TR/Crypt.XPACK.Gen / TR/Packed.5732 - beide wirklich entfernt?

thorus · 13.06.2008, 17:17

Hallo,

ich habe mir die Trojaner TR/Packed.5732 und TR/Crypt.XPACK.Gen eingefangen. Mein Antvir hat beide erfolgreich entfernen können, nun bin mir aber nicht sicher ob mein System wirklich von den Trojanern befreit ist. Darum brauche ich eure Hilfe.

Hier mein HJT-Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11:00, on 13.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Erinnerer.lnk = D:\Eigene Dateien\<name>\Eigene Programme\remember.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197112017671
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{953F3EF0-18DB-44B3-822A-0954474883A0}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6122 bytes

Schonmal danke im voraus für eure Hilfe.

MfG thorus

BataAlexander · 13.06.2008, 17:19

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

thorus · 13.06.2008, 17:57

Hier die Filelist, mit den Dateien der letzten 30-Tage:

Zitat:

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 5C7F-DED2

Verzeichnis von C:\

06.06.2008 15:33 211 boot.ini

17 Datei(en) 1.610.578.715 Bytes
0 Verzeichnis(se), 1.472.974.848 Bytes frei

----- System32 -------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 5C7F-DED2

Verzeichnis von C:\WINDOWS\system32

13.06.2008 18:47 358.382 vsconfig.xml
13.06.2008 18:33 6.626 jupdate-1.6.0_06-b02.log
12.06.2008 20:43 4.212 zllictbl.dat
11.06.2008 17:41 13.646 wpa.dbl
01.06.2008 16:14 28.820 sintfnt.dll
01.06.2008 16:14 12.066 sintf16.dll
01.06.2008 16:14 17.836 sintf32.dll
30.05.2008 01:35 17.486.968 MRT.exe

228 Datei(en) 21.299.202 Bytes
0 Verzeichnis(se), 1.472.839.680 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 5C7F-DED2

Verzeichnis von C:\WINDOWS\tasks

13.06.2008 18:46 6 SA.DAT
27.07.2007 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 1.472.843.776 Bytes frei

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 5C7F-DED2

Verzeichnis von C:\WINDOWS\temp

13.06.2008 18:47 16.384 Perflib_Perfdata_288.dat
13.06.2008 18:46 256 ZLT00829.TMP
13.06.2008 18:46 256 ZLT00822.TMP
12.06.2008 20:45 256 ZLT014fd.TMP
12.06.2008 20:45 256 ZLT014fa.TMP
11.04.2008 18:44 16.384 Perflib_Perfdata_414.dat
10.02.2008 11:15 16.384 Perflib_Perfdata_5e8.dat
09.02.2008 13:43 9.986 NetFxUpdate_v1.1.4322.log

8 Datei(en) 60.162 Bytes
0 Verzeichnis(se), 1.472.843.776 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 5C7F-DED2

