|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen wird nicht gelöschtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.11.2008, 19:33 | #1 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht Hallo liebe Trojaner-Board Community, ich habe seit gestern das Problem das Antivir herummeckert wegen dem Trojaner: TR/Crypt.XPACK.Gen Die Dateien die erstellt werden sind 2 .exe Dateien mit als Bezeichnung Nummern haben. Beide .exe Dateien entstehen in dem Ordner "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp" Manchmal entstehen sie auch in dem Ordner "C:\WINDOWS\Temp" Dann zeigt er mit noch mal den Trojaner bei einer .htm Datei an die sich im C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5" befindet. Sie heißt meistens "cd[1].htm. Wenn ich Sie lösche sind die nicht mehr da. Aber nach einer weilen kommt die Meldung wieder. Habe schon mit Antivir einen Komplettscan und auch mit Lavasoft Ad-Aware einen Vollständigen Scann gemacht. Alle Dateien die angezeigt wurden haben ich gelöscht. Die waren sicher nicht von Windows, alleine schon wegen der Bezeichnung. Aber dieser Fehler ist halt immer noch da. Ich habe mal mit HijackThis ein Log erstellt: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:15:39, on 09.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Ghost\Agent\VProSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\RealVNC_2\VNC4\WinVNC4.exe C:\WINDOWS\system32\SearchIndexer.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe O4 - HKLM\..\Run: [bc208394] rundll32.exe "C:\WINDOWS\system32\vldijtcr.dll",b O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU) O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU) O15 - Trusted Zone: h**p://asia.msi.com.tw O15 - Trusted Zone: h**p://global.msi.com.tw O15 - Trusted Zone: h**p://www.msi.com.tw O17 - HKLM\System\CCS\Services\Tcpip\..\{7C562178-A2A2-4960-BF74-CB1D5565262D}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: karna.dat cpzigj.dll pxwlae.dll O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NNServ - Unknown owner - C:\Programme\NewDotNet\nnrun.exe (file missing) O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing) O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC_2\VNC4\WinVNC4.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 12856 bytes mfG darkmaker |
10.11.2008, 08:50 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöscht Hallo und
__________________Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\vldijtcr.dll C:\WINDOWS\system32\jsne87fidgf.dll C:\WINDOWS\system32\inetsrv.exe C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe 3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
11.11.2008, 20:06 | #3 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht Hi,
__________________also ich kann das erste nicht machen mit den Alle dateien anzeigen lassen, da mir der Eintrag fehlt Ordneroptionen. Daher habe ich auch nur die eine Datei gefunden: C:\WINDOWS\system32\jsne87fidgf.dll Wie kann ich es noch hinkriegen, dass mir das Menü gezeigt wird wo ich die Ordneroptionen sehen kann. Unter Systemsteuerung ist es nicht vorhanden. Und wenn ich es unter der Registry einstellen will wie ich es hier gelesen habe: http://www.pcwelt.de/forum/windows-xp-server-2003/307290-ordneroptionen-lassen-anzeigen-2.html sagt er mir immer: Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert. Aber ich habe das nie gemacht bzw. wie aktiviere ich das wieder? Ich weiß nicht ob ich die weiteren schritte machen kann, da die versteckten Dateien ja nicht angezeigt werden und die ja auch mitgescannt werden müssen. Danke mfG darkmaker |
11.11.2008, 20:18 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöscht Das ist eine reine Ansichtsoption. Die versteckten Dateien werden sonst immer berücksichtigt. Kopiere am besten den kompletten Pfad zu den Dateien bei Virustotal direkt rein, oder die Datei auszuwählen, einfach via copy and paste.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.11.2008, 20:39 | #5 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht also die restlichen Dateien sind auch nicht mehr da. Also habe den kopletten Pfad eingetragen aber die Dateien wurden nicht gefunden. Auch mit der Suchfunktion wurden sie nicht gefunden. Ich werde mal einfach deine Liste abarbeiten. Vielleicht ergibt sich ja was neues bei dem letzten HijackThis Scan. Gruß darkmaker |
11.11.2008, 20:55 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöscht Genau, überspung diesen Punkt erstmal, das ist besser als sich da bei Kleinigkeiten aufzuhalten.
