Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
trojaner TR/Crypt.XPACK.Gen

trojaner TR/Crypt.XPACK.Gen


Log-Analyse und Auswertung: trojaner TR/Crypt.XPACK.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.05.2008, 10:29   #1
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Hi hab den trojaner TR/Crypt.XPACK.Gen aufm rechner und bekomm den nicht los. Hoffe ihr könnt mir weiterhelfen.

Danke schonmal

Hier die log von Hijack



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:17:39, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\UEM\command.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1288245D-EBAE-41C9-A7D5-6444E160D836} - C:\WINDOWS\system32\jkkjjKAt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B76CF1F4-ECDC-4CA1-89F8-32403496528E} - C:\WINDOWS\system32\rqRIaXPj.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [{39-92-27-7F-DW}] C:\windows\system32\jpwnw64l.exe DWram
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\lcntqkdm.exe DWram
O4 - HKLM\..\Run: [Host Process] C:\Dokumente und Einstellungen\Administrator\svchost.exe
O4 - HKLM\..\Run: [a83392d0] rundll32.exe "C:\WINDOWS\system32\ypskakmq.dll",b
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\lcntqkdm.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jpwnw64l.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O20 - Winlogon Notify: rqRIaXPj - C:\WINDOWS\SYSTEM32\rqRIaXPj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UEM\command.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10589 bytes

Alt 28.05.2008, 12:01   #2
schrauber
/// the machine
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


hi,

auf deinem rechner is noch mehr im argen.


Vergewissere dich zunächst, dass du auf deinem Rechner alles siehst:
(siehe diese Abbildungen, unser Dankeschön an Rene-gad)
In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Datei Überprüfung
Kannst du >>diese<< Datei(en) vorzugsweise mit Virustotal scannen und wenn das Ergebnis vorliegt, den kleinen Button "filter" drücken, dann das Ergebnis (egal wie es aussieht) kopieren und hier posten.
Alternativ kannst du diese Datei(en) auch bei virscan oder bei jotti scannen lassen:

Code:
ATTFilter
C:\WINDOWS\UEM\command.exe
C:\WINDOWS\system32\jkkjjKAt.dll
C:\WINDOWS\system32\rqRIaXPj.dll
C:\WINDOWS\system32\ypskakmq.dll
C:\WINDOWS\system32\lcntqkdm.exe
C:\WINDOWS\system32\jpwnw64l.exe

Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit, inklusive Dateigröße und Name, MD5 und SHA1 (Beispiel).

  • Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.
  • Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
  • Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
  • Wenn es gescannt hat, klicke auf den FixVundo Button.
  • Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
  • Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
  • Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
  • Bitte poste den Inhalt des C:\vundofix.txt und ein neues HijackThis Logfile.
Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte.
Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus.
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.


gruß

schrauber
__________________

__________________
Alt 28.05.2008, 12:44   #3
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


also hier die ergebnisse der einzelnen dateien die du aufgelistet hast mit virustotal:

achja mit vundofix findet der nach dem scan keine dateien

Datei command.exe empfangen 2008.05.28 13:27:54 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.28 Win-Trojan/Proxy.293888
AntiVir 7.8.0.19 2008.05.28 TR/Spy.Banbra.df.199
Authentium 5.1.0.4 2008.05.27 W32/Agent.WF
Avast 4.8.1195.0 2008.05.28 Win32:Adware-gen
AVG 7.5.0.516 2008.05.28 Adware Generic2.OQO
BitDefender 7.2 2008.05.28 Trojan.Generic.107114
CAT-QuickHeal 9.50 2008.05.26 AdWare.CommAd.a (Not a Virus)
ClamAV 0.92.1 2008.05.28 Trojan.Downloader.VB-104
DrWeb 4.44.0.09170 2008.05.27 Trojan.Proxy.493
eSafe 7.0.15.0 2008.05.27 Spyware.Gen
eTrust-Vet 31.4.5829 2008.05.28 -
Ewido 4.0 2008.05.28 Adware.CommAd
F-Prot 4.4.4.56 2008.05.27 W32/Agent.WF
F-Secure 6.70.13260.0 2008.05.28 -
Fortinet 3.14.0.0 2008.05.27 Adware/CommAd
GData 2.0.7306.1023 2008.05.28 Win32:Adware-gen
Ikarus T3.1.1.26.0 2008.05.28 not-a-virus:AdWare.Win32.CommAd.a
Kaspersky 7.0.0.125 2008.05.28 not-a-virus:AdWare.Win32.CommAd.a
McAfee 5304 2008.05.27 potentially unwanted program Adware-Isearch
Microsoft 1.3520 2008.05.28 Adware:Win32/CMDService
NOD32v2 3137 2008.05.28 Win32/Adware.CommAd
Norman 5.80.02 2008.05.27 W32/CommAd.A
Panda 9.0.0.4 2008.05.28 Adware/CommAd
Prevx1 V2 2008.05.28 Adware
Rising 20.46.22.00 2008.05.28 Backdoor.BlackHole.ax
Sophos 4.29.0 2008.05.28 CommAd
Sunbelt 3.0.1123.1 2008.05.17 Command Service
TheHacker 6.2.92.321 2008.05.27 Adware/CommAd.a
VBA32 3.12.6.6 2008.05.28 AdWare.Win32.CommAd.a
VirusBuster 4.3.26:9 2008.05.27 Adware.CommAd.C
Webwasher-Gateway 6.6.2 2008.05.28 Trojan.Spy.Banbra.df.199

