ebenfalls TR/Crypt.XPACK.Gen und Co.

nowhere · 19.05.2008, 17:27

Hallo zusammen,

ich hab seid ein paar Tagen auch das "Vergnügen", dass mir AntiVir TR/Crypt.XPACK.Gen meldet (manchmal auch Privacy.A) und ich den Trojaner bis jetzt nicht wegbekommen hab. Spätestens bei jedem Neustart ist er wieder da (grundsätzlich irgendwo in C:\WINNT\system32 und manchmal auch in Dokumente und Einstellungen bei den Temporary Internet Files). Formatieren hat leider gar nichts gebracht, da ich das Ding innerhalb kürzester Zeit, in der ich die aktuellen Sicherheitspatches gezogen und installiert hab, gleich wieder drauf hatte. Adaware, Spydoctor und Spy Search & Destroy haben zwar auch alle was gefunden jeweils, könnten die infizierten Dateien aber auch nie dauerhaft löschen, bei jedem Neustart ist der Trojaner wieder da.

Mein HJT-Log sieht momentan nach einem Neustart so aus:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:56, on 19.05.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\Nowhere1\Desktop\HiJackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.svalbardposten.no/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://www.svalbardposten.no/
O2 - BHO: {55472994-2687-7deb-9d24-910fc492e992} - {299e294c-f019-42d9-bed7-786249927455} - C:\WINNT\system32\nwqdfydi.dll
O2 - BHO: (no name) - {3F0FB25A-2028-4799-9778-0A9B21C48782} - C:\WINNT\system32\iifebYPi.dll (file missing)
O2 - BHO: (no name) - {6C23AB0C-0244-4B01-8253-BEE724D0D2EC} - C:\WINNT\system32\opnnoonl.dll
O2 - BHO: (no name) - {7CD80B8B-6938-4093-8165-2C50E13C4C0A} - C:\WINNT\system32\ljJDUkjh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [d4cfaf63] rundll32.exe "C:\WINNT\system32\quiikifg.dll",b
O4 - HKLM\..\Run: [BMd7fc9cff] Rundll32.exe "C:\WINNT\system32\djjudhje.dll",s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211123285265
O20 - Winlogon Notify: opnnoonl - C:\WINNT\SYSTEM32\opnnoonl.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

--
End of file - 4179 bytes

Hoffe, dass von euch vielleicht noch jemand einen Tipp für mich hat, der mich weiterbringt. Vielen Dank schon mal für eure Mühe!

nochdigger · 19.05.2008, 17:43

Hallo

mach bitte mal alle versteckten Dateien und Ordner sichtbar.
Dann lass bitte diese Datei

Zitat:

C:\WINNT\system32\spooIsv.exe

(nicht verwechseln mit C:\WINNT\system32\spoolsv.exe)
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

nowhere · 19.05.2008, 19:43

Ich fürchte oben mein Log war schon durch AntiVir etwas beeinflusst, nach Neustart und kurzzeitigem Abschalten von AntiVir sieht der Log komplett nämlich so aus:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:42, on 19.05.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Nowhere1\Desktop\HiJackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.svalbardposten.no/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://www.svalbardposten.no/
O2 - BHO: {55472994-2687-7deb-9d24-910fc492e992} - {299e294c-f019-42d9-bed7-786249927455} - C:\WINNT\system32\nwqdfydi.dll
O2 - BHO: (no name) - {3F0FB25A-2028-4799-9778-0A9B21C48782} - C:\WINNT\system32\iifebYPi.dll (file missing)
O2 - BHO: (no name) - {67E2FED2-FB02-4852-8F9A-406585B8F01B} - C:\WINNT\system32\ljJDUkjh.dll
O2 - BHO: (no name) - {6C23AB0C-0244-4B01-8253-BEE724D0D2EC} - C:\WINNT\system32\opnnoonl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [d4cfaf63] rundll32.exe "C:\WINNT\system32\quiikifg.dll",b
O4 - HKLM\..\Run: [BMd7fc9cff] Rundll32.exe "C:\WINNT\system32\djjudhje.dll",s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211123285265
O20 - Winlogon Notify: opnnoonl - C:\WINNT\SYSTEM32\opnnoonl.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

