| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Crypt.XPACK.GENWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.04.2008, 10:50
| #1 |
| |  Trojaner Crypt.XPACK.GEN Hallo! Auf dem PC meiner Mutter, den auch meine Geschwister nutzen haben sich mehrere Trojaner eingenistet. FreeAV meldet TR/Crypt.XPACK.GEN und Vundo.GEN. Folgendes meldet HIjackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:33:10, on 05.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h__p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h__p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h__p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {32F05659-3AF7-48BB-B161-1D78F3152BED} - C:\WINDOWS\system32\cbxwxus.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\teXXas\IEButtonAmazonInterface.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\teXXas\IEButtonEbayInterface.dll O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Windows live Messenger] msn.com O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe O8 - Extra context menu item: &Search - h__p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYDE O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\teXXas\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: frizzby3 - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing) O9 - Extra 'Tools' menuitem: frizzby3 Messenger - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing) O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - h__p://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h__p://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h__p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15-3.cab O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h__p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: cbxwxus - C:\WINDOWS\SYSTEM32\cbxwxus.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing) O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg -- End of file - 11637 bytes Vielen Dank für eure Hilfe! Marc |
|
05.04.2008, 11:31
| #2 |
| Gast | Trojaner Crypt.XPACK.GEN Hi Marct Herzlich Willkommen
__________________Bitte fixe folgende Einträge mit HiJackThis (Beschreibung zum fixen von Einträgen findest du im Link meiner Signatur): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h__p://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://search.bearshare.com/sidebar.html?src=ssb R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Windows live Messenger] msn.com [/COLOR](könnte ein neuer msn wurm sein) [COLOR="Red"] O8 - Extra context menu item: &Search - h__p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYDE O9 - Extra button: frizzby3 - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing) O9 - Extra 'Tools' menuitem: frizzby3 Messenger - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing) O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - h__p://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h__p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab Bitte lasse folgende datein hier oder hier einmal online scannen und den report bitte posten: C:\WINDOWS\system32\cbxwxus.dll Bitte wende CCleaner an und danach ComboFix (den Report von Combofix bitte posten) Bitte auch noch ein neues HijackThis logfile posten danke  |
|
05.04.2008, 14:58
| #3 |
| | Trojaner Crypt.XPACK.GEN Danke für die schnelle Antwort!
__________________h__p://virusscan.jotti.org/de/ reportet: Datei: cbxwxus.dll Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: Low threat detected (more info) A-Squared Keine Viren gefunden AntiVir TR/Crypt.XPACK.Gen gefunden ArcaVir Adware.Virtumonde.Gen.38905.MX gefunden Avast Win32:TratBHO gefunden AVG Antivirus Keine Viren gefunden BitDefender Trojan.Vundo.EFG gefunden ClamAV Trojan.Vundo-2026 gefunden CPsecure AdWare.W32.Virtumonde.fp gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:AdWare.Win32.Virtumonde.gen (4, 1, 400) gefunden Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Win32/Adware.Virtumonde application gefunden Norman Virus Control W32/Vundo.gen142 gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Trojan.Win32.Virtumonde.bl gefunden Sophos Antivirus Troj/Virtum-Gen gefunden VirusBuster Keine Viren gefunden VBA32 AdWare.Win32.Virtumonde.gen gefunden --- ComboFix reagierte nach der Suche leider nicht mehr und zeigte kein Log an - nach einem Neustart des PCs war aber die Datei cbxwxus.dll weg. Hijackthis gibt jetzt folgendes Log aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:53, on 2008-04-05 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h__p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h__p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\teXXas\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h__p://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593 O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h__p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: cbxwxus - cbxwxus.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing) O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg -- End of file - 9498 bytes Gruß und jetzt schon vielen Dank für die Antwort, Marc |
|
05.04.2008, 15:26
| #4 |
| Gast | Trojaner Crypt.XPACK.GEN Bitte lass einmal VundoFix laufen Doppelklick VundoFix.exeKlicke "Scan" --> Vundo button. Nach dem Scannen, klicke den "Remove" Vundo button. Man wird nun gefragt, ob man "fixvundo" will --> klicke YES Danach werden alle Desktop-Symbole verschwinden Dann wird man gefragt, ob der PC neustarten soll --> klicke OK C:\VundoFix Backups - löschen + Papierkorb leeren. Bitte Fixe noch folgende Einträge mit HiJackThis: O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm O20 - Winlogon Notify: cbxwxus - cbxwxus.dll (file missing) O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg Da bei "cbxwxus.dll" (file missing) sieht es ganz danach aus als wurde die Datei gelöscht Bitte lass auch noch Malwarebytes (link in meiner Signatur) laufen und bitte den Report posten  Zum Schluss bitte nochmals ein neues HijackThis Logfile danke |
|
06.04.2008, 11:38
| #5 |
| | Trojaner Crypt.XPACK.GEN So, alles gemacht! Hier sind die Logfiles: Malwarebytes' Anti-Malware 1.10 Datenbank Version: 593 Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|J:\|K:\|) Objekte gescannt: 253781 Scan Dauer: 1 hour(s), 37 minute(s), 53 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:15, on 2008-04-06 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\RDSHOST.exe C:\WINDOWS\system32\sessmgr.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h__p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h__p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h__p://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no- eula.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6. 0.cab O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?109 7566082250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?11626 48010593 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing) O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9341 bytes Vielen Dank und viele Grüße, Marc |
|
06.04.2008, 13:04
| #6 |
| Gast | Trojaner Crypt.XPACK.GEN Hi Bitte lass mal noch ComboFix laufen vorher aber CCleaner anwenden. Das Logfile von Combofix bitte posten. Kommt die Meldung von deinem AV immer noch?? Ps. für die Zukunft bitte das HijackThis logfile einfach nur mit copie/paste einfügen |
|
06.04.2008, 15:25
| #7 |
| | Trojaner Crypt.XPACK.GEN Hi! Nein, mein AV meldet nix mehr. ComboFix ist diesmal durchgelaufen, hier ist das Log: ComboFix 08-04-04.1 - Mama 2008-04-06 15:57:51.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.233 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Mama\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . TimedOut: progfile.dat (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\cbxwxus.dll . ---- Previous Run ------- . C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\Jamster2.ico C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\Registryrepair.ico C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\wallpapere1.ico C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\persist.dbs C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh.dat c:\dokumente und einstellungen\mama\lokale einstellungen\anwendungsdaten\htkpftdwh.exe c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh_nav.dat c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh_navps.dat C:\WINDOWS\BM0b081d94.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\jqwwogep.ini C:\WINDOWS\system32\nmlfxdcg.dll C:\WINDOWS\system32\nvs2.inf C:\WINDOWS\system32\pegowwqj.dll C:\WINDOWS\system32\qrqss.ini C:\WINDOWS\system32\qrqss.ini2 C:\WINDOWS\system32\ssttu.dll C:\WINDOWS\system32\uttss.ini C:\WINDOWS\system32\uttss.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 )))))))))))))))))))))))))))))) . 2008-04-05 16:33 . 2008-04-05 16:33 <DIR> d-------- C:\VundoFix Backups 2008-04-05 14:54 . 2008-04-05 14:54 <DIR> d-------- C:\Programme\CCleaner 2008-04-05 10:28 . 2008-04-05 10:28 <DIR> d-------- C:\Programme\AxBx 2008-04-05 10:24 . 2008-04-05 16:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-04-05 10:24 . 2008-04-05 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Malwarebytes 2008-04-05 10:24 . 2008-04-05 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-04-04 19:01 . 2008-04-04 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-04-04 19:00 . 2008-04-04 19:00 <DIR> d-------- C:\Programme\SUPERAntiSpyware 2008-04-04 19:00 . 2008-04-04 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\SUPERAntiSpyware.com 2008-04-04 18:59 . 2008-04-04 18:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-03-27 20:48 . 2008-03-27 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\ESTSoft 2008-03-27 20:48 . 2008-03-27 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESTsoft 2008-03-27 20:47 . 2008-03-27 20:47 <DIR> d-------- C:\Programme\ESTsoft 2008-03-24 19:57 . 2008-03-24 19:57 <DIR> d-------- C:\Programme\Logitech 2008-03-24 19:21 . 2008-03-24 19:21 <DIR> d-------- C:\Programme\SmartFTP Client 3.0 Setup Files 2008-03-23 16:04 . 2008-03-23 16:04 332 --a------ C:\WINDOWS\desctemp.dat 2008-03-22 17:15 . 2008-03-23 15:34 <DIR> d-------- C:\Programme\MediaPortal 2008-03-21 23:01 . 2008-03-25 19:04 <DIR> d-------- C:\Programme\teXXas 2008-03-21 18:16 . 2008-03-24 19:28 <DIR> d-------- C:\Programme\SmartFTP Client 2008-03-21 15:44 . 2007-12-07 04:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-03-21 15:44 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-03-21 15:44 . 2007-07-01 05:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-03-21 15:44 . 2007-12-07 04:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-03-21 15:44 . 2007-12-07 04:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-03-21 15:44 . 2007-12-07 04:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-03-21 15:44 . 2007-12-07 04:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2008-03-21 15:44 . 2007-12-07 04:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-03-21 15:44 . 2007-12-06 13:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-03-20 22:18 . 2008-03-20 22:18 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-03-20 16:49 . 2008-03-20 16:51 <DIR> d-------- C:\Programme\MagicDisc 2008-03-20 16:49 . 2008-02-18 18:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys 2008-03-20 16:28 . 2008-03-20 16:56 <DIR> d-------- C:\Programme\Alcohol Soft 2008-03-20 13:03 . 2008-03-20 13:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\SecuROM 2008-03-20 10:07 . 2008-03-20 13:03 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-03-17 17:20 . 2008-03-17 17:20 264,208 --a------ C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\setup_de[1].exe 2008-03-14 18:17 . 2008-03-14 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\ooVoo Details 2008-03-13 19:17 . 2008-03-27 20:06 <DIR> d-------- C:\Programme\CC-Bar 2008-03-07 16:47 . 2008-03-07 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\T-Online . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-05 13:00 --------- d-----w C:\Programme\GetRight 2008-04-04 16:59 108,336 ----a-w C:\Programme\mswinsck.ocx 2008-04-01 13:49 27,712 ----a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\wklnhst.dat 2008-03-28 15:43 --------- d-----w C:\Programme\Racing Simulation 3 2008-03-24 17:57 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-24 17:08 --------- d-----w C:\Programme\Ubisoft 2008-03-24 11:26 --------- d-----w C:\Programme\Trillian 2008-03-24 11:23 --------- d-----w C:\Programme\Torment 2008-03-24 11:23 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\My Games 2008-03-24 11:20 --------- d-----w C:\Programme\EA GAMES 2008-03-24 11:19 --------- d-----w C:\Programme\Electronic Arts 2008-03-24 11:06 --------- d-----w C:\Programme\Französisch für das 1. Lernjahr 2008-03-24 11:03 --------- d-----w C:\Programme\Steam 2008-03-24 10:53 --------- d-----w C:\Programme\FOX KIDS 2008-03-24 10:53 --------- d-----w C:\Programme\BearShare Applications 2008-03-20 14:28 --------- d-----w C:\Programme\MagicISO 2008-03-20 10:28 --------- d-----w C:\Programme\ANNO 1503 2008-03-20 10:02 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-03-13 16:19 --------- d-----w C:\Programme\MSN Messenger 2008-03-07 14:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-03-03 20:07 --------- d-----w C:\Programme\PDFCreator 2008-03-03 20:06 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_1203.exe 2008-03-03 20:06 14,852 ----a-w C:\Programme\settings.dat 2008-03-03 20:06 --------- d-----w C:\Programme\PDFCreator Toolbar 2008-03-03 19:45 --------- d-----w C:\Programme\PDF Blender 2008-03-03 19:42 --------- d-----w C:\Programme\gs 2008-02-23 20:13 --------- d-----w C:\Programme\eMule 2008-02-23 19:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-23 19:59 --------- d-----w C:\Programme\DAP 2008-02-23 19:34 --------- d-----w C:\Programme\Regnum Online 2008-02-22 20:29 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\BearShare 2008-02-17 09:50 --------- d-----w C:\Programme\Gemeinsame Dateien\T-Com 2008-02-17 09:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online 2008-02-17 09:49 --------- d-----w C:\Programme\T-Online 2008-02-17 09:10 --------- d-----w C:\Programme\AutostartAdministrator 2008-02-12 06:06 107,680 -c--a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-02-11 16:36 --------- d-----w C:\Programme\Bus-Simulator 2008 2008-02-10 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment 2008-02-10 15:03 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\DeepBurner 2008-02-09 16:13 --------- d-----w C:\Programme\HalogenWare 2008-02-08 15:16 --------- d-----w C:\Programme\Caleido 2007-08-31 12:10 37 ----a-w C:\Dokumente und Einstellungen\Mama\o9u.dat 2007-05-03 05:38 8,368 -c--a-w C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\wklnhst.dat 2007-05-03 05:25 104,032 -c--a-w C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-08-13 19:22 4 -c--a-w C:\Dokumente und Einstellungen\Mama\quality.dat 2004-10-17 17:30 8 -csh--r C:\WINDOWS\system32\32828BBAAC.sys 2004-10-17 17:30 5,224 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 21:05 204288] "msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 08:46 249896] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-21 00:09 4583424] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] LMIinit.dll 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "MSVideo8"= VfWWDM32.dll "vidc.VP60"= C:\WINDOWS\system32\vp6vfw.dll "vidc.VP61"= C:\WINDOWS\system32\vp6vfw.dll "msacm.lhacm"= lhacm.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntivirusRegistration] --a--c--- 2004-08-18 02:09 40960 c:\programme\antivirus offer\etrust antivirus registration\EzAntivirusRegistrationCheck.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "C:\\Programme\\Microsoft Games\\FS2002\\fs2002.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"= "C:\\WINDOWS\\system32\\dplaysvr.exe"= "C:\\Programme\\STRATO iPhone\\voipclient.exe"= "C:\\Programme\\Steam\\Steam.exe"= "C:\\Programme\\Steam\\steamapps\\ogame_1993\\counter-strike source\\hl2.exe"= "D:\\Jens\\TotalCmd\\totalcmd.EXE"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= "C:\\Programme\\Regnum Online\\LiveServer\\ROClientGame.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "C:\\Programme\\Racing Simulation 3\\RS3.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443 "443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443 "37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674 "37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674 "37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675 R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-11 09:06] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-11 09:06] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 16:09] R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 23:29] R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-01-23 18:07] R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58] R3 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-08-01 16:36] R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13:53] R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 12:07] S2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys [] S2 PMP;ManageEngine PMP;C:\Programme\PMP\bin\wrapper.exe [2007-07-12 10:23] S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 15:10] S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 23:27] S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 23:41] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2006-10-12 09:15] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-02-05 12:52] S3 jatmlano;jatmlano;C:\DOKUME~1\Mama\LOKALE~1\Temp\jatmlano.sys [] S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34] S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 21:34] S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-02-17 21:34] S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2006-10-08 17:13] S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 17:13] S3 zlportio;zlportio;C:\Dokumente und Einstellungen\Mama\Desktop\Spiele\Ultrastar\UltraStar\zlportio.sys [2001-09-22 10:16] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\_PCP_INHALT/Power.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\start.exe \Shell\ReadMe\Command - Notepad Readme.Txt [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L] \Shell\AutoRun\command - L:\Autorun.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CBC0071E-AE4F-DF58-ED00-A762D65045DF}] C:\Programme\system_guard.exe . Inhalt des "geplante Tasks" Ordners "2008-03-28 09:46:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 16:11:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Windows Media Player\WMPNetwk.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-06 16:18:08 - machine was rebooted [Mama] ComboFix-quarantined-files.txt 2008-04-06 14:17:59 14 Verzeichnis(se), 85,338,488,832 Bytes frei 16 Verzeichnis(se), 85,477,642,240 Bytes frei . 2008-03-22 16:20:29 --- E O F --- Danke, Marc |
|
06.04.2008, 15:57
| #8 | ||
| Gast | Trojaner Crypt.XPACK.GEN Das sieht schon ganz gut aus Aber von Bearshare würde ich dir abraten Zitat:
Zitat:
Bitte lass zum Schluss noch Kaspersky dein system online komplett scannen Es wird etwas Zeit in Anspruch nehmen aber es sollte sich lohnen  Ansonsten bitte nochmals neues HijackThis logfile posten |
|
06.04.2008, 17:14
| #9 |
| | Trojaner Crypt.XPACK.GEN Hallo! Ich bin auch gegen Bearshare - versuch schon, meinem Bruder das auszureden! Kaspersky meldet immer noch viren und infizierte objekte - deshalb hier nochmal ein HijackThis log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:11:14, on 06.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing) O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9193 bytes Bin gespannt, was du dazu sagst! |
|
06.04.2008, 17:24
| #10 |
| Gast | Trojaner Crypt.XPACK.GEN Was meldet dir Kasperky genau? Bitte versuche mal diese datei zu finden: C:\WINDOWS\system32\jqwwogep.ini C:\WINDOWS\system32\cbxwxus.dll Bitte fixe noch diesen Eintrag: O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm Lass nun bitte mal SmitFraudFix laufen |
|
06.04.2008, 17:59
| #11 |
| | Trojaner Crypt.XPACK.GEN Hallo! Also, ich bin mittlerweile nicht mehr bei meinen Eltern, deshalb hab ich keinen direkten Zugriff auf den Computer und geb meinem Bruder die Anweisungen, was er machen soll. Er schreibt, dass Kaspersky 2 Viren und 6 infizierte Objekte gemeldet hat. Die beiden Dateien C:\WINDOWS\system32\jqwwogep.ini C:\WINDOWS\system32\cbxwxus.dll sind nicht zu finden - versteckte Dateien sind eingeblendet. SmitFraudFix meldet folgendes: SmitFraudFix v2.309 Scan done at 18:46:32,35, 06.04.2008 Run from C:\Dokumente und Einstellungen\Mama\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\Programme\Windows Live\Messenger\usnsvc.exe H:\opera925de2\op.com C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\WkDStore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mama »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mama\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Mama\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: VIA Rhine III Fast Ethernet Adapter - DSL-Manager Miniport DNS Server Search Order: 192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
13.04.2008, 09:06
| #12 |
| | Trojaner Crypt.XPACK.GEN Hallo virus, was kannst du nach dem letzten Log sagen? Der Computer ist leider noch nicht sauber... Vielen Dank und viele Grüße, Marc |
|
13.04.2008, 17:08
| #13 |
| Gast | Trojaner Crypt.XPACK.GEN Auf einmal meldet der wieder?!?! Wie holt ihr euch immer so viele Viren  Wäre noch gut zu wissen was Kaspersky genau meldet und was ihr mit den gefundenen Objekten getan habt Bitte lass nun nochmals ComboFix laufen und poste ein neues HijackThis logfile. |
|
14.04.2008, 18:33
| #14 |
| | Trojaner Crypt.XPACK.GEN Hallo! Keine Ahnung, wo das Viehzeug alles herkommt. Meiner Ma reichts auch langsam schon... Ich schick dir hier mal die Kurzfassung vom Kaspersky-Log: Viren gefunden: 8 Infizierte Objekte gefunden: 19 Verdächtige Objekte gefunden: 0 C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\setup_de[1].exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fv übersprungen C:\Dokumente und Einstellungen\Mama\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN/stream/data0005 Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN/stream Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml Mail: infiziert - 4 übersprungen C:\Programme\totalcmd\Tools\Online\mirc\backup\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.616 übersprungen C:\Programme\totalcmd\Tools\Online\mirc\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.621 übersprungen C:\QooBox\Quarantine\C\WINDOWS\system32\ssttu.dll.vir Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.mxi übersprungen C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP352\A0184615.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe RarSFX: infiziert - 2 übersprungen D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414138\Nicl_412754\Gangsta.exe/script.au3 Infizierte Objekte: not-virus:BadJoke.Win32.Autoit.a übersprungen D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414438\Nicl_412754\Gangsta.exe Embedded: infiziert - 1 übersprungen D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414138\Nicl_412754\Gangsta.exe UPX: infiziert - 1 übersprungen D:\Eigene Dateien\ICQ Lite\281578\Gta Man_434438\Nicl_412754\Gangsta.exe PE_Patch.UPX: infiziert - 1 übersprungen |
|
14.04.2008, 18:35
| #15 |
| | Trojaner Crypt.XPACK.GEN Das hier meldet HijackThis nach ComboFix: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:21:07, on 14.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\T-Online\DSL-Manager\DslMgr.exe C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing) O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 9017 bytes Danke für deine Mühe, Marc |
|
| Themen zu Trojaner Crypt.XPACK.GEN |
| antivir, avira, bho, computer, crypt.xpack.gen, desktop, drivers, ebay, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mehrere, mozilla, mozilla firefox, object, pdfcreator, registry, rundll, server, software, starten, system, t-online, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows live messenger, windows xp, windows\system32\drivers |
Linear-Darstellung