Verzeichnis von C:\DOKUME~1\Thorus\LOKALE~1\Temp

13.06.2008 18:50 132.111 filelist.txt
13.06.2008 18:47 1.022 purpleQYU5CU.html
13.06.2008 18:46 2.469 jusched.log
13.06.2008 18:33 1.341 java_install_reg.log
13.06.2008 18:32 1.024 purpleZYOPCU.html
13.06.2008 18:27 311.296 ~DF7409.tmp
13.06.2008 18:25 967 java_install_sp.log
13.06.2008 18:24 8.262 jinstall.cfg
12.06.2008 21:00 293 gnucash.trace.KFTUCU
12.06.2008 20:50 16.384 ~DFB637.tmp
12.06.2008 20:22 1.024 purple2L13CU.html
12.06.2008 19:27 1.022 purpleUA9QCU.html
12.06.2008 19:12 1.022 purple0ZATCU.html
12.06.2008 19:02 1.024 purpleMKKVCU.html
12.06.2008 17:20 1.022 purple6NXWCU.html
12.06.2008 17:07 1.024 purpleD4L0CU.html
11.06.2008 23:14 445 gnucash.trace.WAWVCU
11.06.2008 20:46 217 gnucash.trace.61U1CU
11.06.2008 18:18 1.025 purpleMKN2BU.html
11.06.2008 13:16 445 gnucash.trace.GOFFCU
10.06.2008 22:07 0 java_install.log
10.06.2008 17:41 293 gnucash.trace.CDU2BU
10.06.2008 06:53 1.024 purple17FECU.html
09.06.2008 23:17 445 gnucash.trace.C60DCU
08.06.2008 21:57 1.574 gnucash.trace.65R1BU
06.06.2008 20:54 383 gnucash.trace.KTNFCU
06.06.2008 19:14 27.236 TWAIN.LOG
06.06.2008 19:13 429.044 CNQL1208_2.shd
06.06.2008 19:12 30.706 CNQL1208_2B.shd
06.06.2008 19:12 2 Twain001.Mtx
06.06.2008 19:12 156 Twunk001.MTX
06.06.2008 19:12 0 Twunk002.MTX
04.06.2008 23:05 1.025 purpleWJFGCU.html
04.06.2008 06:34 1.021 purpleIWODCU.html
03.06.2008 22:21 293 gnucash.trace.3NNCCU
03.06.2008 18:59 293 gnucash.trace.AEDACU
02.06.2008 23:11 293 gnucash.trace.4Q34BU
01.06.2008 19:53 1.024 purpleXVDICU.html
01.06.2008 15:41 1.272.749 temp.$$$
01.06.2008 15:41 3.518.596 Location0
31.05.2008 22:23 521 gnucash.trace.0CZ7BU
29.05.2008 22:34 4.096 newmsg
28.05.2008 19:07 1.024 purple528CBU.html
28.05.2008 18:54 217 gnucash.trace.O29CBU
27.05.2008 22:27 535 gnucash.trace.LW8IBU
26.05.2008 22:53 1.025 purpleVIJGBU.html
25.05.2008 13:13 1.180 gnucash.trace.Y42KBU
24.05.2008 22:29 4.089 gnucash.trace.U91IBU
23.05.2008 19:20 839 gnucash.trace.JP6LBU
23.05.2008 01:48 1.025 purple1RCGBU.html
22.05.2008 18:12 369 gnucash.trace.W92WBU
22.05.2008 06:55 1.022 purpleQ8RCBU.html
21.05.2008 22:31 1.025 purple6KXHBU.html
21.05.2008 21:18 597 gnucash.trace.ONFHBU
21.05.2008 06:45 548 gnucash.trace.49LYBU
21.05.2008 06:33 1.022 purple3TLKBU.html
21.05.2008 00:33 1.025 purple6QNGBU.html
20.05.2008 22:30 597 gnucash.trace.E7IDBU
20.05.2008 06:45 1.021 purpleA38QBU.html
20.05.2008 06:11 1.023 purpleWYFXBU.html
20.05.2008 06:10 459 gnucash.trace.DKZXBU
20.05.2008 01:11 1.025 purple21CQBU.html
19.05.2008 23:16 293 gnucash.trace.I74SBU
19.05.2008 13:23 1.511 gnucash.trace.WKHHBU
19.05.2008 09:23 459 gnucash.trace.BTPSBU
19.05.2008 08:26 611 gnucash.trace.F8CFBU
18.05.2008 23:39 293 gnucash.trace.CAOEBU
18.05.2008 23:28 876 gnucash.trace.Y2MPBU
18.05.2008 18:22 1.679 gnucash.trace.IN8KBU
15.05.2008 17:41 72.192 ~e5.0001
15.05.2008 16:53 19.456 Eidesstatt_erkl_BIS.doc
15.05.2008 06:39 1.022 purple3D10AU.html
14.05.2008 17:56 1.022 purpleW1TSAU.html
14.05.2008 06:03 1.021 purpleDNFUAU.html

115 Datei(en) 17.753.529 Bytes
0 Verzeichnis(se), 1.472.839.680 Bytes frei

BataAlexander · 13.06.2008, 18:05

Spielst Du Anno 1503 auf dem Rechner?

Wenn nicht, bitte diese drei Dateien

C:\WINDOWS\system32\sintfnt.dll
C:\WINDOWS\system32\sintf16.dll
C:\WINDOWS\system32\sintf32.dll

bei VirusTotal - Free Online Virus and Malware Scan prüfen und das Ergebnis hier posten.

Ansonsten sieht bei Dir alles unauffällig aus.

thorus · 13.06.2008, 18:48

Ja, spiele ich bei Gelegenheit. Habe die Dateien trotzdem überprüfen lassen, nur bei der letzten hat VirusTotal etwas gefunden:

Webwasher-Gateway 6.6.2 2008.06.13 Win32.Malware.gen#Petite!84 (suspicious)

Vielen Dank erstmal für deine Hilfe, wünsche Dir noch ein schönes Wochenende.

MfG thorus

BataAlexander · 13.06.2008, 23:26

Fehlalarm, bei Dir ist alles In Ordnung.

thorus · 14.06.2008, 09:04

Danke für deine Hilfe. Top Forum!

13.06.2008, 23:26	#6
BataAlexander > MalwareDB	TR/Crypt.XPACK.Gen / TR/Packed.5732 - beide wirklich entfernt? Fehlalarm, bei Dir ist alles In Ordnung. __________________ --> TR/Crypt.XPACK.Gen / TR/Packed.5732 - beide wirklich entfernt?

TR/Crypt.XPACK.Gen / TR/Packed.5732 - beide wirklich entfernt?

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen / TR/Packed.5732 - beide wirklich entfernt?