--
End of file - 4393 bytes

spooIsv.exe find ich nicht, selbst wenn ich die versteckten Dateien und Ordner anzeigen lasse, befindet sich dort nur die normale spoolsv.exe. Was mir allerdings beim Umstellen der Sichtbarkeit versteckter Dateien und Ordner aufgefallen ist: Da steht nicht mehr wie früher "Versteckte Dateien und Ordner anzeigen" zur Auswahl sondern HIDDEN, wo man dann zwischen "nohidden" und "showall" wählen kann. Weiter unten gibts dann noch mal die Option "Superhidden", welche ich auch deaktivieren musste, um noch mehr versteckte Dateien anzuzeigen. Ist das normal, dass das plötzlich englisch ist zum Teil? Früher waren die Einstellungen jedenfalls mal komplett deutsch.

Aktuell springt AntiVir übrigens auf die Datei C:\WINNT\system32\ljJDUkjh.dll an.

Edit

Falls es was bringt, hier die Ergebnisse von der ljJDUkjh.dll:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.19 Vundo.gen179
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 Vundo.gen179
Panda 9.0.0.4 2008.05.19 -
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 Trojan.Crypt.XPACK.Gen

File size: 371712 bytes

MD5...: 87cbc86383c97c3f1eef4bd2fab5cd55

SHA1..: 1617f7618947b718c94ba3e2d5c5a1089b2ea4a2

nochdigger · 19.05.2008, 20:52

Hallo

Zitat:

spooIsv.exe find ich nicht, selbst wenn ich die versteckten Dateien und Ordner anzeigen lasse

Hm schlecht...

erstelle bitte mal ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Lass bitte auch Silentrunners dein System überprüfen
Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

nowhere · 19.05.2008, 23:59

Zitat:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\

19.05.2008 20:30 402.653.184 pagefile.sys
18.05.2008 18:46 6.671 ComboFix.txt
18.05.2008 17:08 192 boot.ini
18.05.2008 16:57 435 TO_InstallLog.txt
18.05.2008 16:25 216.096 ntldr
18.05.2008 16:25 34.724 NTDETECT.COM
18.05.2008 16:13 0 MSDOS.SYS
18.05.2008 16:13 0 CONFIG.SYS
18.05.2008 16:13 0 AUTOEXEC.BAT
18.05.2008 16:13 0 IO.SYS
19.06.2003 12:05 163.840 arcsetup.exe
19.06.2003 12:05 150.528 arcldr.exe
12 Datei(en) 403.225.670 Bytes
0 Verzeichnis(se), 12.834.467.840 Bytes frei

Zitat:

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\WINNT\system32

20.05.2008 00:44 466.348 hjkUDJjl.ini
20.05.2008 00:43 466.332 hjkUDJjl.ini2
20.05.2008 00:40 16.384 Perflib_Perfdata_53c.dat
19.05.2008 21:25 1.482.247 gfikiiuq.ini
19.05.2008 20:32 88.566 nvapps.xml
19.05.2008 20:12 97 mcrh.tmp
19.05.2008 17:50 114.688 quiikifg.dll
19.05.2008 17:47 1.481.526 swkwujoy.ini
19.05.2008 17:46 100.864 nwqdfydi.dll
19.05.2008 17:38 98.816 djjudhje.dll
19.05.2008 17:37 0 clkcnt.txt
19.05.2008 17:37 6 d4cfbded
19.05.2008 17:37 371.712 ljJDUkjh.dll
19.05.2008 00:28 60.388 perfc009.dat
19.05.2008 00:28 389.838 perfh009.dat
19.05.2008 00:28 388.032 perfh007.dat
19.05.2008 00:28 73.072 perfc007.dat
19.05.2008 00:28 917.948 PerfStringBackup.INI
18.05.2008 20:57 16.384 Perflib_Perfdata_470.dat
18.05.2008 20:55 76.760 FNTCACHE.DAT
18.05.2008 17:33 57.344 xxyyXRhf.dll
18.05.2008 17:26 57.344 hgGawWOH.dll
18.05.2008 17:13 57.344 opnnoonl.dll
18.05.2008 17:02 303.354 PerfStringBackup_001.INI
18.05.2008 17:00 301 $winnt$.inf
18.05.2008 16:38 16.832 amcompat.tlb
18.05.2008 16:38 23.392 nscompat.tlb
18.05.2008 16:31 2.122 spupdsvc.log
18.05.2008 16:31 314 spupdw2k.log
18.05.2008 16:13 2.951 CONFIG.NT
18.05.2008 16:12 271 desktop.ini
18.05.2008 16:12 21.817 folder.htt
18.05.2008 16:11 525 mapisvc.inf
18.05.2008 16:11 15.060 emptyregdb.dat
09.05.2008 14:35 16.863.864 MRT.exe

Zitat:

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\WINNT

20.05.2008 00:42 109.855 BMd7fc9cff.xml
19.05.2008 21:26 247 cookies.ini
19.05.2008 21:24 6.325 BMd7fc9cff.txt
19.05.2008 20:33 22 pskt.ini
19.05.2008 20:29 924.930 ShellIconCache
19.05.2008 17:39 1.456.390 WindowsUpdate.log
19.05.2008 00:53 1.562 COM+.log
19.05.2008 00:30 1.410 imsins.log
19.05.2008 00:30 222.619 comsetup.log
19.05.2008 00:30 532.542 iis5.log
19.05.2008 00:30 5.904 KB922582.log
19.05.2008 00:30 193.393 ocgen.log
19.05.2008 00:30 15.095 ockodak.log
19.05.2008 00:19 1.391 imsins.BAK
19.05.2008 00:19 3.295 basecsp.log
18.05.2008 23:45 2.978 spupdsvc.log
18.05.2008 23:42 53.854 UpdateRollupPack.log
18.05.2008 23:41 38.734 updspapi.log
18.05.2008 23:40 2.737 updcustom.dll.log
18.05.2008 23:39 6.935 KB911564.log
18.05.2008 23:39 6.232 KB905495-IE6SP1-20050805.184113.log
18.05.2008 23:39 19.102 KB905749.log
18.05.2008 23:39 20.024 KB900725.log
18.05.2008 23:39 18.457 KB896358.log
18.05.2008 23:38 18.112 KB901017.log
18.05.2008 23:38 18.423 KB899589.log
18.05.2008 23:38 18.429 KB905414.log
18.05.2008 23:38 18.002 KB899587.log
18.05.2008 23:38 17.888 KB893756.log
18.05.2008 23:38 16.900 KB901214.log
18.05.2008 23:38 2.091 vminst.log
18.05.2008 23:38 225.501 setupapi.log
18.05.2008 23:37 3.118 Q828026.log
18.05.2008 23:37 2.905 KB329115.log
18.05.2008 23:21 23.612 KB921398.log
18.05.2008 23:21 23.145 KB920683.log
18.05.2008 23:21 22.328 KB920670.log
18.05.2008 23:21 15.343 KB917008.log
18.05.2008 23:21 283 setup.rpt
18.05.2008 23:21 957 setup.inf
18.05.2008 23:21 22.708 KB914388.log
18.05.2008 23:21 21.802 KB911280.log
18.05.2008 23:21 21.323 KB913580.log
18.05.2008 23:20 13.108 KB914389.log
18.05.2008 23:20 13.252 KB908531.log
18.05.2008 23:20 4.907 KB908519.log
18.05.2008 21:48 16.501 KB935839.log
18.05.2008 21:48 16.056 KB927891.log
18.05.2008 21:48 26.019 MDAC25SP3-KB927779-x86-DEU.log
18.05.2008 21:47 14.855 KB920213.log
18.05.2008 21:47 14.944 KB930178.log
18.05.2008 21:47 14.698 KB925902.log
18.05.2008 21:47 14.192 KB926436.log
18.05.2008 21:47 13.879 KB918118.log
18.05.2008 21:47 14.435 KB924667.log
18.05.2008 21:47 13.397 KB928843.log
18.05.2008 21:47 13.766 KB924270.log
18.05.2008 21:47 13.337 KB923980.log
18.05.2008 21:47 13.325 KB923191.log
18.05.2008 21:46 12.525 KB923414.log
18.05.2008 21:46 16.196 KB920685.log
18.05.2008 21:28 8.479 KB941202-OE6SP1-20070820.120000.log
18.05.2008 21:26 19.445 KB933729.log
18.05.2008 21:26 18.876 KB938827.log
18.05.2008 21:26 18.076 KB936021.log
18.05.2008 21:25 4.388 KB938127-IE6SP1-20070626.120000.log
18.05.2008 21:25 13.344 KB926122.log
18.05.2008 21:25 6.258 KB925398.log
18.05.2008 21:25 13.745 KB931784.log
18.05.2008 21:25 13.063 KB935840.log
18.05.2008 20:41 26.467 KB950749.log
18.05.2008 20:41 17.591 KB944338.log
18.05.2008 20:40 14.546 KB948881-IE6SP1-20080313.120000.log
18.05.2008 20:40 23.769 KB948590.log
18.05.2008 20:40 14.901 KB947864-IE6SP1-20080215.120000.log
18.05.2008 20:32 17.794 KB945553.log
18.05.2008 20:30 16.654 KB941693.log
18.05.2008 20:28 16.231 KB943055.log
18.05.2008 20:26 16.424 KB943485.log
18.05.2008 20:25 19.704 KB941644.log
18.05.2008 20:23 17.049 KB937894.log
18.05.2008 20:20 6.858 KB941568.log
18.05.2008 20:18 16.250 KB923810.log
18.05.2008 20:16 18.555 KB896423.log
18.05.2008 19:43 6.584 KB896422.log
18.05.2008 18:54 6.151 KB893803v2.log
18.05.2008 18:54 5.508 KB842773.log
18.05.2008 18:54 111.690 setupact.log
18.05.2008 18:43 227 system.ini
18.05.2008 18:41 3.182 SchedLgU.Txt
18.05.2008 18:08 211 uno.ini
18.05.2008 18:08 340 win.ini
18.05.2008 17:05 37 ModemDet.txt
18.05.2008 17:05 96 mmdet.log
18.05.2008 17:01 8.192 REGLOCS.OLD
18.05.2008 17:00 0 setuperr.log
18.05.2008 16:42 1.514 OEWABLog.txt
18.05.2008 16:40 12.579 Active Setup Log.txt
18.05.2008 16:35 1.257 Active Setup Log.BAK
18.05.2008 16:28 208.341 svcpack.log
18.05.2008 16:27 344 msmqprop.log
18.05.2008 16:27 180 sptsupd.log
18.05.2008 16:18 0 Sti_Trace.log
18.05.2008 16:16 212.931 setuplog.txt
18.05.2008 16:13 0 control.ini
18.05.2008 16:12 4.073 ODBCINST.INI
18.05.2008 16:12 271 desktop.ini
18.05.2008 16:12 21.817 folder.htt
18.05.2008 16:10 37 vbaddin.ini
18.05.2008 16:10 36 vb.ini
15.04.2005 03:08 10.752 hh.exe
19.06.2003 12:05 76.560 regedit.exe

