Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
TR/CryptXpack.gen und Kollegen......

TR/CryptXpack.gen und Kollegen......


Log-Analyse und Auswertung: TR/CryptXpack.gen und Kollegen......

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 15.06.2008, 23:29   #1
Seesaw
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


Hallo,

vor einiger Zeit muss ich mir wohl einen Trojaner oder Virus eingefangen haben, der mal so meinem gesamten pc lahmgelegt hat. Daraufhin hab ich vielste verschiedene Antiviren und Antitrojanerprogramme laufen lassen, was nicht gerade einfach war, da mein pc auf einmal anfing, sich nach wenigen sekunden betrieb einfach auszuschalten.
Dieses Problem hab ich inzwischen (wie auch immer, ich glaub durch entfernen bestimmter Viren!?!?) losbekommen. Mein PC funktioniert jetzt zwar wieder teilweise, doch kämpf ich noch immer mit mehreren Trojanern, die ich nicht mehr wegbekomme.
Auch mein verzweifelter Versuch die Festplatte zu formatieren ist fehl geschlagen, da mir die Windows Installations Cd beim Starten sagt, dass ich keine funktionierende oder angeschlossene Festplatte habe!?!?
Auch andere programme wie linux oder was auch immer, die ich über die cd starte, sagen mir ich hätte keine festplatte.
Jedoch kann ich im windows ganz normal auf meine festplatte zugreifen und beispiel flime normal abspielen.
Ich hab momentan wirklich keine Ahnung was ich noch machen sollte, will meinen pc aber nicht in reparatur bringen, weil er ja eigentlich funktioniert und ich glaube, dass doch "nur" trojaner oder was auch immer daran schuld sind, da AntiVir immer wieder die selben Verdächtigen findet, diese aber immer wiederkommen.
Ich hoffe ihr könnt mir helfen:

AntiVir findet immer wieder:

unter C:\Windows\system32\fccaXoNE.dll
--- Trojan horse TR/Crypt.XPACK.Gen



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:07, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Programme\TechSmith\SnagIt 8\SnagIt32.exe
C:\Programme\TechSmith\SnagIt 8\TSCHelp.exe
C:\Programme\TechSmith\SnagIt 8\SnagPriv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orf.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.salzburg-online.at:80
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\FSC\lsass.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [f06330f9] rundll32.exe "C:\WINDOWS\system32\tkabjidr.dll",b
O4 - HKLM\..\Run: [BMf3500365] Rundll32.exe "C:\WINDOWS\system32\lohtpkyk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jlwnw64l.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6750 bytes



glg Phil

Alt 16.06.2008, 15:55   #2
-SilverDragon-
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


Hallo und

Oh ja, da ist noch etwas drin.


Versteckte Dateien und Ordner sichtbar machen:

-Gehe in einen Beliebigen Ordner
-Gehe da oben auf ´Extras´, dann ´Ordneroptionen´
-Gehe oben auf den Reiter ´Ansicht´
-Nimm den Haken bei ´Geschützte Systemdateien ausblenden´ raus
-setze den Punkt bei ´Alle Dateien und Ordner anzeigen´



Virustotal:

-Suche Virustotal auf
-Lasse folgende Dateien online auswerten

Code:
ATTFilter
C:\WINDOWS\system32\tkabjidr.dll

C:\Windows\System32\lohtpkyk.dll

C:\WINDOWS\system32\jlwnw64l.exe
-Poste die Ergebnisse KOMPLETT in den Thread.


Malwarebytes Anti-Malware

-Lade dir Malwarebytes
-Lasse es dein System komplett scannen
-Gehe nach der Anleitung vor
-Lasse das gefundene löschen
-Poste nachher den Report
__________________

Geändert von -SilverDragon- (16.06.2008 um 16:01 Uhr)

Alt 17.06.2008, 12:39   #3
Seesaw
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


hey,

danke erstmal für die antwort!!!

also ich hab nach diesen 3 dateien gesucht, aber die werden mir nirgends im ordner system32 angezeigt, hab natürlich die ansichtseinstellungen vorher geändert.

jetzt mal zum logfile:


Malwarebytes' Anti-Malware 1.17
Datenbank Version: 863

13:36:46 17.06.2008
mbam-log-6-17-2008 (13-36-46).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 98152
Scan Dauer: 27 minute(s), 2 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMf3500365 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\dFrnx05 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netrax05 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netrax18 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP132\A0074532.exe (Adware.Insider) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP135\A0075810.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP135\A0075811.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FEFAA482-9124-4DEB-977A-18C491E305EC}\RP155\A0076166.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifcDSif.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\FSC\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.




hoffe ihr könnt mir weiterhelfen,

glg Phil
__________________
Alt 17.06.2008, 12:40   #4
BataAlexander
> MalwareDB
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 17.06.2008, 12:55   #5
Seesaw
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


hey,


okay mal das combofix logfile:


ComboFix 08-06-16.2 - FSC 2008-06-17 13:45:18.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.662 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\max mustermann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\tmpvc14
C:\Temp\tmpvc14\dllvc.log
C:\WINDOWS\BMf3500365.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bblnglnd.dll
C:\WINDOWS\system32\cmsbytdx.dll
C:\WINDOWS\system32\ENoXaccf.ini
C:\WINDOWS\system32\ENoXaccf.ini2
C:\WINDOWS\system32\grdbcpbi.dll
C:\WINDOWS\system32\ismjoege.ini
C:\WINDOWS\system32\iwybpltj.dll
C:\WINDOWS\system32\ixpjdaya.ini
C:\WINDOWS\system32\kwgcglpq.dll
C:\WINDOWS\system32\llduurqu.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\migurwgn.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\niobibis.dll
C:\WINDOWS\system32\qcntmkdm.exe
C:\WINDOWS\system32\rdijbakt.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-17 bis 2008-06-17 ))))))))))))))))))))))))))))))
.

2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Malwarebytes
2008-06-17 13:08 . 2008-06-17 13:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-17 13:08 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-17 13:08 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-16 13:02 . 2008-06-16 13:02 <DIR> d-------- C:\Programme\CCleaner
2008-06-16 12:16 . 2008-06-16 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2008-06-16 12:16 . 2008-06-16 12:16 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Netzwerkumgebung
2008-06-16 12:16 . 2008-06-16 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-16 12:16 . 2008-06-16 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-06-16 00:05 . 2008-06-16 00:05 <DIR> d-------- C:\Programme\Trend Micro
2008-06-13 15:06 . 2008-06-13 15:06 <DIR> d-------- C:\Programme\Avira
2008-06-12 15:00 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-12 15:00 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-12 15:00 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-12 15:00 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-12 14:59 . 2008-06-12 15:13 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-12 14:59 . 2008-06-12 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\FSC\Anwendungsdaten\PC Tools
2008-06-12 13:50 . 2008-06-12 13:52 <DIR> d-------- C:\Programme\Unlocker
2008-06-12 12:53 . 2008-06-12 12:53 <DIR> d-------- C:\TEMP\itmp4

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-16 14:07 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-16 11:49 --------- d-----w C:\Programme\DivX
2008-06-16 11:45 --------- d-----w C:\Programme\HP
2008-06-13 13:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-12 11:13 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\LimeWire
2008-06-12 11:03 --------- d-----w C:\Programme\Weather Pulse
2008-06-12 11:03 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Weather Pulse
2008-05-12 19:17 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-06 07:27 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-05-05 11:06 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-05 10:43 22,328 ----a-w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\PnkBstrK.sys
2008-05-05 10:30 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-04-25 16:44 --------- d-----w C:\Programme\Java
2008-04-25 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-04-25 12:22 --------- d-----w C:\Programme\Activision
2008-04-25 12:18 --------- d-----w C:\Programme\Miles Sound Tools
2008-04-25 12:11 --------- d-----w C:\Programme\Wise Registry Cleaner 3
2008-04-25 12:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-25 12:01 --------- d-----w C:\Programme\Lavasoft
2008-04-25 12:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-25 11:58 --------- d-----w C:\Programme\Eusing Free Registry Cleaner
2008-04-25 11:51 --------- d-----w C:\Programme\RegCleaner
2008-04-25 11:40 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Uniblue
2008-04-24 22:43 73,216 ----a-w C:\WINDOWS\cadkasdeinst01.exe
2008-04-24 22:08 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Ubisoft
2008-04-24 22:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-04-22 14:21 --------- d-----w C:\Dokumente und Einstellungen\max mustermann\Anwendungsdaten\Azureus
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b6472e7d-fbc9-fb5f-8e8a-6f45cff82555}]
C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PMCRemote"="" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 18:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-03 20:21 7405568]
"nwiz"="nwiz.exe" [2006-05-03 20:21 1519616 C:\WINDOWS\system32\nwiz.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 06:42 176128]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 22:01 71216]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnmNdBt]
opnmNdBt.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

R1 SSHDRV56;SSHDRV56;C:\WINDOWS\system32\drivers\SSHDRV56.sys [2008-01-31 18:34]
R3 Ltn_stk7070P;PCTV based TV tuner device;C:\WINDOWS\system32\DRIVERS\Ltn_stk7070P.sys [2007-06-14 15:41]
R3 Ltn_stkrc;PCTV Infrared Receiver;C:\WINDOWS\system32\DRIVERS\Ltn_stkrc.sys [2007-06-13 20:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6fbda69-e16e-11dc-a2d6-00030d5051a6}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-17 13:48:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-17 13:51:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-17 11:51:38

11 Verzeichnis(se), 59,224,416,256 Bytes frei
15 Verzeichnis(se), 63,663,038,464 Bytes frei

162 --- E O F --- 2008-05-13 22:00:55






und die HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:49, on 17.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = news.ORF.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.salzburg-online.at:80
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: gooochi browser optimizer - {b6472e7d-fbc9-fb5f-8e8a-6f45cff82555} - C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O20 - Winlogon Notify: opnmNdBt - opnmNdBt.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe (file missing)

--
End of file - 5677 bytes



hoffe es hat was gebracht!?

glg Phil

Geändert von Seesaw (17.06.2008 um 13:02 Uhr)

Alt 17.06.2008, 13:08   #6
BataAlexander
> MalwareDB
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


Ja, es hat viel gebracht.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.



Gehe wiefolgt vor


Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: gooochi browser optimizer - {b6472e7d-fbc9-fb5f-8e8a-6f45cff82555} - C:\WINDOWS\system32\{322f5a3b-84e1-1cd1-bc37-3de586ac7aa0}.dll (file missing)
O20 - Winlogon Notify: opnmNdBt - opnmNdBt.dll (file missing)

(file missing)dann Klicke Fix Checked. Schließe HiJackThis.

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!
__________________
--> TR/CryptXpack.gen und Kollegen......

Alt 17.06.2008, 13:19   #7
Seesaw
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


hallo,

also ich hab das genau den schritten nach gemacht,

hier noch mal eine HJT Logfile:


Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

okay........ und jetzt? ....... oder wars das schon? bzw was war eigentlich los mit meinem pc?


vielen vielen dank mal bis jetzt,

glg Phil
Geändert von Sunny (17.06.2008 um 14:05 Uhr)

Alt 17.06.2008, 13:51   #8
BataAlexander
> MalwareDB
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


Du hattest eine Vundo / Zlob Infektion.
Das sollte es für Dich an dieser Stelle gewesen sein.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over[...].
Stuart Udall

Alt 17.06.2008, 13:55   #9
Seesaw
 
TR/CryptXpack.gen und Kollegen...... - Standard

TR/CryptXpack.gen und Kollegen......


wow,

hätte mir nicht gedacht, dass das so schnell gehen könnte.

Wirklich sensationell,
danke an alle die mir geholfen haben, wirklich erste klasse

Antwort

Themen zu TR/CryptXpack.gen und Kollegen......
ad-aware, antivirus, askbar, auf einmal, avira, drivers, einstellungen, entfernen, excel, festplatte, firefox, gservice, helfen, hijack, hijackthis, hkus\s-1-5-18, immer wieder, installations cd, internet, internet explorer, keine ahnung, mehrere, mozilla, mozilla firefox, problem, rundll, security, sekunden, software, spyware, starten, system, tr/crypt.xpack.ge, trojaner, virus, virus eingefangen, windows, windows xp, xpack.gen


« Kein Internetzugang mehr wegen mysearch.com | MSN Virus »


Ähnliche Themen: TR/CryptXpack.gen und Kollegen......


  1. Wie stelle ich gelöschte Objekte in Outlook 2003 wieder her? (Ordner: "gelöschte Objekte" wurde vom Kollegen gelöscht.)
    Alles rund um Windows - 10.01.2013 (4)
  2. Bekomme spam , der Absender ist der Name eines Kollegen, aber nicht von ihm...
    Diskussionsforum - 16.09.2012 (7)
  3. Auffällige Mail mit Link vom Kollegen
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (1)
  4. Trojaner TR/Cryptxpack.gen3 lässt sich nicht entfernen
    Log-Analyse und Auswertung - 19.08.2011 (26)
  5. Kleines Problem mit einem hartnäckigen Kollegen
    Plagegeister aller Art und deren Bekämpfung - 30.03.2011 (3)
  6. Mails ohne Inhalt werden bei Kollegen gesendet
    Log-Analyse und Auswertung - 17.02.2011 (14)
  7. Problem mit Trojaner TR/CryptXPACK.Gen
    Log-Analyse und Auswertung - 09.11.2010 (3)
  8. Trojaner TR/CryptXPACK.Gen3 auf Notebook
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (5)
  9. TR/CryptXPACK.Gen lässt sich nicht vom Rechner entfernen
    Log-Analyse und Auswertung - 14.03.2009 (3)
  10. TR/Cryptxpack.gen=3x Problem
    Mülltonne - 12.11.2008 (0)
  11. TR/CryptXPACK.Gen
    Mülltonne - 26.10.2008 (0)
  12. TR/CryptXPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.09.2008 (6)
  13. Trojaner TR/CryptXPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (1)
  14. Log für nen Kollegen
    Log-Analyse und Auswertung - 21.01.2008 (4)
  15. Hilfe !!!!backdoor & Kollegen tummeln sich auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 18.11.2007 (1)
  16. Pc vom Kollegen ..hat es noch Sinn oder lieber neu aufsetzen ?
    Log-Analyse und Auswertung - 25.09.2006 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/CryptXpack.gen und Kollegen...... - Hallo, vor einiger Zeit muss ich mir wohl einen Trojaner oder Virus eingefangen haben, der mal so meinem gesamten pc lahmgelegt hat. Daraufhin hab ich vielste verschiedene Antiviren und Antitrojanerprogramme - TR/CryptXpack.gen und Kollegen.........
Archiv
Du betrachtest: TR/CryptXpack.gen und Kollegen...... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130