weitere Informationen
File size: 293888 bytes
MD5...: 3e2c234dde711c6754f2df994fb3cc94
SHA1..: 14ed43e58d0fea3404886824d011814a241caaac
SHA256: 9a9fdfd860eda1ce8539f33ffd232055c695f15ff3773bef266d736fc6d33bf8
SHA512: 3e824869fb530e98f4f20cd0a8287e5c5911e511daca33627f2ee60b6e7ad8ba<BR>2d2ea25b973f80eebc389c5e4ffa8d9665003a89adb19242dc3217136983bfc9
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4ba1a0<BR>timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x73000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x74000 0x47000 0x46400 7.93 b94e50a0e8c48e9a24aa107c90ff871f<BR>.rsrc 0xbb000 0x2000 0x1400 3.48 d9898a4ea78a6a8c58d29b50207eab95<BR><BR>( 9 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess<BR>&gt; advapi32.dll: EqualSid<BR>&gt; comctl32.dll: ImageList_Add<BR>&gt; gdi32.dll: SaveDC<BR>&gt; netapi32.dll: Netbios<BR>&gt; ole32.dll: OleDraw<BR>&gt; oleaut32.dll: VariantCopy<BR>&gt; user32.dll: GetDC<BR>&gt; version.dll: VerQueryValueA<BR><BR>( 0 exports ) <BR>
Prevx info: COMMAND.EXE - Prevx
packers (Kaspersky): UPX

___________________________

Datei jkkjjKAt.dll empfangen 2008.05.28 13:35:02 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.28 -
AntiVir 7.8.0.19 2008.05.28 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.27 -
Avast 4.8.1195.0 2008.05.28 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.28 -
BitDefender 7.2 2008.05.28 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.28 -
DrWeb 4.44.0.09170 2008.05.27 -
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5829 2008.05.28 -
Ewido 4.0 2008.05.28 -
F-Prot 4.4.4.56 2008.05.27 W32/AdAgent.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.28 -
Fortinet 3.14.0.0 2008.05.27 -
GData 2.0.7306.1023 2008.05.28 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.28 -
Kaspersky 7.0.0.125 2008.05.28 Heur.Trojan.Generic
McAfee 5304 2008.05.27 -
Microsoft 1.3520 2008.05.28 Trojan:Win32/Vundo.gen!E
NOD32v2 3137 2008.05.28 -
Norman 5.80.02 2008.05.27 -
Panda 9.0.0.4 2008.05.28 -
Prevx1 V2 2008.05.28 -
Rising 20.46.22.00 2008.05.28 Trojan.Win32.Virtumod.ak
Sophos 4.29.0 2008.05.28 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.28 -
TheHacker 6.2.92.321 2008.05.27 -
VBA32 3.12.6.6 2008.05.28 -
VirusBuster 4.3.26:9 2008.05.27 -
Webwasher-Gateway 6.6.2 2008.05.28 Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 371712 bytes
MD5...: ddcc76a48134a7b255dc56edde28e2fa
SHA1..: 26d88ec3dfefa7fa80d37e6c10783a82d2d7e3c1
SHA256: e0364b0fa00ce06a45bc122a01a8d5d776fdbc66f327ecfbfaee6296fcf39bae
SHA512: 5d6807610e043513d02bffdaea7d161eaeab146526c2a9fda8622da280d8d644<BR>64dfb5c83fb09cb03c515b10482d93991bbda000172b90ff9412081fc2e60779
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x100b31c0<BR>timedatestamp.....: 0x414fb0bc (Tue Sep 21 04:40:28 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x58000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x59000 0x5b000 0x5a400 7.90 9f4148e78387b097eb91dbc08d6d3d50<BR>UPX2 0xb4000 0x2000 0x400 2.50 d848e82cb9102ae398fbf4f5181d79fe<BR><BR>( 4 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree<BR>&gt; GDI32.DLL: TextOutW<BR>&gt; OLE32.DLL: OleRun<BR>&gt; USER32.DLL: OpenIcon<BR><BR>( 0 exports ) <BR>
packers (Kaspersky): PE_Patch.UPX, UPX


