|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen, TR/Vundo.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2008, 14:52 | #1 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen Hallo, Mein Anti Virus Programm (AntiVir) hat diese Viren (TR/Crypt.XPACK.Gen, TR/Vundo.Gen) entdeckt, doch es kann sie nicht entfernen. Was kann ich tun? Danke für die Hilfe NJ |
15.06.2008, 15:11 | #2 |
TR/Crypt.XPACK.Gen, TR/Vundo.Gen Hier Lesen: http://www.trojaner-board.de/53844-t...-vundo-ag.html
__________________Dürfte so ziemlich das selbe Problem sein, was man aus deiner aussagekräftigen Erklärung so rauslesen kann :P Gruß |
15.06.2008, 18:28 | #3 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen Hi Dark Viruz,
__________________Ich habe diese Programme heruntergeladen und sie wie beschrieben ausgeführt. Die sonst regelmässigen Virus-Hinweise, die ich vorhin immer bekommen habe, haben aufgehört. Die zwei Dateien in denen die Viren angezeigt wurden befinden sich jedoch immer noch unter "system32". Ist das normal? Was muss ich jetzt noch machen, damit alles wieder in Ordnung ist? Unten habe ich noch den Ergebnistext einkopiert. Danke NJ ComboFix 08-06-12.2 - Administrator 2008-06-15 16:54:16.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.472 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM2886223a.xml C:\WINDOWS\cookies.ini C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\Fonts\CALIBRIB.TTF C:\WINDOWS\pskt.ini C:\WINDOWS\system32\eqekxnnl.ini C:\WINDOWS\system32\khwcetua.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\pmnlmjIX.dll C:\WINDOWS\system32\vxbeKUtv.ini C:\WINDOWS\system32\vxbeKUtv.ini2 C:\WINDOWS\system32\XIjmlnmp.ini C:\WINDOWS\system32\XIjmlnmp.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 )))))))))))))))))))))))))))))) . 2008-06-15 16:44 . 2008-06-15 16:44 <DIR> d-------- C:\Programme\CCleaner 2008-06-14 13:14 . 2008-06-14 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-06-13 21:40 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-06-13 21:40 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-06-13 21:40 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-06-13 21:40 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-06-13 21:39 . 2008-06-14 01:54 <DIR> d-------- C:\Programme\Spyware Doctor 2008-06-13 21:39 . 2008-06-13 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools 2008-06-13 21:31 . 2008-06-15 16:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-06-11 18:03 . 2008-06-13 21:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-06-11 18:03 . 2008-06-13 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-11 16:02 . 2008-06-11 16:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Programme\Avira 2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-06-09 21:57 . 2008-06-09 21:57 33,792 --a------ C:\WINDOWS\system32\hgGyxYoN.dll 2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Programme\HiYo 2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo 2008-06-08 13:19 . 2008-06-08 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HiYo 2008-06-04 21:10 . 2008-06-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Vorlagen 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Startmen 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Netzwerkumgebung 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Lokale Einstellungen 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Favoriten 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Eigene Dateien 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Druckumgebung 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Symantec 2008-05-18 17:19 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Family\Anwendungsdaten 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\Family 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmen 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Symantec 2008-05-18 16:44 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Gast . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-15 15:01 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor 2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee 2008-06-13 19:31 --------- d-----w C:\Programme\Google 2008-06-10 16:44 --------- d-----w C:\Programme\Aclient 2008-05-20 16:56 --------- d-----w C:\Programme\Microsoft Silverlight 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-04-22 06:34 --------- d-----w C:\Programme\Windows Live 2008-04-22 06:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2007-05-04 12:04 3,481 ----a-w C:\Dokumente und Einstellungen\Administrator\hotmail.com . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15070fb8-f75a-41a5-bf99-951d123aee94}] C:\WINDOWS\system32\tedtqgic.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5BED07E2-12AF-4E55-BACE-0A20F35CB202}] C:\WINDOWS\system32\vtUKebxv.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-29 23:07 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AClntUsr"="C:\Programme\Aclient\AClntUsr.EXE" [2008-06-15 17:00 180224] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "BLUEWIN_WCM_McciTrayApp"="C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe" [2007-07-09 10:11 914944] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 16:37 344064] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-22 21:42 185896] "QuickTime Task"="C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Nalin\qttask.exe" [ ] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048] "Adobe Photo Downloader"="C:\Programme\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344] "HiYo"="C:\Programme\HiYo\bin\HiYo.exe" [2008-05-21 12:19 143360] "Windows Controls Center"="winudmr.exe" [] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyxYoN] hgGyxYoN.dll 2008-06-09 21:57 33792 C:\WINDOWS\system32\hgGyxYoN.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Aclient\\AClntUsr.EXE"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Nalin\\my stuff\\Programme\\LimeWire\\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "9420:TCP"= 9420:TCP:Red Swoosh "5000:UDP"= 5000:UDP:Red Swoosh S2 RedSwooshService;RedSwooshService;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00] S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2002-09-09 20:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] RedSwooshService REG_MULTI_SZ RedSwooshService [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6fe00dd-0cfd-11dc-bb48-00038a000015}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-15 17:01:28 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo\Data\HiYo_20080615170233406.log 0 bytes C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo\Data\msnmsgr_20080615170233781.log 0 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 2 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Aclient\ACLIENT.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-15 17:05:49 - machine was rebooted [Administrator] ComboFix-quarantined-files.txt 2008-06-15 15:05:44 19 Verzeichnis(se), 133,291,393,024 Bytes frei 22 Verzeichnis(se), 134,331,588,608 Bytes frei 170 --- E O F --- 2008-06-15 14:02:20 |
15.06.2008, 18:38 | #4 |
TR/Crypt.XPACK.Gen, TR/Vundo.Gen Befinden sich die Viren noch auf deinem Rechner? Wenn ja, gib mal bitte den Pfad an & lasse sie mal bei VirusTotal überprüfen; sicherheitshalber. gruß |
15.06.2008, 18:50 | #5 |
> MalwareDB | TR/Crypt.XPACK.Gen, TR/Vundo.Gen Dark Viruz: Wende bitte Combofix nicht an, wenn Du Dich damit nicht auskennst. Ist nicht böse gemeint. Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Collect:: C:\WINDOWS\system32\hgGyxYoN.dll C:\WINDOWS\system32\tedtqgic.dll C:\WINDOWS\system32\vtUKebxv.dll Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15070fb8-f75a-41a5-bf99-951d123aee94}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5BED07E2-12AF-4E55-BACE-0A20F35CB202}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Controls Center"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyxYoN] 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (15.06.2008 um 18:57 Uhr) |
15.06.2008, 18:53 | #6 |
TR/Crypt.XPACK.Gen, TR/Vundo.Gen Ich versteh deine Ärgernis BataAlexander, hab ihm nur den Link gegeben, wo das gleiche Problem beschrieben wird x,x Tut mir Leid. gruß |
15.06.2008, 18:55 | #7 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen Ich benutze zwei verschiedene Programme. 1. Avira Antivir 2. Spyware Doctor (auch die Kostenlose Version) Beide Programme finden immer noch Viren. Antivir hat den Pfad so angegeben: C:WINDOWS/system32\hgGyxYoN.dll TR/Crypt.XPACK.Gen und den zweiten C:WINDOWS/system32\pmnlmjIX.dll TR/Vundo.Gen Den zweiten zeigt es mir jetzt aber nicht mehr an. Ich weiss nicht ob du dass gemeint hast. Ich probiere diese Seite mal aus. Danke NJ |
