Hallo liebe Trojaner-Board Community,

ich habe seit gestern das Problem das Antivir herummeckert wegen dem Trojaner: TR/Crypt.XPACK.Gen

Die Dateien die erstellt werden sind 2 .exe Dateien mit als Bezeichnung Nummern haben.

Beide .exe Dateien entstehen in dem Ordner "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp"

Manchmal entstehen sie auch in dem Ordner "C:\WINDOWS\Temp"

Dann zeigt er mit noch mal den Trojaner bei einer .htm Datei an die sich im C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5" befindet. Sie heißt meistens "cd[1].htm.

Wenn ich Sie lösche sind die nicht mehr da. Aber nach einer weilen kommt die Meldung wieder. Habe schon mit Antivir einen Komplettscan und auch mit Lavasoft Ad-Aware einen Vollständigen Scann gemacht. Alle Dateien die angezeigt wurden haben ich gelöscht. Die waren sicher nicht von Windows, alleine schon wegen der Bezeichnung. Aber dieser Fehler ist halt immer noch da.

Ich habe mal mit HijackThis ein Log erstellt:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:39, on 09.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\RealVNC_2\VNC4\WinVNC4.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [bc208394] rundll32.exe "C:\WINDOWS\system32\vldijtcr.dll",b
O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)
O15 - Trusted Zone: h**p://asia.msi.com.tw
O15 - Trusted Zone: h**p://global.msi.com.tw
O15 - Trusted Zone: h**p://www.msi.com.tw
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C562178-A2A2-4960-BF74-CB1D5565262D}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: karna.dat cpzigj.dll pxwlae.dll
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NNServ - Unknown owner - C:\Programme\NewDotNet\nnrun.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC_2\VNC4\WinVNC4.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12856 bytes
         

Hoffe dafür gibt es ein Programm, mit dem man das entfernen kann. Danke schon mal an euch!

mfG darkmaker

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\vldijtcr.dll
C:\WINDOWS\system32\jsne87fidgf.dll
C:\WINDOWS\system32\inetsrv.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe
         

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Hi,

also ich kann das erste nicht machen mit den Alle dateien anzeigen lassen, da mir der Eintrag fehlt Ordneroptionen.

Daher habe ich auch nur die eine Datei gefunden: C:\WINDOWS\system32\jsne87fidgf.dll

Wie kann ich es noch hinkriegen, dass mir das Menü gezeigt wird wo ich die Ordneroptionen sehen kann. Unter Systemsteuerung ist es nicht vorhanden. Und wenn ich es unter der Registry einstellen will wie ich es hier gelesen habe:

http://www.pcwelt.de/forum/windows-xp-server-2003/307290-ordneroptionen-lassen-anzeigen-2.html

sagt er mir immer:

Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert.

Aber ich habe das nie gemacht bzw. wie aktiviere ich das wieder?

Ich weiß nicht ob ich die weiteren schritte machen kann, da die versteckten Dateien ja nicht angezeigt werden und die ja auch mitgescannt werden müssen.

Danke

mfG darkmaker

Das ist eine reine Ansichtsoption. Die versteckten Dateien werden sonst immer berücksichtigt.

Kopiere am besten den kompletten Pfad zu den Dateien bei Virustotal direkt rein, oder die Datei auszuwählen, einfach via copy and paste.

also die restlichen Dateien sind auch nicht mehr da. Also habe den kopletten Pfad eingetragen aber die Dateien wurden nicht gefunden. Auch mit der Suchfunktion wurden sie nicht gefunden. Ich werde mal einfach deine Liste abarbeiten. Vielleicht ergibt sich ja was neues bei dem letzten HijackThis Scan.

Gruß darkmaker

Genau, überspung diesen Punkt erstmal, das ist besser als sich da bei Kleinigkeiten aufzuhalten.

Hallo,

so habe jetzt alle punkte abgearbeitet. Habe jetzt das mit der Anzeige von Ordneroptionen behoben. Aber punkt 7. konnte ich nicht ausführen bzw. hat er keine Textdatei erzeugt, weil er immer den Pfad nicht gefunden hat.

Hier die anderen Ergebnisse:

1. Virustotal.com

Code: Alles auswählenAufklappen

ATTFilter

Scan von jsne87fidgf.dll

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.11.11.2	2008.11.11	-
AntiVir	7.9.0.31	2008.11.11	-
Authentium	5.1.0.4	2008.11.11	-
Avast	4.8.1248.0	2008.11.11	Win32:Lighty-D
AVG	8.0.0.161	2008.11.11	Dropper.Bravix.L
BitDefender	7.2	2008.11.11	-
CAT-QuickHeal	9.50	2008.11.11	-
ClamAV	0.94.1	2008.11.11	-
DrWeb	4.44.0.09170	2008.11.11	-
eSafe	7.0.17.0	2008.11.11	Suspicious File
eTrust-Vet	31.6.6203	2008.11.11	-
Ewido	4.0	2008.11.11	-
F-Prot	4.4.4.56	2008.11.11	-
F-Secure	8.0.14332.0	2008.11.11	-
Fortinet	3.117.0.0	2008.11.11	-
GData	19	2008.11.11	Win32:Lighty-D
Ikarus	T3.1.1.45.0	2008.11.11	Trojan-Clicker.Win32.Klik
K7AntiVirus	7.10.522	2008.11.11	-
Kaspersky	7.0.0.125	2008.11.11	-
McAfee	5430	2008.11.10	-
Microsoft	1.4104	2008.11.11	Trojan:Win32/Ertfor.A
NOD32	3603	2008.11.11	-
Norman	5.80.02	2008.11.10	W32/DLoader.KSUW
Panda	9.0.0.4	2008.11.10	Suspicious file
PCTools	4.4.2.0	2008.11.11	-
Prevx1	V2	2008.11.11	Malware Downloader
Rising	21.03.12.00	2008.11.11	-
SecureWeb-Gateway	6.7.6	2008.11.11	-
Sophos	4.35.0	2008.11.11	-
Sunbelt	3.1.1785.2	2008.11.11	VIPRE.Suspicious
Symantec	10	2008.11.11	Downloader
TheHacker	6.3.1.1.147	2008.11.10	-
TrendMicro	8.700.0.1004	2008.11.11	-
VBA32	3.12.8.9	2008.11.10	-
ViRobot	2008.11.11.1461	2008.11.11	-
VirusBuster	4.5.11.0	2008.11.11	-
weitere Informationen
File size: 10000 bytes
MD5...: 3f9d5988f88c29cf2d5713db3ee49a15
SHA1..: 57eb2568c1b4c3edec486ee5b78c2c1796c5d72f
SHA256: a2193053b778394c466bfe75cfe3c994b5039a9d064335648608820bace4e424
SHA512: 8add091c37d7acff78c8be247792c9d6a25aa2774fcd50603dce2ccff6f5a4f6
176aae49e94c50ee93ffcd3131b233e7b83e41d1c105ee530fd9663530ff686d
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001008
timedatestamp.....: 0x491345a6 (Thu Nov 06 19:29:42 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
0x1000 0x1000 0x200 5.78 d6ec2aa1661d472adec3f9d3b0cbe985
.data 0x2000 0x5000 0x1e00 7.45 51154c26a0c925ac23916dfa32e47244

( 3 imports )
> KERNEL32.DLL: ContinueDebugEvent, EnumCalendarInfoExA, EnumTimeFormatsW, ExitProcess, 

FormatMessageW, FreeLibraryAndExitThread, GetCPInfoExA, GetConsoleTitleA, GetDriveTypeW, 

GetModuleHandleA, GetNumberFormatA, GetProcessAffinityMask, GetStartupInfoW, GetStringTypeExA, 

GetTimeFormatA, HeapCompact, Module32Next, RequestDeviceWakeup, SetConsoleCursorPosition, 

SetDefaultCommConfigW, SetFileAttributesW, SetLocalTime, SleepEx, TransactNamedPipe, 

WriteFile, lstrcpynW
> USER32.DLL: CallMsgFilterA, CreateAcceleratorTableW, DdeQueryNextServer, DdeReconnect, 

DrawStateA, EnumPropsExW, EnumWindows, GetKeyboardLayoutNameA, GetMenuItemID, 

GetNextDlgTabItem, GetQueueStatus, GetSystemMetrics, IsCharAlphaA, OpenDesktopA, 

ReuseDDElParam, ScrollDC, SetWindowContextHelpId, SystemParametersInfoW, TileWindows, 

TrackPopupMenuEx, TranslateAcceleratorW, UnlockWindowStation, wsprintfA
> GDI32.DLL: Chord, CreateDIBSection, EndDoc, EnumObjects, ExtFloodFill, ExtTextOutA, 

GdiPlayDCScript, GdiPlayJournal, GetArcDirection, GetBoundsRect, GetBrushOrgEx, 

GetCharABCWidthsFloatW, GetCharWidthFloatA, GetCharacterPlacementA, GetColorAdjustment, 

GetColorSpace, GetEnhMetaFileA, GetFontLanguageInfo, GetLogColorSpaceA, GetPaletteEntries, 

GetRasterizerCaps, GetRegionData, PolylineTo, ResizePalette, SetArcDirection, 

SetDIBColorTable, StrokePath, SwapBuffers

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?

PX5=DE9ED93B103D65EC2747009BCD8DBE003323F20E
         

3. MBR-Tool

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

4. Malwarebytes

Code: Alles auswählenAufklappen

ATTFilter

Habe ich als eine Datei angehängt.
Link: h**p://www.file-upload.net/download-1248389/Malwarebytes.txt.html
         

5. Silent Runner

Code: Alles auswählenAufklappen

ATTFilter

Habe ich als eine Datei angehängt.
Link: h**p://www.file-upload.net/download-1248388/Silentrunnter.txt.html
         

6. Combofix

Code: Alles auswählenAufklappen

ATTFilter

Habe ich als eine Datei angehängt.
Link: h**p://www.file-upload.net/download-1248382/ComboFix.txt.html
         

8. Hijackthis

Code: Alles auswählenAufklappen

ATTFilter

Habe ich als eine Datei angehängt.
Link: h**p://www.file-upload.net/download-1248386/hijackthis.log.html
         

Ist der Virus jetzt weg? Oder muss noch was gemacht werden?