_______________
Datei rqRIaXPj.dll empfangen 2008.05.28 13:36:59 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.28 -
AntiVir 7.8.0.19 2008.05.28 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.27 -
Avast 4.8.1195.0 2008.05.28 -
AVG 7.5.0.516 2008.05.28 -
BitDefender 7.2 2008.05.28 -
CAT-QuickHeal 9.50 2008.05.26 -
ClamAV 0.92.1 2008.05.28 -
DrWeb 4.44.0.09170 2008.05.27 -
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5829 2008.05.28 -
Ewido 4.0 2008.05.28 -
F-Prot 4.4.4.56 2008.05.27 -
F-Secure 6.70.13260.0 2008.05.28 -
Fortinet 3.14.0.0 2008.05.27 -
GData 2.0.7306.1023 2008.05.28 -
Ikarus T3.1.1.26.0 2008.05.28 -
Kaspersky 7.0.0.125 2008.05.28 -
McAfee 5304 2008.05.27 -
Microsoft 1.3520 2008.05.28 Trojan:Win32/Vundo.gen!C
NOD32v2 3137 2008.05.28 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.27 -
Panda 9.0.0.4 2008.05.28 -
Prevx1 V2 2008.05.28 Cloaked Malware
Rising 20.46.22.00 2008.05.28 -
Sophos 4.29.0 2008.05.28 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.28 -
TheHacker 6.2.92.321 2008.05.27 -
VBA32 3.12.6.6 2008.05.28 -
VirusBuster 4.3.26:9 2008.05.27 -
Webwasher-Gateway 6.6.2 2008.05.28 Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 28160 bytes
MD5...: 40f085e4d3ecbf38c911f23cf16db7c3
SHA1..: d75862d6ce94a7df190baf44c3288d20a902e246
SHA256: 801a3f6ad00849cb2bb08d4b30ae09555584e428079f9143efd9f695b5a7cecb
SHA512: 6bbbfd5b2d8f413eb44b665c2bc3b2daa4258c003333a863c5b3763eb386cf4e<BR>c1595bba00504396c9a774e3845801151fdd6161a348962a453ce9e5f802c710
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1001d3c0<BR>timedatestamp.....: 0x418bc2d8 (Fri Nov 05 18:13:44 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x16000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x17000 0x7000 0x6600 7.84 a8ab61891b31ae20a9da09932839a393<BR>UPX2 0x1e000 0x2000 0x400 2.18 25874ea95e94fe87b9eaeb6f9d73bd02<BR><BR>( 3 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree<BR>&gt; GDI32.DLL: EndDoc<BR>&gt; USER32.DLL: LoadIconW<BR><BR>( 0 exports ) <BR>
Prevx info: PMNKKCDA.DLL - Prevx
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.UPX, UPX

__________________________

Datei lcntqkdm.exe empfangen 2008.05.28 13:41:15 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.28 -
AntiVir 7.8.0.19 2008.05.28 ADSPY/ZenoSearch.BC.1
Authentium 5.1.0.4 2008.05.27 -
Avast 4.8.1195.0 2008.05.28 Win32:ZenoSearch
AVG 7.5.0.516 2008.05.28 Adware Generic3.CYT
BitDefender 7.2 2008.05.28 Backdoor.Bot.14544
CAT-QuickHeal 9.50 2008.05.26 AdWare.ZenoSearch.bc (Not a Virus)
ClamAV 0.92.1 2008.05.28 Adware.Zeno-19
DrWeb 4.44.0.09170 2008.05.28 Adware.Hotbot.origin
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5829 2008.05.28 -
Ewido 4.0 2008.05.28 Not-A-Virus.Adware.ZenoSearch
F-Prot 4.4.4.56 2008.05.27 W32/ZenoSearch.B.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.28 -
Fortinet 3.14.0.0 2008.05.27 Adware/ZenoSearch
GData 2.0.7306.1023 2008.05.28 Win32:ZenoSearch
Ikarus T3.1.1.26.0 2008.05.28 AdWare.Win32.ZenoSearch
Kaspersky 7.0.0.125 2008.05.28 not-a-virus:AdWare.Win32.ZenoSearch.bc
McAfee 5304 2008.05.27 potentially unwanted program Adware-Zeno
Microsoft 1.3520 2008.05.28 Adware:Win32/ZenoSearch
NOD32v2 3137 2008.05.28 -
Norman 5.80.02 2008.05.27 W32/ZenoSearch.DY
Panda 9.0.0.4 2008.05.28 Adware/Zenosearch
Prevx1 V2 2008.05.28 Adware
Rising 20.46.22.00 2008.05.28 -
Sophos 4.29.0 2008.05.28 ZenoSearch
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.28 Adware.ZenoSearch
TheHacker 6.2.92.321 2008.05.27 Adware/ZenoSearch.bc
VBA32 3.12.6.6 2008.05.28 AdWare.Win32.ZenoSearch.bc
VirusBuster 4.3.26:9 2008.05.27 -
Webwasher-Gateway 6.6.2 2008.05.28 Ad-Spyware.ZenoSearch.BC.1

