Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Crypt.XPACK.Gen

TR/Crypt.XPACK.Gen


Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.08.2008, 00:01   #1
Speedi
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Hallo liebe Trojaner-Board Community.

Habe nun zum ersten Mal seit ich meinen PC habe nen anscheinend schwerwiegenden Virus/Backdoor Trojaner.

Zwar handelt es sich um folgendes Exemplar dieser wunderschönen Gattung: TR/Crypt.XPACK.Gen

Habe hier im Forum gelesen, dass ich mal ComboFix durchlaufen lassen soll und das Log hier posten soll, mir dann ein freundlicher und hilfsbereiter Member sagt, welche Dateien ich löschen muss

Danke schon einmal im Voraus für eure Hilfe
Speedi

Hier Das Log von ComboFix:
Code:
ATTFilter
ComboFix 08-08-18.05 - *** 2008-08-20  0:43:09.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.754 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\server.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-19 bis 2008-08-19  ))))))))))))))))))))))))))))))
.

2008-08-18 18:04 . 2008-08-18 18:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-18 00:47 . 2008-08-18 00:47	57,344	--a------	C:\WINDOWS\system32\wvUnLDtS.dll
2008-08-18 00:19 . 2008-08-18 00:19	<DIR>	d--------	C:\Programme\Bonjour
2008-08-18 00:13 . 2008-08-18 00:13	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-18 00:11 . 2008-08-18 18:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\YzShadow
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\WinRoll
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\UberIcon
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\Tiger System Preferences v2
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\RK Launcher
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\ObjectDock
2008-08-17 23:56 . 2008-08-17 23:56	<DIR>	d--------	C:\Programme\iColorFolder
2008-08-17 23:53 . 2008-08-19 13:21	<DIR>	d--h-----	C:\WINDOWS\FlyakiteOSX
2008-08-17 23:53 . 2004-08-04 09:57	219,648	--a------	C:\WINDOWS\system32\uxtheme.backup
2008-08-15 18:50 . 2008-08-17 22:51	137,968	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-15 18:50 . 2008-08-18 14:00	111,928	--a------	C:\WINDOWS\system32\PnkBstrB.exe
2008-08-15 18:49 . 2008-08-15 18:49	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-08-15 18:49 . 2008-08-15 18:49	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe
2008-08-14 22:41 . 2008-08-15 00:00	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-08-14 22:41 . 2008-08-14 22:41	56	--ah-----	C:\WINDOWS\system32\ezsidmv.dat
2008-08-14 22:40 . 2008-08-14 22:40	<DIR>	dr-------	C:\Programme\Skype
2008-08-14 22:40 . 2008-08-14 22:40	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-08-14 22:40 . 2008-08-18 00:04	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-08-14 22:40 . 2008-08-14 22:40	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-14 14:44 . 2008-08-14 14:44	<DIR>	d--------	C:\Programme\WinPcap
2008-08-14 14:43 . 2008-08-14 14:44	<DIR>	d--------	C:\Programme\Cain
2008-08-13 12:49 . 2008-05-01 16:30	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 21:31 . 2008-05-19 18:16	186,407	--a------	C:\WINDOWS\system32\nvapps.nvb
2008-08-11 21:21 . 2008-08-11 21:21	<DIR>	d--------	C:\Programme\SystemRequirementsLab
2008-08-11 12:41 . 2008-08-11 13:22	<DIR>	d--------	C:\Programme\Hamachi
2008-08-11 12:41 . 2008-08-15 02:01	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2008-08-11 12:41 . 2008-08-11 12:41	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-10 12:54 . 2008-08-10 12:54	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\PacificPoker
2008-08-10 12:53 . 2008-08-10 12:53	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Logs
2008-08-10 12:26 . 2008-08-10 22:14	<DIR>	d--------	C:\Programme\PacificPoker
2008-08-05 20:04 . 2008-08-05 20:04	<DIR>	d--------	C:\Programme\Avira
2008-08-05 20:04 . 2008-08-05 20:04	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-05 19:56 . 2008-08-05 19:56	34	--a------	C:\WINDOWS\system32\lol_pwned.bat
2008-08-04 16:45 . 2008-08-04 16:45	<DIR>	d--------	C:\Programme\Fox
2008-08-04 16:45 . 2008-08-04 16:47	21,840	--a----t-	C:\WINDOWS\system32\SIntfNT.dll
2008-08-04 16:45 . 2008-08-04 16:47	17,212	--a----t-	C:\WINDOWS\system32\SIntf32.dll
2008-08-04 16:45 . 2008-08-04 16:47	12,067	--a----t-	C:\WINDOWS\system32\SIntf16.dll
2008-08-04 16:22 . 2008-08-04 16:23	<DIR>	d--------	C:\Programme\Phun
2008-08-03 11:11 . 2008-08-03 11:11	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahead
2008-08-03 11:09 . 2008-08-03 11:09	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-08-03 11:09 . 2008-08-05 18:17	49	--a------	C:\WINDOWS\NeroDigital.ini
2008-08-03 11:07 . 2008-08-03 11:07	<DIR>	d--------	C:\Programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 11:20	---------	d-----w	C:\Programme\Steam
2008-08-17 21:56	2,140,544	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-17 21:56	2,017,792	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-17 21:53	219,648	----a-w	C:\WINDOWS\system32\uxtheme.dll
2008-08-11 13:36	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-08-04 14:45	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-04 14:45	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-02 16:24	---------	d-----w	C:\Programme\PartyGaming
2008-07-16 14:55	---------	d-----w	C:\Programme\ICQ6
2008-07-16 14:55	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-07-13 15:11	---------	d-----w	C:\Programme\AWC
2008-07-12 20:58	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-07-12 15:59	---------	d-----w	C:\Programme\Electronic Arts
2008-07-12 11:18	---------	d-----w	C:\Programme\D-Tools
2008-07-11 19:26	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-07 14:49	---------	d-----w	C:\Programme\AutoIt3
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38	686,080	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-22 08:44	---------	d-----w	C:\Programme\Ahead
2008-06-22 08:40	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-06-22 08:40	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2002-08-05 03:21	712,704	----a-w	C:\WINDOWS\inf\OTHER\audio3d.dll
.

------- Sigcheck -------

2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a	C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll
2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:48  579584  78785eff8cb90cec1862a4ccfd9a3c3a	C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2005-03-02 20:21  562688  def116925e1ea04691ec6362f197451e	C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2004-08-04 09:57  578560  56785fd5236d7b22cf471a6da9db46d8	C:\WINDOWS\$NtUninstallKB890859$\user32.dll
2003-04-02 14:00  561664  e3daffdb1c86c1aeac1b205f6cf67009	C:\WINDOWS\$NtUninstallKB890859_0$\user32.dll
2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a	C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b	C:\WINDOWS\FlyakiteOSX\Backup\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d	C:\WINDOWS\ServicePackFiles\i386\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d	C:\WINDOWS\system32\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d	C:\WINDOWS\system32\dllcache\user32.dll

2008-02-16 11:30  671744  6c49192217df0509bc6a576535545529	C:\WINDOWS\$hf_mig$\KB947864\SP2QFE\wininet.dll
2008-04-21 08:56  672256  018aded93507a4aea4f55741863dbc9e	C:\WINDOWS\$hf_mig$\KB950759\SP2QFE\wininet.dll
2008-04-21 08:42  671744  11d26d87e041000ea4c0128cd0010f7a	C:\WINDOWS\$hf_mig$\KB950759\SP3GDR\wininet.dll
2008-04-21 08:24  672256  645a4a4884eb5eb8453c01531fcbec3a	C:\WINDOWS\$hf_mig$\KB950759\SP3QFE\wininet.dll
2008-06-23 18:14  672768  878f506d7f69e06bccdc86c2a4d17633	C:\WINDOWS\$hf_mig$\KB953838\SP2QFE\wininet.dll
2008-06-23 17:10  671744  978542595cf09a86e2ef60552a35c937	C:\WINDOWS\$hf_mig$\KB953838\SP3GDR\wininet.dll
2008-06-23 16:55  672256  6432638b5ce374d912c0c4f2a9f03dae	C:\WINDOWS\$hf_mig$\KB953838\SP3QFE\wininet.dll
2006-06-23 13:27  582144  8a74319e8eff349f2ce170cad587da2f	C:\WINDOWS\$NtServicePackUninstall$\wininet.dll
2003-04-02 14:00  604672  e332e1bbf073bdd18742b9a0db6f208a	C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\wininet.dll
2004-08-04 09:57  662016  b1a1da99c4a6ebfd59f86a453bf02f39	C:\WINDOWS\$NtUninstallKB947864$\wininet.dll
2008-02-16 10:59  665088  34b6ee86f286b2595539e1617962256d	C:\WINDOWS\$NtUninstallKB950759$\wininet.dll
2008-04-21 09:01  665088  fbed32c104bd9410e2da2d3ac1ce4008	C:\WINDOWS\$NtUninstallKB953838$\wininet.dll
2008-06-23 17:38  665088  1b540e19adc30a53c8410dcbbab1ef53	C:\WINDOWS\FlyakiteOSX\Backup\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2	C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-06-23 17:38  665088  1b540e19adc30a53c8410dcbbab1ef53	C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp2gdr\wininet.dll
2008-06-23 18:14  672768  878f506d7f69e06bccdc86c2a4d17633	C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp2qfe\wininet.dll
2008-06-23 17:10  671744  978542595cf09a86e2ef60552a35c937	C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3gdr\wininet.dll
2008-06-23 16:55  672256  6432638b5ce374d912c0c4f2a9f03dae	C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3qfe\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2	C:\WINDOWS\system32\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2	C:\WINDOWS\system32\dllcache\wininet.dll

2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff	C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlpa.exe
2005-03-02 20:11  2059264  ae8364004bbfd70461d2ef34888d3360	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06  2061696  9b9ca27ad315c02b71510238574894b2	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2005-03-02 20:16  1958016  711cc10cc618dd6265379eeb037fe333	C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-04 09:50  2059136  ce41fc4c06499a389d39b301879535fb	C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2003-04-02 14:00  1950080  ad669b66162c858a22a2454a138ecb88	C:\WINDOWS\$NtUninstallKB890859_0$\ntkrnlpa.exe
2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff	C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f	C:\WINDOWS\FlyakiteOSX\Backup\ntkrnlpa.exe
2007-02-28 18:02  2017792  84935ce584d443bba7dbad5d1d4a8f0d	C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-17 23:56  2017792  4cce6a7a16fef7d2575a1ef09d652ba3	C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2017792  84935ce584d443bba7dbad5d1d4a8f0d	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945	C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe
2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2	C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19	C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2005-03-02 20:16  2043008  a64548e903c68eedf5e2eee60cc7d36c	C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2004-08-04 09:50  2183296  dc888c9c4ca0eea7a3cb7e6b610f75c7	C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2003-04-02 14:00  2044416  d27f8835923cf08c9cc2e277313c44e0	C:\WINDOWS\$NtUninstallKB890859_0$\ntoskrnl.exe
2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945	C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894	C:\WINDOWS\FlyakiteOSX\Backup\ntoskrnl.exe
2007-02-28 18:02  2140544  7efeb6bbdcb902c82dea4639f751e78f	C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-17 23:56  2140544  6d546ea277323c54c90365591db9127e	C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2140544  7efeb6bbdcb902c82dea4639f751e78f	C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc	C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56	C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2003-04-02 14:00  1007104  22b0a56e6c5847292437078b484ec61b	C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0	C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f	C:\WINDOWS\FlyakiteOSX\Backup\explorer.exe
2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc	C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc	C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}]
2008-08-18 00:47	57344	--a------	C:\WINDOWS\system32\wvUnLDtS.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"BLASC"="C:\Programme\buffed\BLASC.exe" [2008-05-20 15:14 2243072]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" [2004-10-13 18:24 1686016]
"Steam"="c:\programme\steam\steam.exe" [2008-06-01 18:29 1271032]
"RK Launcher"="C:\Programme\RK Launcher\RKLauncher.exe" [2005-10-19 09:40 393216]
"Alt+Q Hotkey Tool"="C:\WINDOWS\Alt+Q Hotkey.exe" [2005-12-18 21:14 27648]
"UberIcon"="C:\Programme\UberIcon\UberIcon Manager.exe" [2006-02-24 02:32 188416]
"WinRoll"="C:\Programme\WinRoll\winroll.exe" [2006-01-02 00:27 15872]
"Yz Shadow"="C:\Programme\YzShadow\YzShadow.exe" [2006-02-24 04:51 172032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 94208]
"System Files Updater"="C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe" [2006-02-26 01:41 118485]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 10:31 67584 C:\WINDOWS\SOUNDMAN.EXE]
"C-Media Mixer"="Mixer.exe" [2002-08-05 05:21 1495040 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}"= "C:\WINDOWS\system32\wvUnLDtS.dll" [2008-08-18 00:47 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnLDtS]
2008-08-18 00:47 57344 C:\WINDOWS\system32\wvUnLDtS.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\TmUnitedForever\\TmForever.exe"=
"C:\\Programme\\Ares\\Ares.exe"=
"C:\\Programme\\Steam\\steamapps\\speedi200\\counter-strike source\\hl2.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Dokumente\\cs\\data\\hl.exe"=
"D:\\Spiele\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\WC3\\Warcraft III.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R2 Apache2.2;Apache2.2;D:\xampp\apache\bin\apache.exe [2008-06-14 19:02]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Launch LCDMon - C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
HKLM-Run-iconcache - (no file)
HKLM-Run-cleanup - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\zpxdnd3x.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 00:46:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\wvUnLDtS.dll
.
Zeit der Fertigstellung: 2008-08-20  0:48:23
ComboFix-quarantined-files.txt  2008-08-19 22:48:13

Pre-Run: 9 Verzeichnis(se), 31,899,758,592 Bytes frei
Post-Run: 11 Verzeichnis(se), 34,427,469,824 Bytes frei

239	--- E O F ---	2008-08-13 18:12:18

Alt 20.08.2008, 00:21   #2
Silent sharK
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Hi,
sehr schlecht, das Du ComboFix auf deine Eigeninitiative ausgeführt hast.
Es wurde nämliche eine relevante Datei namens
Zitat:
C:\WINDOWS\system32\server.exe
gelöscht.
Erstell bitte ein HijackThis Logfile, den Boardregeln entsprechend.

Argh, immer diese Postüberschneidungen.

mfg
__________________

__________________
Alt 20.08.2008, 00:22   #3
undoreal
/// AVZ-Toolkit Guru
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Nabend Speedi

Eine server.exe ist immer garnicht gut..


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\wvUnLDtS.dll
C:\WINDOWS\system32\SIntfNT.dll
C:\WINDOWS\system32\SIntf32.dll
C:\WINDOWS\system32\SIntf16.dll
C:\WINDOWS\system32\ntkrnlpa.exe

Unter C:\qoobox\ findest du eine Datei. Diese bitte ebenfalls analysieren lassen...
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

PS: Hallöle Dark..
Zitat:
sehr schlecht, das Du ComboFix auf deine Eigeninitiative ausgeführt hast.
und da stimme ich dir voll und ganz zu! Aber ich kann hier ja predigen wie ich will..
__________________
__________________
Alt 20.08.2008, 00:48   #4
Speedi
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Zitat:
Zitat von undoreal Beitrag anzeigen
und da stimme ich dir voll und ganz zu! Aber ich kann hier ja predigen wie ich will..
Da ich mich grade eben mitten in der Nacht genau dieses Problems halber angemeldet habe, kann ich mich dieser Schuld entziehen ^^

Tut mir leid, dass ich das ganze ohne Sicherheits-Grundwissen ausgeführt habe :x

Hier das HijackThis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:41:09, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\apache\bin\apache.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\xampp\mysql\bin\mysqld-nt.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\buffed\BLASC.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\programme\steam\steam.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Start.exe
C:\WINDOWS\system32\rundll32.exe
D:\Hijack\HijackThis.exe
D:\Programme\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\Hijack\This.com.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\wvUnLDtS.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wvUnLDtS - C:\WINDOWS\SYSTEM32\wvUnLDtS.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7041 bytes
Nun die einzelnen Datei-Scans:

Datei wvUnLDtS.dll empfangen 2008.08.20 01:44:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/36 (52.78%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	ADSPY/Virtumonde.trz
Authentium	5.1.0.4	2008.08.19	W32/Trojan2.AVMR
Avast	4.8.1195.0	2008.08.19	Win32:VunDrop
AVG	8.0.0.161	2008.08.20	Generic10.ZAP
BitDefender	7.2	2008.08.20	MemScan:Trojan.Vundo.ENF
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	Trojan.Vundo-4082
DrWeb	4.44.0.09170	2008.08.19	Trojan.Virtumod.based.11
eSafe	7.0.17.0	2008.08.19	-
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.19	W32/Trojan2.AVMR
F-Secure	7.60.13501.0	2008.08.19	Vundo.gen179
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.20	Trojan.Win32.Monder.gen
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	not-a-virus:AdWare.Win32.Virtumonde.trw
Kaspersky	7.0.0.125	2008.08.19	not-a-virus:AdWare.Win32.Virtumonde.trw
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	Trojan:Win32/Vundo.gen!H
NOD32v2	3369	2008.08.19	-
Norman	5.80.02	2008.08.19	W32/Virtumonde.XIE
Panda	9.0.0.4	2008.08.19	Spyware/Vundo
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.20	Suspicious
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.20	Troj/Virtum-Gen
Sunbelt	3.1.1546.1	2008.08.15	Virtumonde
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	Ad-Spyware.Virtumonde.trz
Datei SIntfNT.dll empfangen 2008.08.20 01:46:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/36 (5.56%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.20	-
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	Suspicious File
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.19	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3369	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.20	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.20	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	Win32.Malware.gen#Petite!84 (suspicious)
Datei SIntf32.dll empfangen 2008.08.20 01:48:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/36 (5.56%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.20	-
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	Suspicious File
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.19	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3369	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.20	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.20	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	Win32.Malware.gen#Petite!84 (suspicious)
Datei SIntf16.dll empfangen 2008.08.20 01:50:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.20	-
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.19	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3369	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.20	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.20	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	-
Datei ntkrnlpa.exe empfangen 2008.08.20 01:53:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)

Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.19.0	2008.08.19	-
AntiVir	7.8.1.23	2008.08.19	-
Authentium	5.1.0.4	2008.08.19	-
Avast	4.8.1195.0	2008.08.19	-
AVG	8.0.0.161	2008.08.20	-
BitDefender	7.2	2008.08.20	-
CAT-QuickHeal	9.50	2008.08.19	-
ClamAV	0.93.1	2008.08.19	-
DrWeb	4.44.0.09170	2008.08.19	-
eSafe	7.0.17.0	2008.08.19	-
eTrust-Vet	31.6.6036	2008.08.19	-
Ewido	4.0	2008.08.19	-
F-Prot	4.4.4.56	2008.08.19	-
F-Secure	7.60.13501.0	2008.08.19	-
Fortinet	3.14.0.0	2008.08.19	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.19	-
K7AntiVirus	7.10.421	2008.08.19	-
Kaspersky	7.0.0.125	2008.08.19	-
McAfee	5364	2008.08.19	-
Microsoft	1.3807	2008.08.20	-
NOD32v2	3369	2008.08.19	-
Norman	5.80.02	2008.08.19	-
Panda	9.0.0.4	2008.08.19	-
PCTools	4.4.2.0	2008.08.19	-
Prevx1	V2	2008.08.20	-
Rising	20.58.12.00	2008.08.19	-
Sophos	4.32.0	2008.08.20	-
Sunbelt	3.1.1546.1	2008.08.15	-
Symantec	10	2008.08.20	-
TheHacker	6.3.0.5.054	2008.08.19	-
TrendMicro	8.700.0.1004	2008.08.19	-
VBA32	3.12.8.3	2008.08.19	-
ViRobot	2008.8.19.1341	2008.08.19	-
VirusBuster	4.5.11.0	2008.08.19	-
Webwasher-Gateway	6.6.2	2008.08.19	Win32.Malware.gen!80 (suspicious)
Datei snapshot_2008-08-20__0.47.45.26.d empfangen 2008.08.20 01:56:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
brauch ich bei 0/36 denk ich mal nicht posten...

Datei snapshot_2008-08-20__0.47.45.26_B empfangen 2008.08.20 01:58:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
gleiche wie eben...
Geändert von Speedi (20.08.2008 um 00:58 Uhr)

Alt 20.08.2008, 00:52   #5
Silent sharK
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Hoi,
führe mal folgendes Tool aus:

MalwareBytes Anti-Malware :
  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 20.08.2008, 01:00   #6
j199207
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Hi ich hab genau das gleiche Problem und wollte fragen ob ich für meine Daten einen neuen Thread aufmachen soll

Alt 20.08.2008, 01:01   #7
Silent sharK
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Zitat:
Hi ich hab genau das gleiche Problem und wollte fragen ob ich für meine Daten einen neuen Thread aufmachen soll
Ja, mach das doch bitte.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 20.08.2008, 01:41   #8
Speedi
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


So, hier das Log von Malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1071
Windows 5.1.2600 Service Pack 2

02:35:52 20.08.2008
mbam-log-08-20-2008 (02-35-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 172390
Laufzeit: 34 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\wvUnLDtS.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvunldts (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wvUnLDtS.dll (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{0776DE9A-A9E8-40F8-A398-960B5FEF71FD}\RP151\A0012517.dll (Trojan.Vundo) -> No action taken.

Alt 20.08.2008, 01:45   #9
Silent sharK
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


So,
jetzt kommen diese Tools :

1.)
SUPERAntiSpyware:
  • Lade dir SUPERAntiSpyware und installiere es
  • Folge den Anweisungen und poste das entstandene Logfile

2.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.

Alt 20.08.2008, 08:26   #10
undoreal
/// AVZ-Toolkit Guru
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Zitat:
So,
jetzt kommen diese Tools
Mache vorher bitte noch einen Scan mit Anti-Malware und lasse die Funde löschen..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 20.08.2008, 14:25   #11
Speedi
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Hab jetzt das System neu aufgesetzt nachdem wir gestern Nacht noch bis um 4 gesessen haben.

Danke an Dark Viruz für den Messenger Support

Auch Danke an undoreal für die Hilfe

Was sollt ich so nach der Neuinstalltion an Sicherheitssoftware draufhauen?

Danke
Speedi

Alt 21.09.2008, 21:09   #12
Joern
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen


Moin,
ich würde dir Kaspersky oder NOD32 empfehlen.
Kaspersky kann man sich bei computerbild kostenlos runterladen und eine Seriennummer bestellen.
Gruß
Joern

Antwort

Themen zu TR/Crypt.XPACK.Gen
antivir, avg, avgnt, avgnt.exe, browser, combofix, counter-strike source, ctfmon.exe, dateien, desktop, dllcache, drivers, einstellungen, handel, helper, home, hotkey, icq, installation, jusched.exe, laufende prozesse, log, löschen, malware, mozilla, preferences, programme, scan, sigcheck, skype.exe, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner-board, windows, windows xp, windows\system32\drivers, winlogon


« Trojaner oder Virus - PC spinnt. Format C ? | scvhost.exe problem: bildschirm schwarz und task manager funktioniert nicht »


Ähnliche Themen: TR/Crypt.XPACK.Gen


  1. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  2. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  3. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  4. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  5. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  6. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  7. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  8. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  9. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  10. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  11. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  12. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  13. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  14. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  15. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  16. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  17. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Crypt.XPACK.Gen - Hallo liebe Trojaner-Board Community. Habe nun zum ersten Mal seit ich meinen PC habe nen anscheinend schwerwiegenden Virus/Backdoor Trojaner. Zwar handelt es sich um folgendes Exemplar dieser wunderschönen Gattung: TR/Crypt.XPACK.Gen - TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55