__________________ --> TR/Crypt.XPACK.Gen wird nicht gelöscht |
12.11.2008, 01:18 | #7 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht Hallo, so habe jetzt alle punkte abgearbeitet. Habe jetzt das mit der Anzeige von Ordneroptionen behoben. Aber punkt 7. konnte ich nicht ausführen bzw. hat er keine Textdatei erzeugt, weil er immer den Pfad nicht gefunden hat. Hier die anderen Ergebnisse: 1. Virustotal.com Code:
ATTFilter Scan von jsne87fidgf.dll Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.11.11.2 2008.11.11 - AntiVir 7.9.0.31 2008.11.11 - Authentium 5.1.0.4 2008.11.11 - Avast 4.8.1248.0 2008.11.11 Win32:Lighty-D AVG 8.0.0.161 2008.11.11 Dropper.Bravix.L BitDefender 7.2 2008.11.11 - CAT-QuickHeal 9.50 2008.11.11 - ClamAV 0.94.1 2008.11.11 - DrWeb 4.44.0.09170 2008.11.11 - eSafe 7.0.17.0 2008.11.11 Suspicious File eTrust-Vet 31.6.6203 2008.11.11 - Ewido 4.0 2008.11.11 - F-Prot 4.4.4.56 2008.11.11 - F-Secure 8.0.14332.0 2008.11.11 - Fortinet 3.117.0.0 2008.11.11 - GData 19 2008.11.11 Win32:Lighty-D Ikarus T3.1.1.45.0 2008.11.11 Trojan-Clicker.Win32.Klik K7AntiVirus 7.10.522 2008.11.11 - Kaspersky 7.0.0.125 2008.11.11 - McAfee 5430 2008.11.10 - Microsoft 1.4104 2008.11.11 Trojan:Win32/Ertfor.A NOD32 3603 2008.11.11 - Norman 5.80.02 2008.11.10 W32/DLoader.KSUW Panda 9.0.0.4 2008.11.10 Suspicious file PCTools 4.4.2.0 2008.11.11 - Prevx1 V2 2008.11.11 Malware Downloader Rising 21.03.12.00 2008.11.11 - SecureWeb-Gateway 6.7.6 2008.11.11 - Sophos 4.35.0 2008.11.11 - Sunbelt 3.1.1785.2 2008.11.11 VIPRE.Suspicious Symantec 10 2008.11.11 Downloader TheHacker 6.3.1.1.147 2008.11.10 - TrendMicro 8.700.0.1004 2008.11.11 - VBA32 3.12.8.9 2008.11.10 - ViRobot 2008.11.11.1461 2008.11.11 - VirusBuster 4.5.11.0 2008.11.11 - weitere Informationen File size: 10000 bytes MD5...: 3f9d5988f88c29cf2d5713db3ee49a15 SHA1..: 57eb2568c1b4c3edec486ee5b78c2c1796c5d72f SHA256: a2193053b778394c466bfe75cfe3c994b5039a9d064335648608820bace4e424 SHA512: 8add091c37d7acff78c8be247792c9d6a25aa2774fcd50603dce2ccff6f5a4f6 176aae49e94c50ee93ffcd3131b233e7b83e41d1c105ee530fd9663530ff686d PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001008 timedatestamp.....: 0x491345a6 (Thu Nov 06 19:29:42 2008) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 0x1000 0x1000 0x200 5.78 d6ec2aa1661d472adec3f9d3b0cbe985 .data 0x2000 0x5000 0x1e00 7.45 51154c26a0c925ac23916dfa32e47244 ( 3 imports ) > KERNEL32.DLL: ContinueDebugEvent, EnumCalendarInfoExA, EnumTimeFormatsW, ExitProcess, FormatMessageW, FreeLibraryAndExitThread, GetCPInfoExA, GetConsoleTitleA, GetDriveTypeW, GetModuleHandleA, GetNumberFormatA, GetProcessAffinityMask, GetStartupInfoW, GetStringTypeExA, GetTimeFormatA, HeapCompact, Module32Next, RequestDeviceWakeup, SetConsoleCursorPosition, SetDefaultCommConfigW, SetFileAttributesW, SetLocalTime, SleepEx, TransactNamedPipe, WriteFile, lstrcpynW > USER32.DLL: CallMsgFilterA, CreateAcceleratorTableW, DdeQueryNextServer, DdeReconnect, DrawStateA, EnumPropsExW, EnumWindows, GetKeyboardLayoutNameA, GetMenuItemID, GetNextDlgTabItem, GetQueueStatus, GetSystemMetrics, IsCharAlphaA, OpenDesktopA, ReuseDDElParam, ScrollDC, SetWindowContextHelpId, SystemParametersInfoW, TileWindows, TrackPopupMenuEx, TranslateAcceleratorW, UnlockWindowStation, wsprintfA > GDI32.DLL: Chord, CreateDIBSection, EndDoc, EnumObjects, ExtFloodFill, ExtTextOutA, GdiPlayDCScript, GdiPlayJournal, GetArcDirection, GetBoundsRect, GetBrushOrgEx, GetCharABCWidthsFloatW, GetCharWidthFloatA, GetCharacterPlacementA, GetColorAdjustment, GetColorSpace, GetEnhMetaFileA, GetFontLanguageInfo, GetLogColorSpaceA, GetPaletteEntries, GetRasterizerCaps, GetRegionData, PolylineTo, ResizePalette, SetArcDirection, SetDIBColorTable, StrokePath, SwapBuffers ( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer Prevx info: http://info.prevx.com/aboutprogramtext.asp? PX5=DE9ED93B103D65EC2747009BCD8DBE003323F20E Code:
ATTFilter Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Code:
ATTFilter Habe ich als eine Datei angehängt. Link: h**p://www.file-upload.net/download-1248389/Malwarebytes.txt.html Code:
ATTFilter Habe ich als eine Datei angehängt. Link: h**p://www.file-upload.net/download-1248388/Silentrunnter.txt.html Code:
ATTFilter Habe ich als eine Datei angehängt. Link: h**p://www.file-upload.net/download-1248382/ComboFix.txt.html Code:
ATTFilter Habe ich als eine Datei angehängt. Link: h**p://www.file-upload.net/download-1248386/hijackthis.log.html Danke schon mal für die schnelle Hilfe! Gruß darkmaker |
12.11.2008, 15:38 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöscht Boah hast Du da viel Malware gehabt! Und da ist immer noch einiges! Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter DirLook:: c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4 c:\windows\system32\sX3i19 c:\windows\system32\shn c:\windows\system32\nit c:\windows\system32\ck3 Collect:: c:\windows\system32\iyucwpda.ini c:\windows\system32\yvnhtqjb.dll c:\dokume~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe Folder:: c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4 c:\temp\PRE45 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! === Wegen Filelinsting: Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt. Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.11.2008, 21:14 | #9 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht Hi, also habe das mit dem Combofix noch mal aufgeführt mit der Textdatei. Code:
ATTFilter http://www.file-upload.net/download-1252137/log.txt.html Habe mal nochmal Antivir laufen lassen. Der hat noch 45 Infektionen erkannt. habe mal auch die Log hochgeladen. Code:
ATTFilter http://www.file-upload.net/download-1252151/AVSCAN-20081113-155720-00CF1672.LOG.html Gruß darkmaker |
13.11.2008, 21:22 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöscht Sagmal, hast Du auch wirklich die Systemwiederherstellung deaktiviert? Wenn ja, dann wären da nicht so viele Funde im Ordner System Volume Information! Code:
ATTFilter C:\Programme\Serv-U\ServUAdmin.exe Code:
ATTFilter D:\Meine Sachen\Fertig\MSIntskmngr.exe_klein D:\Meine Sachen\john-16w\john-16\run\unique.exe
__________________ Logfiles bitte immer in CODE-Tags posten |
15.11.2008, 14:40 | #11 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht Hey, ne ich habe den Haken wieder weggemacht, nachdem ich es eingfügt hatte. weil es so in der Anleitung stand. Habe alle Schritte von oben noch mal ausgeführt. habe die Logs hier hochgeladen: Code:
ATTFilter http://www.file-upload.net/download-1255247/Scan.rar.html Code:
ATTFilter MSIntskmngr.exe_klein ist ein Serv-U Server den ich umbeannt habe. unique.exe ist ein altes Programm welches ich nicht mehr gebraucht habe und daher auch komplett gelöscht habe. Gruß darkmaker |
15.11.2008, 19:02 | #12 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.XPACK.Gen wird nicht gelöschtZitat:
Welche Gründe gibt es, den FTP-Server so zu benennen? (keine Angst ich wüsste einen, den will ich Dir aber jetzt mal nicht unterstellen) Code:
ATTFilter O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing) Er Stammt wohl von Malware, doch die Executable für diesen Dienst wurde wahrscheinlich schon entfernt. Code:
ATTFilter 2008-11-08 13:23 . 2008-11-11 20:49 <DIR> d-------- c:\windows\system32\sX3i19 2008-11-08 13:23 . 2008-11-08 22:56 <DIR> d-------- c:\windows\system32\shn 2008-11-08 13:23 . 2008-11-08 13:25 <DIR> d-------- c:\windows\system32\nit 2008-11-08 13:23 . 2008-11-11 20:48 <DIR> d-------- c:\windows\system32\ck3 2008-11-08 13:23 . 2008-11-08 22:55 <DIR> d-------- c:\windows\system32\BMX
__________________ Logfiles bitte immer in CODE-Tags posten |
19.11.2008, 11:20 | #13 |
| TR/Crypt.XPACK.Gen wird nicht gelöscht hallo, habe die besagten Ordner gelöscht. Die waren alle leer gewesen. Bis jetzt sind keine weiteren Fehler aufgetreten bzw. Warnungen. Vielen Dank root24. Du warst meine Rettung. Schönen Tag noch. Gruß darkmaker |
Themen zu TR/Crypt.XPACK.Gen wird nicht gelöscht |
ad-aware, antivir, antivirus, avira, bonjour, c:\windows\temp, content.ie5, entfernen, excel, fehler, google, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, logfile, pdf-datei, problem, rundll, scan, senden, software, symantec, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner-board, uleadburninghelper, windows, windows xp, windows xp sp3, windows\temp, xp sp3 |