weitere Informationen
File size: 200771 bytes
MD5...: c140233f862dc612ae2d97eaabe2347a
SHA1..: c29943f49846edd88443c58d5e0dc5c383bdc37e
SHA256: 8ef3c5c05d4e9b518771ad39da609a3ecb98fc8e6b72114c218fe6d697e52b76
SHA512: a66dd657b6fb7853486462e64abfea9f4162ec95855900b8a0b8a26012fbd6fd<BR>33fd345fb0bf1e54a68ca2f0053ae633d1f494736fbc9d98c6a9ea1f3b7e02ea
PEiD..: Armadillo v1.71
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x418838<BR>timedatestamp.....: 0x4821b35a (Wed May 07 13:49:14 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x1b285 0x1c000 6.12 19c76ef9202fb9612fd309112920ecb9<BR>.rdata 0x1d000 0x8652 0x9000 4.97 ccf55491777d44fed1483bc2910d49a6<BR>.data 0x26000 0x7470 0x5000 5.78 c084e491c292acec37647e2175ff6701<BR>.rsrc 0x2e000 0x5840 0x6000 3.37 0ea04674e9a8622d8f3b2a7e36e60e4d<BR><BR>( 10 imports ) <BR>&gt; WININET.dll: InternetGetLastResponseInfoA, InternetOpenUrlA, InternetOpenA, InternetReadFile<BR>&gt; MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, _purecall, strlen, toupper, exit, strrchr, memset, _stricmp, _setmbcp, __CxxFrameHandler, _mbscmp, rand, _ftol, srand, time, atoi, memcpy, _CxxThrowException<BR>&gt; KERNEL32.dll: GetTickCount, GetCurrentThreadId, lstrlenA, Sleep, CreateFileA, GetProcAddress, LoadLibraryA, FreeLibrary, lstrcmpiA, CreateMutexA, GetSystemDirectoryA, lstrlenW, GetLastError, WaitForSingleObject, OpenProcess, SetLastError, WideCharToMultiByte, HeapFree, HeapAlloc, DeleteFileA, lstrcmpA, MoveFileA, GetFileAttributesA, GetModuleHandleA, GetStartupInfoA, TerminateProcess, GetVolumeInformationA, MultiByteToWideChar, GetFullPathNameA, LocalFree, lstrcpyA, GetModuleFileNameA, WriteFile, CloseHandle<BR>&gt; USER32.dll: OffsetRect, ClientToScreen, SetTimer, GetClientRect, GetWindowRect, SetForegroundWindow, AttachThreadInput, GetSystemMetrics, KillTimer, GetWindowThreadProcessId, PostMessageA, EnumWindows, GetWindowTextLengthA, GetWindowTextA, IsWindow, GetForegroundWindow, EnableWindow, SetWindowTextA<BR>&gt; GDI32.dll: CreateFontA<BR>&gt; ADVAPI32.dll: RegDeleteKeyA, RegQueryValueExA, RegCreateKeyExA, RegDeleteValueA, RegSetValueExA, RegCloseKey, RegOpenKeyExA<BR>&gt; SHELL32.dll: SHGetSpecialFolderLocation, SHGetPathFromIDListA<BR>&gt; ole32.dll: CoUninitialize, CoCreateInstance, OleRun<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -<BR><BR>( 0 exports ) <BR>
Prevx info: 17786175.EXE - Prevx


_______________________________
Datei jpwnw64l.exe empfangen 2008.05.28 13:43:15 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.28.0 2008.05.28 -
AntiVir 7.8.0.19 2008.05.28 ADSPY/ZenoSearch.bg
Authentium 5.1.0.4 2008.05.27 -
Avast 4.8.1195.0 2008.05.28 Win32:Rootkit-gen
AVG 7.5.0.516 2008.05.28 Lop.4.A
BitDefender 7.2 2008.05.28 Generic.Zeno.0100E940
CAT-QuickHeal 9.50 2008.05.26 AdWare.ZenoSearch.bg (Not a Virus)
ClamAV 0.92.1 2008.05.28 Adware.Zeno-22
DrWeb 4.44.0.09170 2008.05.28 -
eSafe 7.0.15.0 2008.05.27 -
eTrust-Vet 31.4.5829 2008.05.28 -
Ewido 4.0 2008.05.28 -
F-Prot 4.4.4.56 2008.05.27 W32/ZenoSearch.A.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.28 -
Fortinet 3.14.0.0 2008.05.27 Adware/ZenoSearch
GData 2.0.7306.1023 2008.05.28 Win32:Rootkit-gen
Ikarus T3.1.1.26.0 2008.05.28 Generic.Zeno
Kaspersky 7.0.0.125 2008.05.28 not-a-virus:AdWare.Win32.ZenoSearch.bg
McAfee 5304 2008.05.27 potentially unwanted program Adware-Zeno
Microsoft 1.3520 2008.05.28 Adware:Win32/ZenoSearch.gen!A
NOD32v2 3137 2008.05.28 -
Norman 5.80.02 2008.05.27 W32/ZenoSearch.EA
Panda 9.0.0.4 2008.05.28 Adware/Zenosearch
Prevx1 V2 2008.05.28 Malicious Software
Rising 20.46.22.00 2008.05.28 -
Sophos 4.29.0 2008.05.28 ZenoSearch
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.28 Downloader
TheHacker 6.2.92.321 2008.05.27 Adware/ZenoSearch.bg
VBA32 3.12.6.6 2008.05.28 AdWare.Win32.ZenoSearch.bg
VirusBuster 4.3.26:9 2008.05.27 Adware.ZenoSearch.Gen.2
Webwasher-Gateway 6.6.2 2008.05.28 Ad-Spyware.ZenoSearch.bg