Zitat:

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\WINNT\tasks

18.05.2008 18:41 6 SA.DAT
10.12.1999 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 12.834.373.632 Bytes frei

Zitat:

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\WINNT\temp

Zitat:

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System und Programme
Datentr„gernummer: D4CF-AFCC

Verzeichnis von C:\DOKUME~1\Nowhere1\LOKALE~1\Temp

20.05.2008 00:44 96.388 filelist.txt
20.05.2008 00:42 22.202 b336x280.tmp
20.05.2008 00:42 22.202 b468x60.tmp
20.05.2008 00:42 22.202 b300x250.tmp
20.05.2008 00:42 22.202 b180x150.tmp
20.05.2008 00:42 22.202 b720x300.tmp
20.05.2008 00:42 22.202 b300x100.tmp
20.05.2008 00:42 22.202 b160x600.tmp
20.05.2008 00:42 22.202 b250x250.tmp
20.05.2008 00:42 22.202 b240x400.tmp
20.05.2008 00:42 22.202 b728x90.tmp
20.05.2008 00:42 22.202 b120x90.tmp
20.05.2008 00:42 22.202 b120x240.tmp
20.05.2008 00:42 22.202 b125x125.tmp
20.05.2008 00:42 22.202 b120x600.tmp
19.05.2008 18:32 22.202 b234x60.tmp
19.05.2008 18:06 114.688 ~DF3FC.tmp
19.05.2008 18:05 114.688 ~DFEF2C.tmp
19.05.2008 18:05 114.688 ~DFD07C.tmp
19.05.2008 00:51 14.848 3e1bd8.mst
19.05.2008 00:29 13.486 dd_netfxLP20UI1E5B.txt
19.05.2008 00:29 802.966 dd_netfxLP20MSI1E5B.txt
19.05.2008 00:28 14.758 dd_netfx20UI1754.txt
19.05.2008 00:28 4.644.736 dd_netfx20MSI1754.txt
19.05.2008 00:25 1.000 MSI56f92.LOG
19.05.2008 00:24 14.848 256f8f.mst
19.05.2008 00:23 5.142 ASPNETSetup_00000.log
19.05.2008 00:18 1.078 langpackSetup.log
19.05.2008 00:18 2.497 dotNetFx.log
19.05.2008 00:16 6.084 ASPNETSetup.log
30 Datei(en) 6.294.925 Bytes
0 Verzeichnis(se), 12.834.373.632 Bytes frei

Ergiebiger sind die letzten 30 Tage nicht, da ich am Wochenende gerade erst formatiert hatte in der Hoffnung den Trojaner anschließend nicht gleich wieder draufzubekommen.

nowhere · 20.05.2008, 00:03

Silent Runners gibt folgenden Log aus:

Zitat:

"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Spooler SubSystem App" = "C:\WINNT\system32\spooIsv.exe" [file not found]
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"d4cfaf63" = "rundll32.exe "C:\WINNT\system32\quiikifg.dll",b" [MS]
"BMd7fc9cff" = "Rundll32.exe "C:\WINNT\system32\djjudhje.dll",s" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{299e294c-f019-42d9-bed7-786249927455}\(Default) = "{55472994-2687-7deb-9d24-910fc492e992}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\nwqdfydi.dll" [null data]
{3F0FB25A-2028-4799-9778-0A9B21C48782}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\iifebYPi.dll" [file not found]
{59F4C5C5-69BF-48D7-9712-A65CF5FDBB39}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\ljJDUkjh.dll" [null data]
{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\opnnoonl.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{6C23AB0C-0244-4B01-8253-BEE724D0D2EC}" = "****B*A*****E******T²" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\system32\opnnoonl.dll" [null data]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINNT\system32\ljJDUkjh"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> opnnoonl\DLLName = "opnnoonl.dll" [null data]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Die derzeitige Homepage"
"Source" = "About:Home"
"SubscribedURL" = "About:Home"

