DRIVERS\bthpan.sys
S3 BTHPORT;Bluetooth-Porttreiber;C:\WINDOWS\system32\Drivers\BTHport.sys
S3 BTHUSB;USB-Treiber fr Bluetooth-Funkger„t;C:\WINDOWS\system32\Drivers\BTHUSB.sys
S3 BTWUSB;WIDCOMM USB Bluetooth Driver;C:\WINDOWS\system32\Drivers\btwusb.sys
S3 D-Link FVNETusb (AR)(R);D-Link FVNETusb (AR)(R) Service for D-Link DWL-120 Wireless USB Adapter;C:\WINDOWS\system32\DRIVERS\vnetusbr.sys
S3 HidUsb;Microsoft HID Class-Treiber;C:\WINDOWS\system32\DRIVERS\hidusb.sys
S3 LcdMini;LcdMini Device;C:\WINDOWS\system32\DRIVERS\LcdMini.sys
S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys
S3 RFCOMM;Bluetooth-Ger„t (RFCOMM-Protokoll-TDI);C:\WINDOWS\system32\DRIVERS\rfcomm.sys
S3 SaiNtHid;%SAINTHID_NAME%;C:\WINDOWS\system32\DRIVERS\SaiNtHid.sys
S3 SaiNtSub;SaiNtSub;C:\WINDOWS\system32\DRIVERS\SaiNtSub.sys
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
S3 STIrUsb;SigmaTel USB-IrDA-Dongle;C:\WINDOWS\system32\DRIVERS\irstusb.sys
S3 usbprint;Microsoft USB-Druckerklasse;C:\WINDOWS\system32\DRIVERS\usbprint.sys
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys
S3 X10UIF;%DESCRIPTION%;C:\WINDOWS\system32\Drivers\x10uif.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs BthServ

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:21:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-23 21:22:55
C:\ComboFix-quarantined-files.txt ... 2007-07-23 21:22

--- E O F ---

muehle · 23.07.2007, 20:33

hier jetzt die filelisten:

system 32:
23.07.2007 21:02 3.284 ANIWZCS{E8E8A710-B206-45AB-9B67-C90745BE5564}
23.07.2007 16:33 2.206 wpa.dbl
22.07.2007 18:39 279.552 swreg.exe
28.06.2007 21:31 114.688 wmatimer.dll
28.06.2007 09:57 16.256.984 MRT.exe