weitere Informationen
File size: 49177 bytes
MD5...: 7c185c0eb802db5dcbf816c8193874e2
SHA1..: 652e06637ab240f898fd883ee14db1e4f035425a
SHA256: 9436f8932a1c7bd674c9407c9d33cba5290f4b5d8a0da85f83c8ed716f9b2ded
SHA512: f5573bb6d997698e1b6a90ddbd74607c23db2a459f43380ee89edd736a1099cd<BR>03b382d6fb7f0829aff4b60f18d80f4940b0b6156326c5623ed56160de723fb8
PEiD..: Armadillo v1.71
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x406d6c<BR>timedatestamp.....: 0x480e2531 (Tue Apr 22 17:49:37 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x6cea 0x7000 5.98 f9645b01bbf8399c99f9eb99f32eb7f0<BR>.rdata 0x8000 0x1d24 0x2000 4.39 b5763ef20ad4dfd1f615f369c9edc8f5<BR>.data 0xa000 0xb18 0x1000 3.84 7e82b1e920bd1a6b01b1c241eaef7a86<BR>.rsrc 0xb000 0xd60 0x1000 3.03 36b17df2d3ecb6b988326d952a4ac607<BR><BR>( 10 imports ) <BR>&gt; iphlpapi.dll: GetAdaptersInfo<BR>&gt; WININET.dll: InternetReadFile, InternetOpenA, InternetOpenUrlA, InternetGetLastResponseInfoA<BR>&gt; MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>&gt; MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, __1type_info@@UAE@XZ, _onexit, __dllonexit, atoi, exit, time, srand, rand, _mbscmp, _setmbcp, __CxxFrameHandler<BR>&gt; KERNEL32.dll: CopyFileA, ReleaseMutex, TerminateProcess, LoadLibraryA, GetProcAddress, FreeLibrary, GetLastError, CreateMutexA, SetCurrentDirectoryA, GetSystemDirectoryA, GetFileSize, CreateFileA, DeleteFileA, CreateProcessA, GetTickCount, GetVolumeInformationA, lstrcpyA, lstrcmpiA, GetVersionExA, WriteFile, lstrcmpA, MultiByteToWideChar, Sleep, WaitForSingleObject, GetModuleHandleA, GetStartupInfoA, CloseHandle, GetModuleFileNameA<BR>&gt; USER32.dll: PeekMessageA, EnableWindow, DispatchMessageA, TranslateMessage<BR>&gt; ADVAPI32.dll: RegSetValueExA, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey<BR>&gt; SHELL32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation<BR>&gt; ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize<BR>&gt; OLEAUT32.dll: -, -<BR><BR>( 0 exports ) <BR>
Prevx info: 63280831.EXE - Prevx
__________________
Geändert von cp2104 (28.05.2008 um 13:03 Uhr)

Alt 28.05.2008, 13:30   #4
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


so hier der report von sd fix:


SDFix: Version 1.186
Run by Administrator on 28.05.2008 at 14:08

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\ADMINI~1\Desktop\SDFix

Checking Services :

Name :
cmdService
Network Monitor

Path :
C:\WINDOWS\UEM\command.exe
C:\Programme\Network Monitor\netmon.exe service

cmdService - Deleted
Network Monitor - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\UEM\asappsrv.dll - Deleted
C:\WINDOWS\UEM\command.exe - Deleted
C:\WINDOWS\UEM\oHg.vbs - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\Temp\vtmp2\ktnv33.log - Deleted
C:\Programme\Network Monitor\netmon.exe - Deleted
C:\WINDOWS\system32\atmtd.dll - Deleted
C:\WINDOWS\system32\atmtd.dll._ - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
C:\WINDOWS\system32\rwwnw64d.exe - Deleted
C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
C:\WINDOWS\uninstall_nmon.vbs - Deleted



Folder C:\Programme\Network Monitor - Removed
Folder C:\Temp\1cb - Removed
Folder C:\Temp\vtmp2 - Removed
Folder C:\WINDOWS\system32\vntiho05 - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 14:15:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000a8