15.06.2008, 19:16 | #8 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen Hier den Text: ComboFix 08-06-12.2 - Administrator 2008-06-15 20:05:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.534 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\hgGyxYoN.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 )))))))))))))))))))))))))))))) . 2008-06-15 16:44 . 2008-06-15 16:44 <DIR> d-------- C:\Programme\CCleaner 2008-06-14 13:14 . 2008-06-14 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-06-13 21:40 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-06-13 21:40 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-06-13 21:40 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-06-13 21:40 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-06-13 21:39 . 2008-06-15 18:04 <DIR> d-------- C:\Programme\Spyware Doctor 2008-06-13 21:39 . 2008-06-13 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools 2008-06-13 21:31 . 2008-06-15 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-06-11 18:03 . 2008-06-13 21:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2008-06-11 18:03 . 2008-06-13 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-11 16:02 . 2008-06-11 16:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten 2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Programme\Avira 2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Programme\HiYo 2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo 2008-06-08 13:19 . 2008-06-08 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HiYo 2008-06-04 21:10 . 2008-06-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Vorlagen 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Startmenü 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Netzwerkumgebung 2008-05-18 17:19 . 2008-06-15 20:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Lokale Einstellungen 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Favoriten 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Eigene Dateien 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Druckumgebung 2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Symantec 2008-05-18 17:19 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Family\Anwendungsdaten 2008-05-18 17:19 . 2008-05-18 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\Family 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung 2008-05-18 16:44 . 2008-06-15 20:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung 2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Symantec 2008-05-18 16:44 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten 2008-05-18 16:44 . 2008-05-18 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Gast . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-15 18:01 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-15 15:15 --------- d-----w C:\Programme\Aclient 2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor 2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee 2008-06-13 19:31 --------- d-----w C:\Programme\Google 2008-05-20 16:56 --------- d-----w C:\Programme\Microsoft Silverlight 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys 2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2008-05-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM 2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-04-22 06:34 --------- d-----w C:\Programme\Windows Live 2008-04-22 06:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2007-05-04 12:04 3,481 ----a-w C:\Dokumente und Einstellungen\Administrator\hotmail.com . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-29 23:07 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AClntUsr"="C:\Programme\Aclient\AClntUsr.EXE" [2008-06-15 17:15 180224] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "BLUEWIN_WCM_McciTrayApp"="C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe" [2007-07-09 10:11 914944] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 16:37 344064] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-22 21:42 185896] "QuickTime Task"="C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Nalin\qttask.exe" [ ] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048] "Adobe Photo Downloader"="C:\Programme\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344] "HiYo"="C:\Programme\HiYo\bin\HiYo.exe" [2008-05-21 12:19 143360] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\Aclient\\AClntUsr.EXE"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"= "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Nalin\\my stuff\\Programme\\LimeWire\\LimeWire.