TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System

DerMüller · 18.03.2008, 15:00

Also ich habe mir in diesem Forum alles zu dem genannten Trojaner durchgelesen aber irgendwie bekomme ich den nicht weg.
Ich habe sogar 6stunden Knoppicillin durchlaufen lassen, anschliessend 1,5 stunden im abgesicherten Modus nochmal Antivir scannen lassen und dann Windows neu aufgesetzt. Und was ist? ich logge mich das erste mal in Windows ein und er ist schon da!! Ich hab nichtmal eine Ahnung was er genau tut aber ich kann auf meine Partitionen im Arbeitsplatz nicht zugreifen, denn er erkennt sie als unbekannte Dateien. Über Ausführen kommt man dann aber doch drauf. Ob das mit dem Trojaner zutun hat weis ich nicht aber mein WoW Account wurde gehackt und für Werbung missbraucht, kann das alles dieser Trojaner gemacht haben?

Logfile of HijackThis v1.99.1
Scan saved at 14:57:44, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2AA9995-1BCF-42DD-AC9A-A1A5F6D31BBA}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

hoffe ihr könnt mir helfen, denn Windows neu aufsetzen hats nicht gebracht(auch nach dem 3ten mal nicht)

Sabina · 18.03.2008, 15:27

Hallo

wende bitte combofix an + poste hier den Report
combofix

boston · 18.03.2008, 15:33

es sieht danach aus, daß du nach dem Neuaufsetzen einen verseuchten
stick, festplatte etc. angeschlossen hast. das ist der übliche weg
dieses schädlings:

Zitat:

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

W32/SillyFDC-BR Worm - Worm - Sophos security analysis

das führt das Neuaufsetzen natürlich ad absurdum.
ich übergebe dann wieder an sabina.

DerMüller · 18.03.2008, 15:41

ComboFix 08-03-17.1 - *** 2008-03-18 15:37:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.670 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\_000111_.tmp.dll
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 ))))))))))))))))))))))))))))))
.

2008-03-18 14:51 . 2008-03-18 14:51 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-18 11:27 . 2005-10-31 11:17 135,168 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-03-18 11:27 . 2005-07-15 09:48 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d-------- C:\Programme\Realtek
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-18 11:25 . 2006-06-13 13:05 16,239,616 -r------- C:\WINDOWS\RTHDCPL.exe
2008-03-18 11:25 . 2006-05-04 09:35 9,709,568 -r------- C:\WINDOWS\RTLCPL.exe
2008-03-18 11:25 . 2006-05-04 09:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2008-03-18 11:25 . 2006-06-09 11:25 2,158,592 -r------- C:\WINDOWS\MicCal.exe
2008-03-18 11:25 . 2005-04-16 15:20 487,424 -r------- C:\WINDOWS\RtlExUpd.dll
2008-03-18 11:25 . 2005-09-21 03:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.Cpl
2008-03-18 11:25 . 2005-05-03 11:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2008-03-18 11:24 . 2008-03-18 11:28 52 --a------ C:\WINDOWS\GunzLauncher.INI
2008-03-18 11:22 . 2008-03-18 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-18 11:21 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Programme\COMODO
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Comodo
2008-03-18 10:25 . 2008-03-18 10:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-03-18 10:25 . 2008-03-18 10:25 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-03-18 10:25 . 2008-03-18 10:25 85,112 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-03-18 10:25 . 2008-03-18 10:25 23,800 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 08:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-18 08:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2008-03-18 08:02 --------- d-----w C:\Programme\Alice
2008-03-18 08:01 --------- d-----w C:\Programme\Marvell
2008-03-18 08:00 --------- d-----w C:\Programme\Avira
2008-03-18 08:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 07:52 --------- d-----w C:\Programme\microsoft frontpage
2008-03-18 07:51 --------- d-----w C:\Programme\Online-Dienste
2008-03-18 07:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 09:05 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 11:22 86016]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-03-18 10:25 1503488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 13:05 16239616 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-05-04 09:22 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 09:26 2808832 C:\WINDOWS\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Games\\Gunz\\GunzLauncher.exe"=
"H:\\Games\\Gunz\\Gunz.exe"=

R3 XDva032;XDva032;C:\WINDOWS\system32\XDva032.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db0-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - I:\cfdflx.com
\Shell\explore\Command - I:\cfdflx.com
\Shell\open\Command - I:\cfdflx.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - J:\cfdflx.com
\Shell\explore\Command - J:\cfdflx.com
\Shell\open\Command - J:\cfdflx.com

*Newly Created Service* - BITS
*Newly Created Service* - XDVA032
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:38:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Zeit der Fertigstellung: 2008-03-18 15:38:51
ComboFix-quarantined-files.txt 2008-03-18 14:38:50
.
2008-03-18 13:52:15 --- E O F ---

DerMüller · 18.03.2008, 15:42

edit: ups sry^^

boston · 18.03.2008, 15:51

das

Zitat:

D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf

spricht für die vermutung in meinem letzen post.
zurück zu sabina

Sabina · 18.03.2008, 15:58

Hallo,

nun, ich werde ein Script für Combofix aber auch eins für AVZ erstellen - Stick ist verseucht !!!
Was hast du angesschlossen ? USB-Stick oder anderes ?

lade avz, scanne + poste den report
AVZ Antiviral Toolkit

DerMüller · 18.03.2008, 17:03

also ich habe 2 Partitionen eine für windows und eine wo mein ganzes zeug drauf ist spiele filme etc. also wirds wohl auf der 2ten sein. ich habe aber nicht wirklich lust die zu formatieren dann sitz ich ohne alles da^^

achso klar hab ich meh partitionen aber wenn ich windows neu mache und nicht den ITE... treiber installiert habe erkennt er nur die beiden

edit: mal nebenbei gesagt find ich das hier echt klasse wie ihr euch um mich kümmert. vor allem wie schnell da antworten kommen. weiter so

DerMüller · 18.03.2008, 17:41

Attention !!! The database was last updated 12.12.2007 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.29
Scanning started at 18.03.2008 17:14:54
Database loaded: signatures - 138934, NN profile(s) - 2, microprograms of healing - 55, signature database released 12.12.2007 10:43
Heuristic microprograms loaded: 371
SPV microprograms loaded: 9
Digital signatures of system files loaded: 66967
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Recovery: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:LdrUnloadDll (80) intercepted, method APICodeHijack.JmpTo[10004F76]
Function ntdll.dll:NtClose (111) intercepted, method APICodeHijack.JmpTo[10005046]
Function ntdll.dll:ZwClose (921) intercepted, method APICodeHijack.JmpTo[10005046]
Analysis: user32.dll, export table found in section .text
Function user32.dll:EndTask (202) intercepted, method APICodeHijack.JmpTo[10004C16]
Function user32.dll:keybd_event (727) intercepted, method APICodeHijack.JmpTo[10001536]
Function user32.dll:mouse_event (728) intercepted, method APICodeHijack.JmpTo[100016B6]
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=08C500)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Function NtCreateThread (35) intercepted (80586CE6->F7EF35DC), hook not defined
Function NtOpenProcess (7A) intercepted (80581C68->F7EF35C8), hook not defined
Function NtOpenThread (80) intercepted (80598726->F7EF35CD), hook not defined
Function NtTerminateProcess (101) intercepted (8058CE75->F7EF35D7), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805880B7->F7EF35D2), hook not defined
Functions checked: 284, intercepted: 5, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: the extended monitoring driver (AVZPM) is not installed
2. Scanning memory
Number of processes found: 26
Number of modules loaded: 315
Memory checking - complete
3. Scanning disks
C:\Programme\DivX\DivX Converter\dpil100.dll >>> suspicion for AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Direct reading H:\System Volume Information\_restore{ED32CDA6-66E9-47B3-8C5E-7D982290F479}\RP9\A0001190.exe
Direct reading H:\System Volume Information\_restore{ED32CDA6-66E9-47B3-8C5E-7D982290F479}\RP9\A0001191.com
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\guard32.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\guard32.dll>>> Behavioral analysis:
1. Reacts to events: keyboard, mouse
2. Determines PID of current process
C:\WINDOWS\system32\guard32.dll>>> Neural net: file with probability 0.60% like a typical keyboard/mouse events interceptor
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\WINDOWS\system32\guard32.dll"
Checking complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking complete
9. Troubleshooting wizard
Checking complete
Files scanned: 79629, extracted from archives: 40224, malicious programs found 0, suspicions - 1
Scanning finished at 18.03.2008 17:39:08
Time of scanning: 00:24:15
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Sabina · 18.03.2008, 17:55

ich brauche einige zeit, um ein script zu erstellen, im moment bin ich nicht an meinem pc ...erst wieder abends/spät + eine Stunde Zeitverschiebung zu Deutschland, sorry

DerMüller · 18.03.2008, 18:21

mal ein update meiner Situation

das Problem das ich über den Arbeitsplatz meine Partitionen nicht mehr erreiche tritt nicht mehr auf. keine ahnung warum

Sabina · 19.03.2008, 00:47

1.
zuerst den Stick formatieren: (oder mehrere Sticks...sind es zwei ? )
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code:

ATTFilter

KILLALL::

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db0-f4d2-11dc-b1e3-0018f34a8b64}]

File:: 
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
I:\cfdflx.com
J:\cfdflx.com

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an

»»
poste den neuen Report von Combofix

DerMüller · 19.03.2008, 22:09

also es ist kein stick sondern nur eine partition ABER ich weis das mich das nicht viel weiter bringt aber ich kann sie nicht löschen da is zuviel Zeug drauf wovon ich mich nicht trennen will(immerhin 200gb).

ist formatieren aller partitionen der einzige weg?

achso udn hier der neue log

ComboFix 08-03-17.1 - *** 2008-03-19 22:01:16.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.746 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
I:\cfdflx.com
J:\cfdflx.com
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-19 bis 2008-03-19 ))))))))))))))))))))))))))))))
.

2008-03-19 18:51 . 2008-03-19 18:51 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-03-19 18:49 . 2008-03-19 18:49 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-03-19 18:49 . 2008-03-19 18:49 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-03-19 18:49 . 2008-03-19 18:49 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-03-18 18:22 . 2008-03-18 18:22 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-18 17:29 . 2008-03-18 17:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-03-18 17:27 . 2008-03-18 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-03-18 17:27 . 2008-03-18 17:27 <DIR> d-------- C:\Programme\Ahead
2008-03-18 17:27 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-03-18 17:27 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-03-18 17:27 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-03-18 17:27 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-03-18 17:27 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-03-18 17:27 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-03-18 17:10 . 2008-03-18 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2008-03-18 17:08 . 2008-03-18 17:08 <DIR> d-------- C:\Programme\DivX
2008-03-18 14:51 . 2008-03-19 19:03 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-18 11:27 . 2005-10-31 11:17 135,168 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-03-18 11:27 . 2005-07-15 09:48 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d-------- C:\Programme\Realtek
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-18 11:25 . 2006-06-13 13:05 16,239,616 -r------- C:\WINDOWS\RTHDCPL.exe
2008-03-18 11:25 . 2006-05-04 09:35 9,709,568 -r------- C:\WINDOWS\RTLCPL.exe
2008-03-18 11:25 . 2006-05-04 09:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2008-03-18 11:25 . 2006-06-09 11:25 2,158,592 -r------- C:\WINDOWS\MicCal.exe
2008-03-18 11:25 . 2005-04-16 15:20 487,424 -r------- C:\WINDOWS\RtlExUpd.dll
2008-03-18 11:25 . 2005-09-21 03:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.Cpl
2008-03-18 11:25 . 2005-05-03 11:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2008-03-18 11:24 . 2008-03-19 18:51 52 --a------ C:\WINDOWS\GunzLauncher.INI
2008-03-18 11:22 . 2008-03-18 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-18 11:21 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Programme\COMODO
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Comodo
2008-03-18 10:25 . 2008-03-18 10:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-03-18 10:25 . 2008-03-18 10:25 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-03-18 10:25 . 2008-03-18 10:25 85,112 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-03-18 10:25 . 2008-03-18 10:25 23,800 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-21 03:11 . 2008-02-21 03:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 03:05 . 2008-02-21 03:05 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-02-21 03:05 . 2008-02-21 03:05 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-02-21 03:03 . 2008-02-21 03:03 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-02-21 03:03 . 2008-02-21 03:03 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 03:03 . 2008-02-21 03:03 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-21 03:03 . 2008-02-21 03:03 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 08:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-18 08:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2008-03-18 08:02 --------- d-----w C:\Programme\Alice
2008-03-18 08:01 --------- d-----w C:\Programme\Marvell
2008-03-18 08:00 --------- d-----w C:\Programme\Avira
2008-03-18 08:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 07:52 --------- d-----w C:\Programme\microsoft frontpage
2008-03-18 07:51 --------- d-----w C:\Programme\Online-Dienste
2008-03-18 07:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
.

((((((((((((((((((((((((((((( snapshot@2008-03-18_15.38.44,37 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00:00 36,864 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2007-07-30 18:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2008-02-21 02:05:38 551,672 ------w C:\WINDOWS\system32\px.dll
+ 2008-02-21 02:05:38 66,296 ------w C:\WINDOWS\system32\pxcpya64.exe
+ 2008-02-21 02:05:38 518,904 ------w C:\WINDOWS\system32\pxdrv.dll
+ 2008-02-21 02:05:40 72,440 ------w C:\WINDOWS\system32\pxhpinst.exe
+ 2008-02-21 02:05:38 64,760 ------w C:\WINDOWS\system32\pxinsa64.exe
+ 2008-02-21 02:05:40 187,128 ------w C:\WINDOWS\system32\pxmas.dll
+ 2008-02-21 02:05:38 1,628,920 ------w C:\WINDOWS\system32\pxsfs.dll
+ 2008-02-21 02:05:38 379,640 ------w C:\WINDOWS\system32\pxwave.dll
+ 2008-02-21 02:05:38 88,824 ------w C:\WINDOWS\system32\vxblock.dll
- 2004-08-04 12:00:00 36,864 ----a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\wups.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 09:05 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 11:22 86016]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-03-18 10:25 1503488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 13:05 16239616 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Games\\Gunz\\GunzLauncher.exe"=
"H:\\Games\\Gunz\\Gunz.exe"=

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 XDva032;XDva032;C:\WINDOWS\system32\XDva032.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - J:\cfdflx.com
\Shell\explore\Command - J:\cfdflx.com
\Shell\open\Command - J:\cfdflx.com

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 22:03:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-19 22:05:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-19 21:05:14
ComboFix2.txt 2008-03-18 14:38:52
.
2008-03-18 13:52:15 --- E O F ---

Sabina · 19.03.2008, 22:25

Hallo,

mal sehen, ob wir die Partitionen sauber bekommen..

- 200 Giga..oh je...

---------------------------------
erstelle eine neue cfscript.txt

KILLALL::

Code:

ATTFilter

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]

File:: 
J:\cfdflx.com

wieder, wie gehabt anwenden + neustarten + ein neues log von Combofix

DerMüller · 19.03.2008, 22:33

ist der accountraub jetzt eher zufall gewesen oder hat es mit dem Problem hier zutun?

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System