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOKUME~1\ADMINI~1\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Tue 29 Apr 2008 848 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 22 Jan 2008 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 7 Feb 2002 94,208 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\lpaccodec.dll"
Fri 2 Feb 2001 40,960 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\lpac_codec_api.dll"
Tue 13 Apr 2004 212,992 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\OFR.EXE"
Fri 17 Jan 2003 278,528 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\PNCRT.dll"
Mon 5 May 2003 16,384 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\RMADEC.EXE"
Sun 6 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\52ce26fea0efba79c7052e71b88e981f\BITB.tmp"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT2.tmp"
Fri 11 Apr 2003 73,766 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\atrc3260.dll"
Fri 11 Apr 2003 45,099 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\auth3260.dll"
Fri 11 Apr 2003 65,575 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\cook3260.dll"
Fri 11 Apr 2003 102,437 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\drv13260.dll"
Fri 11 Apr 2003 176,165 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\drv23260.dll"
Fri 11 Apr 2003 208,935 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\drv33260.dll"
Fri 11 Apr 2003 217,127 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\drv43260.dll"
Wed 16 Apr 2003 976,896 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\pnen3260.dll"
Fri 11 Apr 2003 348,203 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\pnvi3260.dll"
Fri 11 Apr 2003 53,289 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\pnxr3260.dll"
Fri 11 Apr 2003 45,101 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\ramf3260.dll"
Fri 11 Apr 2003 135,213 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rare3260.dll"
Mon 14 Oct 2002 57,344 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rims3290.dll"
Fri 11 Apr 2003 163,885 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rmff3260.dll"
Mon 14 Oct 2002 737,280 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rmse3290.dll"
Mon 14 Oct 2002 245,760 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rmwr3260.dll"
Fri 11 Apr 2003 245,805 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rnlt3260.dll"
Mon 14 Oct 2002 245,760 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rorw3290.dll"
Mon 14 Oct 2002 114,688 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rtae3290.dll"
Mon 14 Oct 2002 65,536 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rtin3290.dll"
Mon 14 Oct 2002 163,840 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rtve3290.dll"
Fri 11 Apr 2003 45,093 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rv103260.dll"
Fri 11 Apr 2003 98,341 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rv203260.dll"
Fri 11 Apr 2003 94,247 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rv303260.dll"
Fri 11 Apr 2003 90,151 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rv403260.dll"
Fri 11 Apr 2003 159,785 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\rvre3260.dll"
Mon 14 Oct 2002 102,400 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\sipr3260.dll"
Fri 11 Apr 2003 61,485 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\smpl3260.dll"
Fri 11 Apr 2003 106,541 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\vsrl3260.dll"
Fri 11 Apr 2003 86,061 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\xmlp3261.dll"
Fri 11 Apr 2003 159,787 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Common\zipf3260.dll"
Sun 23 Feb 2003 64,512 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\MusePack\MPPDEC.EXE"
Sat 26 Oct 2002 79,360 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\MusePack\MPPENC.EXE"
Fri 14 Feb 2003 910,152 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Shorten\CYGWIN1.DLL"
Sun 20 Apr 2003 60,928 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Shorten\SHORTEN.EXE"
Wed 8 Oct 2003 75,264 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Speex\speexdec.exe"
Wed 8 Oct 2003 77,312 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\Speex\speexenc.exe"
Tue 18 Feb 2003 103,936 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\WavPack\WAVPACK.EXE"
Tue 18 Feb 2003 102,912 ...H. --- "C:\Programme\Gemeinsame Dateien\Nero\AudioPlugins\WavPack\WVUNPACK.EXE"

Finished!

und log von hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:11, on 28.05.2008


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]


allerdings bekomme ich jetz andauernd eine meldung von windows, dass das System nach einem schwerwiegenden Fehler wieder ausgeführt wird. Wenn ich auf schliessen gehe kommt es aber immer wieder.

und ich bekomme immernoch die meldung wegen dem Virus mit dem Pfad C:\WINDOWS\system32\jkkjjKAt.dll
Geändert von Sunny (28.05.2008 um 16:42 Uhr)

Alt 28.05.2008, 15:31   #5
schrauber
/// the machine
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


wo ist das log von vundofix?

dein rechner ist ein richtiges seuchenparadies, da muss wohl combofix ran.

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.
Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
Fotospyware
GeeksToGo
Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.
  • speichere es auf deinem Desktop.
Während des Scans mit dem ComboFix soll(en):
  • vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein
(Liste der zu deaktivierenden Programme)
  • nichts am Rechner getan werden
  • Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
  • Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
  • Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.
1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.

2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:
  • Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
  • Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
    Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
  • Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.
  • Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.
Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!
Geändert von schrauber26 (28.05.2008 um 15:49 Uhr)

Alt 28.05.2008, 16:56   #6
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


hab kein log von vundofix da er nix gefunden hat.

ich mach das jetz mal mit combofix

Alt 28.05.2008, 17:15   #7
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


hier das ergebnis von combofix:


ComboFix 08-05-27.4 - Administrator 2008-05-28 18:00:16.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\WINDOWS\BMab00a14c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\{60575a7a-d6f2-e2bf-9b45-b23dc698360b}.dll
C:\WINDOWS\system32\ginpufgw.ini
C:\WINDOWS\system32\jkkjjKAt.dll
C:\WINDOWS\system32\ksojiyuh.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\qmkakspy.ini
C:\WINDOWS\system32\rqRIaXPj.dll
C:\WINDOWS\system32\rwwnw64d.exe
C:\WINDOWS\system32\rxnecrut.dll
C:\WINDOWS\system32\tAKjjkkj.ini
C:\WINDOWS\system32\tAKjjkkj.ini2
C:\WINDOWS\system32\UpMedia
C:\WINDOWS\system32\wgfupnig.dll
C:\WINDOWS\system32\xdfgwsta.exe
C:\WINDOWS\system32\xxywtttU.dll
C:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-28 14:41 . 2008-05-28 14:41 63,902 --a------ C:\WINDOWS\system32\{60575a7a-d6f2-e2bf-9b45-b23dc698360b}.dll-uninst.exe
2008-05-28 14:05 . 2008-05-28 14:05 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-28 13:44 . 2008-05-28 13:44 <DIR> d-------- C:\VundoFix Backups
2008-05-28 12:21 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-28 00:17 . 2008-05-28 00:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-28 00:04 . 2008-05-28 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-05-27 23:49 . 2008-05-27 23:49 <DIR> d-------- C:\Programme\Avira
2008-05-27 23:49 . 2008-05-27 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-27 23:46 . 2008-05-27 23:46 359 --a------ C:\124.bat
2008-05-27 20:36 . 2008-05-27 20:35 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-27 20:36 . 2008-05-27 20:36 2,555 --a------ C:\WINDOWS\unins000.dat
2008-05-27 20:33 . 2008-05-27 20:33 298,314 --a------ C:\WINDOWS\system32\gside.exe
2008-05-27 20:33 . 2008-05-27 20:33 88,961 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-05-27 16:40 . 2008-05-27 16:40 9,662 --a------ C:\WINDOWS\system32\pinkip.ico
2008-05-27 13:09 . 2008-05-27 13:31 5,885,344 --a------ C:\2008_-_Armenia_-_Sirusho_-_Qele_Qele(1).mp3
2008-05-27 12:40 . 2008-05-27 12:40 49,177 --a------ C:\WINDOWS\system32\jpwnw64l.exe
2008-05-27 12:39 . 2008-05-28 14:10 <DIR> d-------- C:\WINDOWS\UEM
2008-05-27 12:39 . 2008-05-27 12:39 <DIR> d-------- C:\WINDOWS\system32\zA
2008-05-27 12:39 . 2008-05-27 12:39 <DIR> d-------- C:\WINDOWS\system32\rW
2008-05-27 12:39 . 2008-05-27 12:39 <DIR> d-------- C:\WINDOWS\system32\bIP
2008-05-27 12:39 . 2008-05-27 12:39 401,978 --a------ C:\WINDOWS\system32\g47.exe
2008-05-27 12:39 . 2008-05-27 12:39 200,771 --a------ C:\WINDOWS\system32\lcntqkdm.exe
2008-05-27 12:39 . 2008-05-27 23:46 70,656 --a------ C:\msconfig.exe
2008-05-27 12:39 . 2008-05-28 14:32 858 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-05-27 12:39 . 2008-05-27 12:39 359 --a------ C:\502.bat
2008-05-23 01:28 . 2008-05-23 01:28 <DIR> d-------- C:\Programme\Apple Software Update

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 16:04 8,087,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-28 16:04 109,388 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-28 12:43 196,608 ----a-w C:\WINDOWS\system32\drivers\nStandard.bin
2008-05-28 10:21 --------- d-----w C:\Programme\Java
2008-05-27 21:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-05-27 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-27 18:38 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-22 23:29 --------- d-----w C:\Programme\QuickTime
2008-05-22 23:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-24 09:58 --------- d-----w C:\Programme\ICQ6
2008-03-30 12:02 --------- d-----w C:\Programme\Messenger Plus! Live
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 08:30 483328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-02-20 14:06 741376]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-26 13:12 161328]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"{39-92-27-7F-DW}"="C:\windows\system32\rwwnw64d.exe" [ ]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ExploreUpdSched"="C:\WINDOWS\system32\lcntqkdm.exe" [2008-05-27 12:39 200771]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 16:12:12 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
"2008-05-24 13:35:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 18:05:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\zxdnt3d.cfg 21 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 18:09:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 16:09:39

10 Verzeichnis(se), 147,154,362,368 Bytes frei
13 Verzeichnis(se), 147,659,497,472 Bytes frei

160 --- E O F --- 2008-05-16 23:25:36

Alt 28.05.2008, 23:15   #8
myrtille
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Hi,

kennst du folgende Datei:
Zitat:
C:\2008_-_Armenia_-_Sirusho_-_Qele_Qele(1).mp3
wenn nicht, die Datei bitte nicht doppelklicken, anklicken, anhören oder sonstwie aufrufen)

Dein Rechner sieht insgesamt schon besser aus. Mach jetzt bitte noch folgendes:
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
folder::
C:\WINDOWS\UEM
C:\VundoFix Backups
C:\WINDOWS\system32\zA
C:\WINDOWS\system32\rW
C:\WINDOWS\system32\bIP

file::
C:\WINDOWS\system32\g47.exe
C:\WINDOWS\system32\lcntqkdm.exe
C:\msconfig.exe
C:\WINDOWS\system32\winpfz33.sys
C:\502.bat
C:\WINDOWS\system32\jpwnw64l.exe
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\gside.exe
C:\124.bat
C:\WINDOWS\system32\{60575a7a-d6f2-e2bf-9b45-b23dc698360b}.dll-uninst.exe

registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{39-92-27-7F-DW}"=-
"ExploreUpdSched"=-
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 29.05.2008, 13:13   #9
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


wo haste denn die datei ausgegraben?? es ist soviel kram auf meinem rechner gelandet durch den virus, hab wma dateien von fast 500mb aufm rechner gehabt...aber er läuft jetzt schon besser

hier die log von combofix:

ComboFix 08-05-27.4 - Administrator 2008-05-29 14:00:00.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1602 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\124.bat
C:\502.bat
C:\msconfig.exe
C:\WINDOWS\system32\{60575a7a-d6f2-e2bf-9b45-b23dc698360b}.dll-uninst.exe
C:\WINDOWS\system32\g47.exe
C:\WINDOWS\system32\gside.exe
C:\WINDOWS\system32\jpwnw64l.exe
C:\WINDOWS\system32\lcntqkdm.exe
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\winpfz33.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\124.bat
C:\502.bat
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Deewoo.lnk
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\DW_Start.lnk
C:\msconfig.exe
C:\WINDOWS\system32\{60575a7a-d6f2-e2bf-9b45-b23dc698360b}.dll-uninst.exe
C:\WINDOWS\system32\bIP
C:\WINDOWS\system32\bIP\zoolckr.exe
C:\WINDOWS\system32\gside.exe
C:\WINDOWS\system32\jpwnw64l.exe
C:\WINDOWS\system32\lcntqkdm.exe
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\rW
C:\WINDOWS\system32\winpfz33.sys
C:\WINDOWS\system32\zA
C:\WINDOWS\system32\zxdnt3d.cfg
C:\WINDOWS\UEM

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 ))))))))))))))))))))))))))))))
.

