Problem mit TR/Crypt.XPACK.Gen - lässt sich weder löschen noch sonstiges

xxfishbonexx · 31.03.2008, 20:24

Guten Abend zusammen, ich habe ein Problem mit dem Trojaner TR/Crypt.XPACK.Gen

Jedes mal wenn ich eine Datei, einen Ordner oder Anderes öffne bzw. einen Link anklicke meldet sich mein Antivir mit der folgenden Meldung:
F:\WINDOWS\system32\nnnNhIYO.dll
Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Nun kann ich diesen Trojaner aber nicht löschen oder in Quarantäne verschieben.

Ich benutze Windows XP Professional SP 2

HijackThis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:12:48, on 31.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
G:\Programme\Lavasoft\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Programme\Cyberlink\Shared files\RichVideo.exe
F:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
F:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
F:\WINDOWS\explorer.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Programme\QIP\qip.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - F:\WINDOWS\system32\nnnNhIYO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15E0818E-188E-495A-9299-11568C46C4DD} - F:\WINDOWS\system32\awtsQjkK.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Gainward] F:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] G:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] G:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [HPHUPD06] G:\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "F:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon06] F:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5558] cmd /c del "F:\WINDOWS\system32\awtsQjkK.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QIP2005] F:\Programme\QIP\qip.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hama Wireless LAN Utility.lnk = F:\Programme\Hama\Common\RaUI.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = G:\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = G:\HP\digital imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6\ICQ.exe
O20 - Winlogon Notify: nnnNhIYO - F:\WINDOWS\SYSTEM32\nnnNhIYO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - G:\Programme\Lavasoft\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - F:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - F:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - F:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - F:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7205 bytes

Vielen Danke für Eure Hilfe!

MfG

**Sunny** · 31.03.2008, 20:31

Hallo xxfishbonexx und

Fixen/Löschen mit Hijackthis

Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Zitat:

O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - F:\WINDOWS\system32\nnnNhIYO.dll
O2 - BHO: (no name) - {15E0818E-188E-495A-9299-11568C46C4DD} - F:\WINDOWS\system32\awtsQjkK.dll (file missing)
O20 - Winlogon Notify: nnnNhIYO - F:\WINDOWS\SYSTEM32\nnnNhIYO.dll

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner"

Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

xxfishbonexx · 31.03.2008, 21:20

Leider kann ich die Einträge:

O2 - BHO: (no name) - {060BB0AB-4B09-4C51-9ECB-9580A6D08D7F} - F:\WINDOWS\system32\nnnNhIYO.dll
O20 - Winlogon Notify: nnnNhIYO - F:\WINDOWS\SYSTEM32\nnnNhIYO.dll

nicht löschen. Er sagt mir immer ich soll alle Browser- und Explorerfenster zu machen, obwohl keine offen sind.

und ComboFix startet nicht, es kommen nur 4 Meldungen von Antivir wegen dem Trojaner

**Sunny** · 01.04.2008, 15:13

Zitat:

Zitat von xxfishbonexx

und ComboFix startet nicht, es kommen nur 4 Meldungen von Antivir wegen dem Trojaner

Was heisst denn startet nicht?
Wenn du einen Doppelklick machst, passiert was?

Versuch es auch mal hiermit:

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

xxfishbonexx · 01.04.2008, 15:24

Okay heute hab ich es noch einmal mit ComboFix probiert und es hat geklappt

Hier der Log:

Zitat:

ComboFix 08-03-30.4 - Kili 2008-04-01 6:27:23.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1484 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Kili\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-01 bis 2008-04-01 ))))))))))))))))))))))))))))))
.

2008-04-01 06:24 . 2008-04-01 06:24 <DIR> d-------- F:\WINDOWS\LastGood
2008-03-31 22:06 . 2008-03-31 22:06 <DIR> d-------- F:\Programme\CCleaner
2008-03-31 20:41 . 2008-03-31 20:55 148 --a------ F:\WINDOWS\wininit.ini
2008-03-31 20:31 . 2008-03-31 20:31 <DIR> d-------- F:\Programme\Trend Micro
2008-03-28 18:55 . 2008-03-28 18:55 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-28 18:25 . 2008-03-28 18:25 <DIR> d--hs---- F:\WINDOWS\ftpcache
2008-03-28 18:25 . 2008-03-28 18:25 311 --a------ F:\WINDOWS\game.ini
2008-03-28 17:49 . 2008-03-28 17:49 39,424 --------- F:\WINDOWS\system32\nnnNhIYO.dll
2008-03-28 16:15 . 2008-03-28 16:15 <DIR> d-------- F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\DAEMON Tools
2008-03-28 16:15 . 2008-03-28 16:15 717,296 --a------ F:\WINDOWS\system32\drivers\sptd.sys
2008-03-26 00:47 . 2008-03-26 00:48 <DIR> d-------- F:\WINDOWS\_ISTMP1.DIR
2008-03-18 23:33 . 2008-03-18 23:34 691,545 --a------ F:\WINDOWS\unins000.exe
2008-03-18 23:33 . 2008-03-18 23:35 4,642 --a------ F:\WINDOWS\unins000.dat
2008-03-15 21:22 . 2008-03-15 21:22 323 --a------ F:\WINDOWS\doom3.ini
2008-03-15 20:15 . 2008-03-15 20:16 <DIR> d-------- F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\ICQ
2008-03-11 20:52 . 2008-03-11 20:53 <DIR> d-------- F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\ACStealth4

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-31 19:41 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\mIRC
2008-03-30 15:17 28,640 ----a-w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-28 16:25 --------- d--h--w F:\Programme\InstallShield Installation Information
2008-03-22 16:52 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\Apple Computer
2008-03-21 23:39 --------- d-----w F:\Programme\Gemeinsame Dateien\InstallShield
2008-03-19 13:51 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-16 12:46 307,968 ----a-w F:\windows\system32\TuneUpDefragService.exe
2008-03-15 20:13 --------- d-----w F:\Programme\OpenOffice.org 2.3
2008-03-15 19:10 11,973 ----a-w F:\WINDOWS\system32\drivers\secdrv.sys
2008-03-15 12:52 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\OpenOffice.org2
2008-02-23 17:02 --------- d-----w F:\Programme\QuickTime
2008-02-23 17:02 --------- d-----w F:\Programme\iTunes
2008-02-23 17:02 --------- d-----w F:\Programme\iPod
2008-02-22 22:10 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\dvdcss
2008-02-21 18:05 --------- d-----w F:\Programme\Hewlett-Packard
2008-02-21 18:05 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-02-21 18:04 --------- d-----w F:\Programme\HP
2008-02-21 18:04 --------- d-----w F:\Programme\Gemeinsame Dateien\HP
2008-02-20 16:01 --------- d-----w F:\Programme\TuneUp Utilities 2007
2008-02-20 16:01 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-19 19:32 --------- d-----w F:\Programme\Sony Ericsson
2008-02-19 19:32 --------- d-----w F:\Programme\Gemeinsame Dateien\Teleca Shared
2008-02-19 19:32 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\Teleca
2008-02-19 19:32 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-02-19 19:32 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-02-19 19:31 97,056 ----a-w F:\WINDOWS\system32\drivers\W700mdm.sys
2008-02-19 19:31 9,264 ----a-w F:\WINDOWS\system32\drivers\W700mdfl.sys
2008-02-19 19:31 88,560 ----a-w F:\WINDOWS\system32\drivers\W700mgmt.sys
2008-02-19 19:31 86,368 ----a-w F:\WINDOWS\system32\drivers\W700obex.sys
2008-02-19 19:31 61,536 ----a-w F:\WINDOWS\system32\drivers\W700bus.sys
2008-02-19 19:31 6,208 ----a-w F:\WINDOWS\system32\drivers\W700cmnt.sys
2008-02-19 19:31 6,208 ----a-w F:\WINDOWS\system32\drivers\W700cm.sys
2008-02-19 19:31 5,840 ----a-w F:\WINDOWS\system32\drivers\W700whnt.sys
2008-02-19 19:31 5,840 ----a-w F:\WINDOWS\system32\drivers\W700wh.sys
2008-02-18 03:32 28,416 ----a-w F:\windows\system32\uxtuneup.dll
2008-02-10 20:50 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\CyberLink
2008-02-10 20:50 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-02-10 20:47 --------- d-----w F:\Programme\Cyberlink
2008-02-09 21:24 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\teamspeak2
2008-02-08 20:45 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-02-08 20:37 --------- d-----w F:\Programme\PixiePack Codec Pack
2008-02-08 14:29 --------- d-----w F:\Programme\MSECache
2008-02-07 19:37 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-07 19:07 --------- d-----w F:\Programme\AviSynth 2.5
2008-02-07 19:04 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\Ashampoo
2008-02-06 15:53 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-02-03 23:32 --------- d-----w F:\Dokumente und Einstellungen\Kili\Anwendungsdaten\vlc
2008-02-02 18:39 --------- d-----w F:\Programme\mIRC
2008-01-30 20:00 2,290,688 ----a-w F:\windows\system32\TUKernel.exe
2008-01-29 21:49 108,144 ----a-w F:\windows\system32\CmdLineExt.dll
.

((((((((((((((((((((((((((((( snapshot@2008-03-31_20.58.37.96 )))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}]
2008-03-28 17:49 39424 --------- F:\windows\system32\nnnNhIYO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\windows\system32\ctfmon.exe" [2002-12-31 14:00 15360]
"QIP2005"="F:\Programme\QIP\qip.exe" [2008-03-25 23:32 3254784]
"SpybotSD TeaTimer"="G:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"msnmsgr"="F:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 F:\WINDOWS\SkyTel.exe]
"Gainward"="F:\WINDOWS\TBPanel.exe" [2007-11-01 07:24 2185768]
"NvCplDaemon"="F:\WINDOWS\system32\NvCpl.dll" [2007-10-25 11:17 8527872]
"nwiz"="nwiz.exe" [2007-10-25 11:17 1626112 F:\WINDOWS\system32\nwiz.exe]
"avgnt"="F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-29 17:55 249896]
"NvMediaCenter"="F:\WINDOWS\system32\NvMcTray.dll" [2007-10-25 11:17 81920]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 F:\WINDOWS\RTHDCPL.exe]
"SunJavaUpdateSched"="F:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"Adobe Reader Speed Launcher"="F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"RemoteControl"="G:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 22:01 71216]
"LanguageShortcut"="G:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 23:17 52256]
"HPHUPD06"="G:\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 06:53 49152]
"HP Software Update"="G:\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 14:38 49152]
"HP Component Manager"="F:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]
"HPHmon06"="F:\WINDOWS\system32\hphmon06.exe" [2004-06-07 06:45 659456]
"HPDJ Taskbar Utility"="F:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe" [2004-04-06 12:28 172032]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="F:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00 15360]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-06 15:51:28 110592]
Hama Wireless LAN Utility.lnk - F:\Programme\Hama\Common\RaUI.exe [2008-01-29 17:30:38 610304]
HP Digital Imaging Monitor.lnk - G:\HP\digital imaging\bin\hpqtra08.exe [2004-05-28 23:31:38 241664]
HP Image Zone Schnellstart.lnk - G:\HP\digital imaging\bin\hpqthb08.exe [2004-05-29 00:06:36 53248]
Microsoft Office.lnk - F:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{060BB0AB-4B09-4C51-9ECB-9580A6D08D7F}"= F:\windows\system32\nnnNhIYO.dll [2008-03-28 17:49 39424]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnNhIYO]
nnnNhIYO.dll 2008-03-28 17:49 39424 F:\WINDOWS\system32\nnnNhIYO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\QIP\\qip.exe"=
"F:\\Dokumente und Einstellungen\\Kili\\Desktop\\mirc.exe"=
"F:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\CSS\\hl2.exe"=
"C:\\cs.1.6 nici\\hl.exe"=
"G:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"F:\\Programme\\Mozilla Firefox\\firefox.exe"=
"F:\\Programme\\iTunes\\iTunes.exe"=
"F:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"F:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"G:\\Programme\\ICQ6\\ICQ.exe"=
"G:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

R0 Si3531;SiI-3531 SATA Controller;F:\windows\system32\DRIVERS\Si3531.sys [2006-10-06 09:50]
R2 UxTuneUp;TuneUp Designerweiterung;F:\windows\System32\svchost.exe [2002-12-31 14:00]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;F:\windows\System32\TuneUpDefragService.exe [2008-03-16 14:46]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);F:\windows\system32\DRIVERS\W700bus.sys [2008-02-19 21:31]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;F:\windows\system32\DRIVERS\W700mdfl.sys [2008-02-19 21:31]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;F:\windows\system32\DRIVERS\W700mdm.sys [2008-02-19 21:31]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);F:\windows\system32\DRIVERS\W700mgmt.sys [2008-02-19 21:31]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;F:\windows\system32\DRIVERS\W700obex.sys [2008-02-19 21:31]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
F:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-04-01 04:23:55 F:\windows\Tasks\1-Klick-Wartung.job"
- G:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-03-22 16:47:00 F:\windows\Tasks\AppleSoftwareUpdate.job"
- F:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-03-31 20:14:00 F:\windows\Tasks\HP Usg Daily.job"
- G:\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped05.exe
"2008-03-31 20:23:03 F:\windows\Tasks\WebReg 20080331222303.job"
- G:\HP\Digital Imaging\bin\hpqwrg.exeb/TaskName 20080331222303 /N
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-01 06:28:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\windows\system32\winlogon.exe
-> F:\windows\system32\nnnNhIYO.dll
.
Zeit der Fertigstellung: 2008-04-01 6:28:26
ComboFix-quarantined-files.txt 2008-04-01 04:28:22
5 Verzeichnis(se), 26,709,204,992 Bytes frei
8 Verzeichnis(se), 26,698,006,528 Bytes frei
.
2008-04-01 04:24:59 --- E O F ---

**Sunny** · 01.04.2008, 15:31

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

F:\WINDOWS\system32\nnnNhIYO.dll

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Zitat:

nnnNhIYO

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.

xxfishbonexx · 01.04.2008, 19:54

So nachdem mein Pc sich nicht mehr booten ließ habe ich mir die Windows-CD geschnappt -> formatiert und Windows neu aufgespielt!

Jetzt läuft alles wieder einwandfrei

Vielen Dank für deine Bemühungen!!!

LG

Problem mit TR/Crypt.XPACK.Gen - lässt sich weder löschen noch sonstiges

Log-Analyse und Auswertung: Problem mit TR/Crypt.XPACK.Gen - lässt sich weder löschen noch sonstiges