prefetch:
23.07.2007 21:26 53.942 CMD.EXE-087B4001.pf
23.07.2007 21:26 154.696 WINRAR.EXE-3588DFE8.pf
23.07.2007 21:26 17.012 VERCLSID.EXE-3667BD89.pf
23.07.2007 21:25 10.862 GETODD.EXE-02318860.pf
23.07.2007 21:23 19.310 IMAPI.EXE-0BF740A4.pf
23.07.2007 21:23 9.438 NIRCMD.EXE-2C39EF53.pf
23.07.2007 21:23 15.180 REGEDIT.EXE-1B606482.pf
23.07.2007 21:23 70.572 ICQLITE.EXE-2AEFACA7.pf
23.07.2007 21:23 14.732 NOTEPAD.EXE-336351A9.pf
23.07.2007 21:23 79.518 EXPLORER.EXE-082F38A9.pf
23.07.2007 21:22 4.612 HANDLE.CFEXE-13427ED2.pf
23.07.2007 21:22 48.484 CATCHME.CFEXE-0F2A0789.pf
23.07.2007 21:22 8.634 NIRCMD.CFEXE-19FF4781.pf
23.07.2007 21:22 5.616 TREE.COM-0A9AA73A.pf
23.07.2007 21:22 10.756 SORT.EXE-194AE83C.pf
23.07.2007 21:22 38.962 DUMPHIVE.CFEXE-2ED3B134.pf
23.07.2007 21:22 90.994 WMIPRVSE.EXE-28F301A9.pf
23.07.2007 21:22 30.706 CSCRIPT.EXE-1C26180C.pf
23.07.2007 21:21 10.658 SWREG.CFEXE-2BF4FFCD.pf
23.07.2007 21:21 11.374 FINDSTR.EXE-0CA6274B.pf
23.07.2007 21:21 14.770 REGT.CFEXE-15DB5DAE.pf
23.07.2007 21:21 4.424 VFIND.CFEXE-2033727F.pf
23.07.2007 21:21 12.372 FIND.EXE-0EC32F1E.pf
23.07.2007 21:21 3.778 SED.CFEXE-268D7E58.pf
23.07.2007 21:20 11.508 ATTRIB.EXE-39EAFB02.pf
23.07.2007 21:20 7.806 SWXCACLS.CFEXE-365F7973.pf
23.07.2007 21:20 7.434 SWSC.CFEXE-3B4FE4FE.pf
23.07.2007 21:19 74.788 IEXPLORE.EXE-2CA9778D.pf
23.07.2007 21:19 4.178 MTEE.CFEXE-1E067BC7.pf
23.07.2007 21:17 69.206 DIVX PLAYER.EXE-0459E47A.pf
23.07.2007 21:15 43.306 WMPLAYER.EXE-0996933B.pf
23.07.2007 21:14 2.792 VFIND.EXE-0CB9A64E.pf
23.07.2007 21:13 3.828 SF.CFEXE-164B3B2D.pf
23.07.2007 21:13 5.568 CHCP.COM-18156052.pf
23.07.2007 21:12 20.944 SETPATH.CFEXE-034E3D26.pf
23.07.2007 21:12 69.846 CHKDSK.EXE-2CC4C59D.pf
23.07.2007 21:12 10.558 SWREG.EXE-3560BE42.pf
23.07.2007 21:12 8.380 NIRCMD.EXE-1F7FED22.pf
23.07.2007 21:12 43.694 COMBOFIX.EXE-2B114AF7.pf
23.07.2007 21:09 26.478 CLEANMGR.EXE-1F86EA8E.pf
23.07.2007 20:57 11.136 REG.EXE-0D2A95F7.pf
23.07.2007 20:57 6.078 MORE.COM-32DCB7E4.pf
23.07.2007 20:55 17.730 DOWNLOAD.EXE-13FCCD1C.pf
23.07.2007 20:55 16.620 MWAVL.EXE-05814FBF.pf
23.07.2007 20:55 48.498 SCANNINGPROCESS.EXE-37DDC925.pf
23.07.2007 20:55 45.738 MEXE.COM-0A264278.pf
23.07.2007 20:54 77.454 MWAV.EXE-18624A82.pf
23.07.2007 20:52 47.624 HJT.COM-30337A86.pf
23.07.2007 20:31 84.360 AZUREUS.EXE-018E10AA.pf
23.07.2007 20:24 39.436 HELPSVC.EXE-2878DDA2.pf
23.07.2007 19:42 36.550 WUAUCLT.EXE-399A8E72.pf
23.07.2007 19:41 45.150 RUNDLL32.EXE-13404D23.pf
23.07.2007 18:35 22.246 AVGNT.EXE-36CA4640.pf
23.07.2007 18:35 14.242 REGSVR32.EXE-25EEFE2F.pf
23.07.2007 18:34 44.650 UPDATE.EXE-13D57D76.pf
23.07.2007 18:34 13.262 PREUPD.EXE-358AA1C1.pf
23.07.2007 16:54 80.460 DFRGNTFS.EXE-269967DF.pf
23.07.2007 16:54 17.766 DEFRAG.EXE-273F131E.pf
23.07.2007 16:54 563.618 Layout.ini
23.07.2007 16:35 1.172.078 NTOSBOOT-B00DFAAD.pf
23.07.2007 16:31 18.710 GUARDGUI.EXE-1BD45C30.pf
23.07.2007 16:18 15.078 RUNDLL32.EXE-451FC2C0.pf
23.07.2007 15:55 47.608 AGENT.EXE-027CAB18.pf
23.07.2007 15:55 5.010 ISSCH.EXE-13FD372D.pf
23.07.2007 15:55 19.410 AIRGCFG.EXE-0D3FF1DA.pf
23.07.2007 15:55 4.928 WZCSLDR2.EXE-1EF85E7E.pf
23.07.2007 15:55 20.416 FWUPDATE.EXE-2A6D5E46.pf
23.07.2007 15:55 17.924 PDVDSERV.EXE-1624A5E5.pf
23.07.2007 15:54 8.126 QTTASK.EXE-2D7EEF34.pf
23.07.2007 15:54 6.422 NEROCHECK.EXE-092C6DFA.pf
23.07.2007 15:50 19.626 LOGONUI.EXE-0AF22957.pf
23.07.2007 14:58 67.892 AVNOTIFY.EXE-22AE9451.pf
23.07.2007 12:25 24.036 TASKMGR.EXE-20256C55.pf
22.07.2007 22:29 71.674 DWWIN.EXE-30875ADC.pf
21.07.2007 13:41 51.628 TVGENIAL.EXE-2DC14D7B.pf

windows:
23.07.2007 21:08 227.228 setupact.log
23.07.2007 20:55 786 win.ini
23.07.2007 20:55 26 Lic.xxx
23.07.2007 19:41 1.248.802 WindowsUpdate.log
23.07.2007 16:33 5.480 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
23.07.2007 16:33 284 lgfwup.ini
23.07.2007 16:33 0 0.log
23.07.2007 16:33 2.048 bootstat.dat
23.07.2007 16:32 32.622 SchedLgU.Txt
23.07.2007 14:14 1.822.398 ntbtlog.txt
22.07.2007 18:13 724.992 iun6002.exe
21.07.2007 19:54 116 NeroDigital.ini
20.07.2007 00:47 109.056 catchme.exe
13.07.2007 21:46 182.354 iis6.log
13.07.2007 21:46 449.363 tsoc.log
13.07.2007 21:46 1.374 imsins.log
13.07.2007 21:46 226.194 ntdtcsetup.log
13.07.2007 21:46 55.252 ocmsn.log
13.07.2007 21:46 372.217 comsetup.log
13.07.2007 21:46 10.687 KB936357.log
13.07.2007 21:46 568.241 ocgen.log
13.07.2007 21:46 57.088 msgsocm.log
13.07.2007 21:46 1.140.482 FaxSetup.log
13.07.2007 21:46 130.357 setupapi.log
08.07.2007 15:21 497.751 wmsetup.log
28.06.2007 21:40 37 vbaddin.ini
27.06.2007 21:32 54.156 QTFont.qfn