2008-05-28 14:05 . 2008-05-28 14:05 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-28 12:21 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-28 00:17 . 2008-05-28 00:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-28 00:04 . 2008-05-28 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-05-27 23:49 . 2008-05-27 23:49 <DIR> d-------- C:\Programme\Avira
2008-05-27 23:49 . 2008-05-27 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-27 20:36 . 2008-05-27 20:35 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-27 20:36 . 2008-05-27 20:36 2,555 --a------ C:\WINDOWS\unins000.dat
2008-05-27 16:40 . 2008-05-27 16:40 9,662 --a------ C:\WINDOWS\system32\pinkip.ico
2008-05-23 01:28 . 2008-05-23 01:28 <DIR> d-------- C:\Programme\Apple Software Update

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 11:19 196,608 ----a-w C:\WINDOWS\system32\drivers\nStandard.bin
2008-05-28 16:04 8,087,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-28 16:04 109,388 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-28 10:21 --------- d-----w C:\Programme\Java
2008-05-27 21:43 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-05-27 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-27 18:38 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-22 23:29 --------- d-----w C:\Programme\QuickTime
2008-05-22 23:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-04-24 09:58 --------- d-----w C:\Programme\ICQ6
2008-03-30 12:02 --------- d-----w C:\Programme\Messenger Plus! Live
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-28_18.09.26.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-28 16:05:06 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-29 11:03:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 08:30 483328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 13:10 16049664 C:\WINDOWS\RTHDCPL.exe]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-02-20 14:06 741376]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-26 13:12 161328]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-01-01 00:18:11 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 09:34]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-07-12 11:03]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-07-12 11:03]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 16:12:12 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
"2008-05-24 13:35:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 14:02:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-29 14:03:13
ComboFix-quarantined-files.txt 2008-05-29 12:03:06
ComboFix2.txt 2008-05-28 16:09:44

9 Verzeichnis(se), 147,637,055,488 Bytes frei
12 Verzeichnis(se), 147,629,580,288 Bytes frei

135 --- E O F --- 2008-05-16 23:25:36

Alt 29.05.2008, 16:52   #10
myrtille
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Hi,
das sieht eigentlich gut aus.

Wie gehts deinem Rechner? Hast du die Musikdatei gelöscht?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 29.05.2008, 22:43   #11
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


also er läuft soweit ganz gut, bis auf das mir antivir hin und wieder mal virus warnmeldungen gibt. War die Datei denn der auslöser? Hab sie auf jedenfall gelöscht wusste net ma das die aufm rechner war

Aber auf jedenfall danke für die super hilfe

Alt 29.05.2008, 22:54   #12
myrtille
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Was sind das für Warnmeldungen?

Erstell mal bitte noch ein neues Hijackthislog...

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 30.05.2008, 11:54   #13
cp2104
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:14, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://www.google.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*p://www.google.de/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - [ul]h*ps://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab[/url]
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9180 bytes

Alt 01.06.2008, 17:32   #14
myrtille
/// TB-Ausbilder
 
trojaner TR/Crypt.XPACK.Gen - Standard

trojaner TR/Crypt.XPACK.Gen


Hi,
das Log sieht soweit ok aus, was sagen denn die virenmeldungen von antivir?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Antwort

Themen zu trojaner TR/Crypt.XPACK.Gen
administrator, adobe, antivir, antivirus, application, avgnt, avgnt.exe, avira, bho, cdburnerxp, computer, ctfmon.exe, dll, einstellungen, excel, explorer, firefox, gservice, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, monitor, mozilla, mozilla firefox, nvidia, pdf-datei, rundll, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, trojaner tr/crypt.xpack.gen, windows, windows xp


« CiD Werbung macht mich Wahnsinnig! | HiJackThis log-> »


Ähnliche Themen: trojaner TR/Crypt.XPACK.Gen


  1. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  2. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (43)
  3. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  4. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  5. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  6. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  7. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  8. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  9. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  10. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  11. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  12. TR/Crypt.XPACK.Gen TROJANER
    Plagegeister aller Art und deren Bekämpfung - 25.12.2008 (7)
  13. TR/Crypt.XPACK.Gen Trojaner
    Mülltonne - 25.12.2008 (0)
  14. Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.12.2008 (3)
  15. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (1)
  16. Trojaner: Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.10.2008 (6)
  17. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema trojaner TR/Crypt.XPACK.Gen - Hi hab den trojaner TR/Crypt.XPACK.Gen aufm rechner und bekomm den nicht los. Hoffe ihr könnt mir weiterhelfen. Danke schonmal Hier die log von Hijack Logfile of Trend Micro HijackThis v2.0.2 - trojaner TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: trojaner TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130