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "9420:TCP"= 9420:TCP:Red Swoosh "5000:UDP"= 5000:UDP:Red Swoosh S2 RedSwooshService;RedSwooshService;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00] S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2002-09-09 20:53] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] RedSwooshService REG_MULTI_SZ RedSwooshService [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6fe00dd-0cfd-11dc-bb48-00038a000015}] \Shell\AutoRun\command - F:\LaunchU3.exe -a *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-15 20:07:22 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-15 20:08:41 ComboFix-quarantined-files.txt 2008-06-15 18:08:12 ComboFix2.txt 2008-06-15 15:05:50 19 Verzeichnis(se), 134,271,111,168 Bytes frei 22 Verzeichnis(se), 134,262,923,264 Bytes frei 148 --- E O F --- 2008-06-15 14:02:20 |
15.06.2008, 19:37 | #9 |
TR/Crypt.XPACK.Gen, TR/Vundo.Gen Habe mal im Avira-Forum gelesen, das die Endung .Gen ein Fehlalarm sein kann, muss aber nicht. Deshalb mal Avira zuschicken lassen oder bei VirusTotal - Free Online Virus and Malware Scan checken lassen. |
15.06.2008, 23:07 | #10 | |
> MalwareDB | TR/Crypt.XPACK.Gen, TR/Vundo.Gen Dark Viruz: die Dateien sind gelöscht. nalinjoel: Lass diese Datei bei VirusTotal - Free Online Virus and Malware Scan scannen und poste das Ergebnis hier (incl. MD5/SHA1) Zitat:
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
16.06.2008, 15:02 | #11 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen Hallo, Ich finde den zweiten Virus nun auch nicht mehr. Ich danke Euch vielmals für die Hilfe und die Geduld. Ihr habt ja sicherlich schon gemerkt das der Computer nicht zu meinem Fachgebiet gehört. Muss ich noch irgendetwas tun, ausser dass Combofix zu löschen? Gruss NJ Hier sende ich das Ergebnis: Datei hotmail.com empfangen 2008.06.16 15:49:52 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.13.1 2008.06.16 - AntiVir 7.8.0.55 2008.06.16 - Authentium 5.1.0.4 2008.06.16 - Avast 4.8.1195.0 2008.06.15 - AVG 7.5.0.516 2008.06.16 - BitDefender 7.2 2008.06.16 - CAT-QuickHeal 9.50 2008.06.14 - ClamAV 0.93.1 2008.06.16 - DrWeb 4.44.0.09170 2008.06.16 - eSafe 7.0.15.0 2008.06.15 - eTrust-Vet 31.6.5878 2008.06.16 - Ewido 4.0 2008.06.16 - F-Prot 4.4.4.56 2008.06.12 - F-Secure 6.70.13260.0 2008.06.16 - Fortinet 3.14.0.0 2008.06.16 - GData 2.0.7306.1023 2008.06.16 - Ikarus T3.1.1.26.0 2008.06.16 - Kaspersky 7.0.0.125 2008.06.16 - McAfee 5317 2008.06.13 - Microsoft 1.3604 2008.06.16 - NOD32v2 3190 2008.06.16 - Norman 5.80.02 2008.06.16 - Panda 9.0.0.4 2008.06.15 - Rising 20.49.02.00 2008.06.16 - Sophos 4.30.0 2008.06.16 - Sunbelt 3.0.1153.1 2008.06.15 - Symantec 10 2008.06.16 - TheHacker 6.2.92.351 2008.06.16 - TrendMicro 8.700.0.1004 2008.06.16 - VBA32 3.12.6.7 2008.06.16 - VirusBuster 4.3.26:9 2008.06.12 - Webwasher-Gateway 6.6.2 2008.06.16 - weitere Informationen File size: 3481 bytes MD5...: f0a478d43821d316611281eac0776fb9 SHA1..: 913cda5afa2eef167e441cdf571f9be58491ffce SHA256: 7f52c074a2a9e66bf6272c61a28a2403eb30268cc0a09300b6be2d012741a665 SHA512: 9c56be55790d2296222b4eb3c77099f4c1b79a037f8eec3bfb56333d05467862 9f5e3ded8c4e84b70ac0204872944a60f3a586ec3ed1dbda83534d5c9806974d PEiD..: - PEInfo: - |
16.06.2008, 18:19 | #12 |
> MalwareDB | TR/Crypt.XPACK.Gen, TR/Vundo.Gen Erstelle bitte noch ein neues HijackThis Logfile.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
16.06.2008, 21:05 | #13 |
| TR/Crypt.XPACK.Gen, TR/Vundo.Gen So, habe ich noch etwas zu tun? Es scheint ganz so als wäre mein PC von der Seuche befreit! Ich danke Euch nochmals vielmal! Gruss NJ Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
17.06.2008, 01:13 | #14 |
> MalwareDB | TR/Crypt.XPACK.Gen, TR/Vundo.Gen Ok sieht alles gut aus. Du solltest bald auf das Service Pack 3 updaten. Vorher fertige aber ein Backup Deiner persönlichen Daten / des Systems an!
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
Themen zu TR/Crypt.XPACK.Gen, TR/Vundo.Gen |
anti, antivir, entdeck, entdeckt, entferne, programm, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, viren, virus |