tasks:
23.07.2007 16:33 6 SA.DAT

lokale temps:
23.07.2007 21:26 144.834 filelist.txt
23.07.2007 21:12 16.384 ~DFBB2.tmp
23.07.2007 21:12 16.384 ~DFFFA0.tmp
23.07.2007 21:12 512 ~DFFFB3.tmp
23.07.2007 16:33 16.384 ~DFC2D1.tmp

temps: ----

**Sunny** · 23.07.2007, 20:36

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\System32\gqfnxq.exe
c:\windows\System32\swreg.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

muehle · 23.07.2007, 20:36

hier das letzte puzzlestück:

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]
"Spyware Begone" = "C:\freescan\freescan.exe -FastScan" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"RemoteControl" = ""C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"LGODDFU" = "C:\Programme\lg_fwupdate\fwupdate.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CD Copy Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["VoB Computersysteme GmbH"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{15362FA5-C983-41ed-B7AC-5B9BEAF56929}" = "AOL"
-> {HKLM...CLSID} = "AOL"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\aolshare\shell\de\shellext.dll" ["America Online, Inc."]
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 DragDrop Shell Extension"
-> {HKLM...CLSID} = "WinAceDrag-Drop Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension"
-> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Property Sheet Shell Extension"
-> {HKLM...CLSID} = "WinAceProperty Sheet Extension"
\InProcServer32\(Default) = "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"]

muehle · 23.07.2007, 20:53

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ikvokuxq

*******************

Script file located at: \??\C:\WINDOWS\system32\eqnwajvo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Error: C:\WINDOWS\system32\iifgfgf.dll is a folder, not a file!
Deletion of file C:\WINDOWS\system32\iifgfgf.dll failed!

Could not process line:
C:\WINDOWS\system32\iifgfgf.dll
Status: 0xc00000ba

Error: C:\WINDOWS\rundll16.exe is a folder, not a file!
Deletion of file C:\WINDOWS\rundll16.exe failed!

Could not process line:
C:\WINDOWS\rundll16.exe
Status: 0xc00000ba

Error: C:\WINDOWS\rundl132.dll is a folder, not a file!
Deletion of file C:\WINDOWS\rundl132.dll failed!

Could not process line:
C:\WINDOWS\rundl132.dll
Status: 0xc00000ba

Error: C:\WINDOWS\logo1_.exe is a folder, not a file!
Deletion of file C:\WINDOWS\logo1_.exe failed!

Could not process line:
C:\WINDOWS\logo1_.exe
Status: 0xc00000ba

Completed script processing.

*******************
Antivirus Version Last Update Result
AhnLab-V3 2007.7.24.0 2007.07.23 no virus found
AntiVir 7.4.0.44 2007.07.23 no virus found
Authentium 4.93.8 2007.07.23 could be a corrupted executable file
Avast 4.7.997.0 2007.07.23 no virus found
AVG 7.5.0.476 2007.07.22 no virus found
BitDefender 7.2 2007.07.23 no virus found
CAT-QuickHeal 9.00 2007.07.23 no virus found
ClamAV devel-20070416 2007.07.23 no virus found
DrWeb 4.33 2007.07.23 no virus found
eSafe 7.0.15.0 2007.07.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5002 2007.07.23 no virus found
Ewido 4.0 2007.07.23 no virus found
FileAdvisor 1 2007.07.23 no virus found
Fortinet 2.91.0.0 2007.07.23 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.23 no virus found
Ikarus T3.1.1.8 2007.07.23 no virus found
Kaspersky 4.0.2.24 2007.07.23 no virus found
McAfee 5080 2007.07.23 no virus found
Microsoft 1.2704 2007.07.23 no virus found
NOD32v2 2415 2007.07.23 no virus found
Norman 5.80.02 2007.07.23 no virus found
Panda 9.0.0.4 2007.07.23 no virus found
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.23 no virus found
TheHacker 6.1.7.152 2007.07.23 no virus found
VBA32 3.12.2.1 2007.07.23 no virus found
VirusBuster 4.3.26:9 2007.07.23 no virus found
Webwasher-Gateway 6.0.1 2007.07.23 no virus found
Additional information
File size: 279552 bytes
MD5: 5dbee2a187ff4ba477c1c8b08682a585
SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5
packers: UPX
packers: UPX
packers: UPX

die andere exe nach der ich suchen sollte existiert nicht

Mobius07 · 23.07.2007, 21:28

Ehrlich gesagt: Ich link mich auch hier raus. Viel Erfolg beim bereinigen!

Hubicka · 08.11.2007, 21:21

Hallo ich habe auch einen Trojaner

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

TR/Crypt.XPACK.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen