|
Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.08.2008, 22:00 | #1 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Hallo Liebe Community, ich habe ein Problem mit einem oder mehreren?!?! Trojanern. Ich habe bereits ein Tutorial durchgemacht ála Systemwiederherstellung dann abgesicherter bla bla ect. was jedoch keinen erfolg garantieren konnte. Habe auch die betroffenen Dll`s in der Registry gelöscht, sie kommen jedoch immer wieder. Hier mein HJT Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:41:36, on 11.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll O2 - BHO: (no name) - {49D1D423-3C4B-4716-80A5-EC6C8F373828} - C:\WINDOWS\system32\awtsQKdD.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {8D742974-DEA8-40F2-9008-9BAA973C958D} - C:\WINDOWS\system32\mlJARIXR.dll (file missing) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: {6b13da20-d03b-8dd9-b6c4-ca337028f93b} - {b39f8207-33ac-4c6b-9dd8-b30d02ad31b6} - C:\WINDOWS\system32\kdymlm.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O20 - Winlogon Notify: mlJARIXR - mlJARIXR.dll (file missing) O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 5233 bytes Hier mein Avira Report. Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 2. August 2008 12:45 Es wird nach 1528705 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: **** Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51 ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25.07.2008 10:43:58 ANTIVIR3.VDF : 7.0.5.205 285696 Bytes 01.08.2008 10:44:00 Engineversion : 8.1.1.15 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.61 311675 Bytes 02.08.2008 10:44:14 AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13 AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12 AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09 AEHEUR.DLL : 8.1.0.44 1343863 Bytes 02.08.2008 10:44:08 AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05 AEGEN.DLL : 8.1.0.32 315765 Bytes 02.08.2008 10:44:04 AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03 AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02 AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Samstag, 2. August 2008 12:45 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '32' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '36' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <C> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe [FUND] Enthält Erkennungsmuster des Droppers DR/ActualSpy.B C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP118\A0141355.exe [0] Archivtyp: ZIP SFX (self extracting) --> svchost.exe [FUND] Enthält verdächtigen Code: HEUR/Malware [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54057.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173458.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54079.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173459.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5407e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173460.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54085.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173462.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54086.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173464.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 496453ff.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP128\A0173470.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c54778.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\System Volume Information\_restore{53C9D017-7DF8-4F70-9454-37D4FB69C31D}\RP138\A0198858.dll [FUND] Ist das Trojanische Pferd TR/Monder.biw [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c5409e.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <D> Beginne mit der Suche in 'E:\' <E> Ende des Suchlaufs: Samstag, 2. August 2008 13:15 Benötigte Zeit: 30:52 min Der Suchlauf wurde vollständig durchgeführt. 