Hallo zusammen,
ich hab seid ein paar Tagen auch das "Vergnügen", dass mir AntiVir TR/Crypt.XPACK.Gen meldet (manchmal auch Privacy.A) und ich den Trojaner bis jetzt nicht wegbekommen hab. Spätestens bei jedem Neustart ist er wieder da (grundsätzlich irgendwo in C:\WINNT\system32 und manchmal auch in Dokumente und Einstellungen bei den Temporary Internet Files). Formatieren hat leider gar nichts gebracht, da ich das Ding innerhalb kürzester Zeit, in der ich die aktuellen Sicherheitspatches gezogen und installiert hab, gleich wieder drauf hatte. Adaware, Spydoctor und Spy Search & Destroy haben zwar auch alle was gefunden jeweils, könnten die infizierten Dateien aber auch nie dauerhaft löschen, bei jedem Neustart ist der Trojaner wieder da.
Mein HJT-Log sieht momentan nach einem Neustart so aus:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:56, on 19.05.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\Nowhere1\Desktop\HiJackThis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.svalbardposten.no/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://www.svalbardposten.no/
O2 - BHO: {55472994-2687-7deb-9d24-910fc492e992} - {299e294c-f019-42d9-bed7-786249927455} - C:\WINNT\system32\nwqdfydi.dll
O2 - BHO: (no name) - {3F0FB25A-2028-4799-9778-0A9B21C48782} - C:\WINNT\system32\iifebYPi.dll (file missing)
O2 - BHO: (no name) - {6C23AB0C-0244-4B01-8253-BEE724D0D2EC} - C:\WINNT\system32\opnnoonl.dll
O2 - BHO: (no name) - {7CD80B8B-6938-4093-8165-2C50E13C4C0A} - C:\WINNT\system32\ljJDUkjh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\system32\spooIsv.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [d4cfaf63] rundll32.exe "C:\WINNT\system32\quiikifg.dll",b
O4 - HKLM\..\Run: [BMd7fc9cff] Rundll32.exe "C:\WINNT\system32\djjudhje.dll",s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211123285265
O20 - Winlogon Notify: opnnoonl - C:\WINNT\SYSTEM32\opnnoonl.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
--
End of file - 4179 bytes
|
Hoffe, dass von euch vielleicht noch jemand einen Tipp für mich hat, der mich weiterbringt. Vielen Dank schon mal für eure Mühe!
19.05.2008, 17:27
Baum-Darstellung