Danke schon mal für die schnelle Hilfe!

Gruß darkmaker

Boah hast Du da viel Malware gehabt! Und da ist immer noch einiges!

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

DirLook::
c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4
c:\windows\system32\sX3i19
c:\windows\system32\shn
c:\windows\system32\nit
c:\windows\system32\ck3

Collect::
c:\windows\system32\iyucwpda.ini
c:\windows\system32\yvnhtqjb.dll
c:\dokume~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe

Folder::
c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4
c:\temp\PRE45
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

===

Wegen Filelinsting: Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben



Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Hi,

also habe das mit dem Combofix noch mal aufgeführt mit der Textdatei.

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-1252137/log.txt.html
         

Aber das mit dem Filelisting hat mit dienem Script immer noch nicht geklappt. Es hat die Endung .cmd und wird auch als das Symbol angezeigt die du oben hast. Aber wenn ich es ausführe dann öffnet sich die MS-Dos Eingabeaufforderung und schließt sich sofort wieder. wenn ich MS-Dos manual starte und dann die Datei auführe dann sehe ich die befehle und dann steht da immer das er den Pfad nicht gefunden hat.

Habe mal nochmal Antivir laufen lassen. Der hat noch 45 Infektionen erkannt. habe mal auch die Log hochgeladen.

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-1252151/AVSCAN-20081113-155720-00CF1672.LOG.html
         

Danke schon mal für deine Hilfe.

Gruß darkmaker

Sagmal, hast Du auch wirklich die Systemwiederherstellung deaktiviert? Wenn ja, dann wären da nicht so viele Funde im Ordner System Volume Information!

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Serv-U\ServUAdmin.exe
         

Hast Du dir diesen FTP-Server installiert?

Code: Alles auswählenAufklappen

ATTFilter

D:\Meine Sachen\Fertig\MSIntskmngr.exe_klein
D:\Meine Sachen\john-16w\john-16\run\unique.exe
         

Und was sind das für Dinger? Vor allen in diesen Verzeichnissen ist AntiVir fündig geworden!

Hey,

ne ich habe den Haken wieder weggemacht, nachdem ich es eingfügt hatte. weil es so in der Anleitung stand. Habe alle Schritte von oben noch mal ausgeführt. habe die Logs hier hochgeladen:

Code: Alles auswählenAufklappen

ATTFilter

http://www.file-upload.net/download-1255247/Scan.rar.html
         

Das Programm Serv-U habe ich deinstalliert. Und auch ander Software die ich nicht brauchte gelöscht.

Code: Alles auswählenAufklappen

ATTFilter

MSIntskmngr.exe_klein ist ein Serv-U Server den ich umbeannt habe.
unique.exe ist ein altes Programm welches ich nicht mehr gebraucht habe und daher auch komplett gelöscht habe.
         

Ist immer noch malware drauf? Danke

Gruß darkmaker

Zitat:

MSIntskmngr.exe_klein ist ein Serv-U Server den ich umbeannt habe.

Was soll ich davon halten?
Welche Gründe gibt es, den FTP-Server so zu benennen? (keine Angst ich wüsste einen, den will ich Dir aber jetzt mal nicht unterstellen)

Code: Alles auswählenAufklappen

ATTFilter

O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing)
         

Diesen verkrüppelten Dienst entfernen über die Konsole mit dem Befehl sc delete GXMF

Er Stammt wohl von Malware, doch die Executable für diesen Dienst wurde wahrscheinlich schon entfernt.

Code: Alles auswählenAufklappen

ATTFilter

2008-11-08 13:23 . 2008-11-11 20:49	<DIR>	d--------	c:\windows\system32\sX3i19
2008-11-08 13:23 . 2008-11-08 22:56	<DIR>	d--------	c:\windows\system32\shn
2008-11-08 13:23 . 2008-11-08 13:25	<DIR>	d--------	c:\windows\system32\nit
2008-11-08 13:23 . 2008-11-11 20:48	<DIR>	d--------	c:\windows\system32\ck3
2008-11-08 13:23 . 2008-11-08 22:55	<DIR>	d--------	c:\windows\system32\BMX
         

Diese Ordner sehen komisch aus => Am besten löschen. Die sollten auch leer sein.

hallo,

habe die besagten Ordner gelöscht. Die waren alle leer gewesen. Bis jetzt sind keine weiteren Fehler aufgetreten bzw. Warnungen. Vielen Dank root24. Du warst meine Rettung.

Schönen Tag noch.

Gruß darkmaker