7256 Verzeichnisse wurden überprüft 556683 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 1 Dateien wurden als verdächtig eingestuft 8 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 8 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 556675 Dateien ohne Befall 1406 Archive wurden durchsucht 1 Warnungen 8 Hinweise ---Ende Hier der aktuelle: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 11. August 2008 21:27 Es wird nach 1547103 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Abgesicherter Modus Benutzername: SYSTEM Computername: **** Versionsinformationen: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52 AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50 LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20 LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 10:43:51 ANTIVIR2.VDF : 7.0.5.207 2316800 Bytes 04.08.2008 21:03:01 ANTIVIR3.VDF : 7.0.5.240 229376 Bytes 11.08.2008 19:15:16 Engineversion : 8.1.1.19 AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21 AESCRIPT.DLL : 8.1.0.63 311673 Bytes 08.08.2008 05:51:06 AESCN.DLL : 8.1.0.23 119156 Bytes 02.08.2008 10:44:13 AERDL.DLL : 8.1.0.20 418165 Bytes 02.08.2008 10:44:12 AEPACK.DLL : 8.1.2.1 364917 Bytes 02.08.2008 10:44:10 AEOFFICE.DLL : 8.1.0.21 192891 Bytes 02.08.2008 10:44:09 AEHEUR.DLL : 8.1.0.47 1368437 Bytes 08.08.2008 05:51:05 AEHELP.DLL : 8.1.0.15 115063 Bytes 02.08.2008 10:44:05 AEGEN.DLL : 8.1.0.35 315764 Bytes 08.08.2008 05:51:03 AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 10:44:03 AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 10:44:02 AEBB.DLL : 8.1.0.1 53617 Bytes 02.08.2008 10:44:01 AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55 AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37 AVREP.DLL : 8.0.0.2 98344 Bytes 02.08.2008 10:44:00 AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52 AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34 NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46 RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, D:, E:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Montag, 11. August 2008 21:27 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. C:\WINDOWS\system32\mlJARIXR.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [WARNUNG] Die Datei konnte nicht gelöscht werden! Die Registry wurde durchsucht ( '33' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <C> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Setups,Downloads\[CheatDB] SSW (Super Simple Wall) v4.3 2008-03-10.rar [0] Archivtyp: RAR --> SS Wall v4.3.exe [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 49089f88.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. C:\WINDOWS\system32\awtsQKdD.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4914a1af.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! C:\WINDOWS\system32\mlJARIXR.dll [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48eaa1cd.qua erstellt ( QUARANTÄNE ) [WARNUNG] Die Datei konnte nicht gelöscht werden! Beginne mit der Suche in 'D:\' <D> D:\Hurensohn_meineDateien!\Sachen für Games + 1.5\CounterStrike\SS Wall v4.3.exe [FUND] Ist das Trojanische Pferd TR/Hijacker.Gen [HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48c0a2a6.qua erstellt ( QUARANTÄNE ) [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'E:\' <E> Ende des Suchlaufs: Montag, 11. August 2008 22:34 Benötigte Zeit: 1:07:10 min Der Suchlauf wurde vollständig durchgeführt. 7067 Verzeichnisse wurden überprüft 548411 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 2 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 548406 Dateien ohne Befall 1361 Archive wurden durchsucht 4 Warnungen 4 Hinweise Hier meine Netzwerk Verbindungen: Code:
ATTFilter Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP ****:epmap ****:0 ABHÖREN TCP ****:microsoft-ds ****:0 ABHÖREN TCP ****:1028 ****:0 ABHÖREN TCP ****:1033 localhost:1034 HERGESTELLT TCP ****:1034 localhost:1033 HERGESTELLT TCP ****:1035 localhost:1036 HERGESTELLT TCP ****:1036 localhost:1035 HERGESTELLT TCP ****:27015 ****:0 ABHÖREN TCP ****:netbios-ssn ****:0 ABHÖREN UDP ****:microsoft-ds *:* UDP ****:isakmp *:* UDP ****:4500 *:* UDP ****:ntp *:* UDP ****:44301 *:* UDP ****:45301 *:* UDP ****:ntp *:* UDP ****:netbios-ns *:* UDP ****:netbios-dgm *:* Ich hoffe ihr könnt mir helfen denn ich möchte unter keinen Umständen (außer wenn nix mehr geht) meine HDD`s formatieren. Sry wegen des langen Textes. Mfg Marc Geändert von marc91 (11.08.2008 um 22:35 Uhr) Grund: Logfiles in Code |
12.08.2008, 06:38 | #2 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Hi,
__________________dann lass mal das hier online prüfen: C:\WINDOWS\system32\kdymlm.dll virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Poste das Log... Weiterhin bitte noch Combofix und MAM downloaden, MAM installieren und updaten, dann offline gehen und combofix starten, danach MAM. Online gehen und beide Logs posten; Combofix: Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird MAM: Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/. chris
__________________ |
12.08.2008, 09:03 | #3 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Gut ich werde heute Abend die Logs posten.
__________________Eine Frage noch zu Combofix: Ist das Programm nicht gefährlich? Was muss ich beachten?? Danke Chris für die schnelle Antwort! Mfg Marc |
12.08.2008, 09:19 | #4 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Hi, nein, allerdings werden einige Teile von Combofix fälschlicherweise als Bedrohung erkannt, daher die sonst laufenden Guards abschalten... combofix legt wie hj auch backups aller Änderungen an (C:\Qoobox)... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
12.08.2008, 10:02 | #5 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Ok Danke dir. Ich kann die Logs erst heute abend erstellen + posten. Ist die Infizierung denn schlimm? Kann man das System noch retten? Habe keinerlei ahnung von Viren Trojaner und Backdoors ect. Mfg Marc |
12.08.2008, 19:28 | #6 |
| Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! Hi hier das Virustotal Log von der Datei die ich prüfen sollte. Weiß nicht ob du das gemeint hast? Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.12 - AntiVir 7.8.1.19 2008.08.12 ADSPY/Superjuan.ckp Authentium 5.1.0.4 2008.08.12 - Avast 4.8.1195.0 2008.08.12 - AVG 8.0.0.156 2008.08.12 Generic3.KZC BitDefender 7.2 2008.08.12 - CAT-QuickHeal 9.50 2008.08.12 - ClamAV 0.93.1 2008.08.12 - DrWeb 4.44.0.09170 2008.08.12 - eSafe 7.0.17.0 2008.08.12 Suspicious File eTrust-Vet 31.6.6027 2008.08.12 Win32/VundoCryptorA!Generic Ewido 4.0 2008.08.12 - F-Prot 4.4.4.56 2008.08.12 - Fortinet 3.14.0.0 2008.08.12 Adware/SuperJuan GData 2.0.7306.1023 2008.08.12 - Ikarus T3.1.1.34.0 2008.08.12 - K7AntiVirus 7.10.412 2008.08.12 - Kaspersky 7.0.0.125 2008.08.12 not-a-virus:AdWare.Win32.SuperJuan.ckp McAfee 5358 2008.08.11 - Microsoft 1.3807 2008.08.12 - NOD32v2 3349 2008.08.12 - Norman 5.80.02 2008.08.12 - Panda 9.0.0.4 2008.08.12 - PCTools 4.4.2.0 2008.08.12 - Prevx1 V2 2008.08.12 Cloaked Malware Rising 20.57.12.00 2008.08.12 - Sophos 4.32.0 2008.08.12 - Sunbelt 3.1.1542.1 2008.08.12 - Symantec 10 2008.08.12 - TheHacker 6.3.0.3.046 2008.08.12 - TrendMicro 8.700.0.1004 2008.08.12 - VBA32 3.12.8.3 2008.08.11 - ViRobot 2008.8.12.1333 2008.08.12 - VirusBuster 4.5.11.0 2008.08.12 - Webwasher-Gateway 6.6.2 2008.08.12 Ad-Spyware.Superjuan.ckp weitere Informationen File size: 107008 bytes MD5...: 937915b19c5c8c0df605fc6e17c0d4c8 SHA1..: 3f6f40b83163e9203999803ef0e6fae1244b729d SHA256: 19cdbc52544d68cdb9ea230b1b0af02e2134159f89dc5fbb0d08b9ed79a43d04 SHA512: f22f6df5d48853ca89b4fce56f1e892c4eabdaaa6d8a44003389b9bba3dbcfa7 9688a87402274219ba7aecc4075c9fc7d1ef09c7c9010939df41b13b0c60924c PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10035546 timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1000 0x200 7.57 12fd37de4a4abd5029a0153dc1c5784b .rdata 0x2000 0x1000 0x200 7.62 b4be83b45b61f24f9f2737e40748de2f .data 0x3000 0x1000 0x200 7.60 66313eeac9178272c675d1feeef2bda8 .text 0x4000 0x31000 0x17a00 8.00 7d9ef47c8fc4a95a67b38c095119f959 .pdata 0x35000 0x1000 0x1000 5.43 8d34c994cd99d34d112e5b283dbfb313 .rsrc 0x36000 0x1000 0x200 1.47 2bdd3a19990c80152ce78d4daa7392d1 ( 4 imports ) > KERNEL32.dll: CreateFileA, ExitProcess > USER32.dll: GetDC, GetDesktopWindow, TranslateMessage > GDI32.dll: GetDeviceCaps > comdlg32.dll: ChooseColorA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8C9D715800DFA71AA2B701924ADF61002D345C39 ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=937915b19c5c8c0df605fc6e17c0d4c8 Die anderen Logs werde ich nachher noch posten. Mfg Marc |
Themen zu Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!! |
0 bytes, antivir, antivirus, avgnt, avgnt.exe, avira, beseitigung, bho, brauche hilfe, ctfmon.exe, desktop, ellung, file missing, firefox.exe, google, helfen, hijack, hijackthis, hilfe bei beseitigung, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, logfile, mehrere, microsoft-ds, netbios-ns, nt.dll, nvcpl.dll, problem, prozesse, quara, registry, rundll, s-1-5-18, security, software, suchlauf, super, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trend micro, trojaner, verweise, virus gefunden, warnung, windows, windows xp |