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\system32\nvsvc32.exe" ["NVIDIA Corporation"]

Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001

---------- (launch time: 2008-05-20 01:00:43)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 30 seconds, including 9 seconds for message boxes)

nochdigger · 20.05.2008, 16:13

Hallo

ich habe mich nochmal auf die Suche gemacht wegen

Zitat:

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe

und denke wir haben/hatten es mit diesem Freund zu tun

Worm/IRCBot.381952 - Vollstndig

Zitat:

Auswirkungen:
• Änderung an der Registry
• Macht sich Software Verwundbarkeit zu nutzen
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer

dazu kommt natürlich noch der Kleinkram

Zitat:

C:\WINNT\system32\hjkUDJjl.ini
C:\WINNT\system32\hjkUDJjl.ini2
C:\WINNT\system32\gfikiiuq.ini
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\quiikifg.dll
C:\WINNT\system32\swkwujoy.ini
C:\WINNT\system32\nwqdfydi.dll
C:\WINNT\system32\djjudhje.dll
C:\WINNT\system32\clkcnt.txt
C:\WINNT\system32\d4cfbded
C:\WINNT\system32\ljJDUkjh.dll
C:\WINNT\system32\xxyyXRhf.dll
C:\WINNT\system32\hgGawWOH.dll
C:\WINNT\system32\opnnoonl.dll

Ich denke da erst vor kurzem den Rechner geplättet hattest mach es einfach nochmal, diesesmal aber nach dieser Anleitung zum Neuaufsetzen.
Ändere unbedingt von einem sauberen Rechner oder nach der Neuinstallation alle deine Pass- und Kennwörter.

MFG

nowhere · 20.05.2008, 19:55

Zitat:

Zitat von nochdigger

Ich denke da erst vor kurzem den Rechner geplättet hattest mach es einfach nochmal, diesesmal aber nach dieser Anleitung zum Neuaufsetzen.

Genauso hab ich es auch vorher schon gemacht, sogar mein AntiVir vorher offline installiert. Muss mir den Wurm dann aber schon direkt eingefangen haben als ich die Sicherheitsupdates runtergeladen hab, deshalb hab ich die leise Befürchtung, dass ich mich nach dem nächsten Formatieren mit ähnlichem Problem gleich wieder melden kann hier, aber ich werd´s auf jeden Fall jetzt im Anschluss direkt nochmal versuchen mit Formatieren. Danke schon mal für die Mühe, die du dir gemacht hast!

(Oder ich dir.

)

nochdigger · 20.05.2008, 21:00

Hallo

Zitat:

Genauso hab ich es auch vorher schon gemacht, sogar mein AntiVir vorher offline installiert.

Wenn das (saubere) Servicepack 2 (jetzt ja schon SP3) offline installiert wurde, denk ich hast du dir den Wurm aus einer verseuchten Sicherung selbst wieder eingespielt.
Scanne vor dem verwenden deiner Sicherungen die Datenträger mit einem aktuellem Antivirenprogramm.

MFG

nowhere · 23.05.2008, 13:49

Ging wider Erwarten gut, auch wenn ich immer noch nicht so recht weiß wie die Viren auf den Rechner gekommen sind; die wenigen Sachen, die ich mir gesichert hatte, waren zumindest laut AntiVir sauber. Hab formatiert und noch bevor ich die Updates alle drauf hatte, hatte ich wieder einen Virus drauf, der sich zum Glück aber mit AntiVir beseitigen ließ. Wenn man dem Erstlldatum des Ordners glauben kann, passierte die Infizierung wieder während der Updates vom System. Jedenfalls läuft jetzt wieder alles korrekt, danke nochmal!

ebenfalls TR/Crypt.XPACK.Gen und Co.

Plagegeister aller Art und deren Bekämpfung: ebenfalls TR/Crypt.XPACK.Gen und Co.