Trojaner TR/Crypt.xpack.gen entfernen?

john.doe · 16.12.2008, 17:01

Ja, viel besser.

Um sicher zu sein, brauche ich aber immer noch das Log vom Punkt 7 der Liste.

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O20 - AppInit_DLLs:

=> Fix checked

Fangen wir mit Aufräumen an:
Start => Ausführen => combofix /u => OK

Du solltest dir SP3 installieren: Windows XP Service Pack 3

Das aktuelle Java gibt es hier: Download der Java-Software von Sun Microsystems

kleio · 16.12.2008, 17:10

Probier punkt 7 schon die ganze zeit aus. er speichert es mir immer als txt datei und nicht mehr als cmd.

john.doe · 16.12.2008, 17:14

Genau diese txt brauche ich, nicht die cmd.

kleio · 16.12.2008, 17:20

Hier das neue combofix:

Code:

ATTFilter

 
ComboFix 08-12-15.08 - corinna 2008-12-16 17:16:17.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2047.1491 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\corinna\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-11-16 bis 2008-12-16  ))))))))))))))))))))))))))))))
.

2008-12-16 10:39 . 2008-12-16 10:39	<DIR>	d--------	c:\programme\CCleaner
2008-12-16 10:31 . 2008-12-16 10:31	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-16 10:31 . 2008-12-16 10:31	<DIR>	d--------	c:\dokumente und einstellungen\corinna\Anwendungsdaten\Malwarebytes
2008-12-16 10:31 . 2008-12-16 10:31	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-16 10:31 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 10:31 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-12 09:14 . 2008-12-12 09:14	2,154	---hs----	c:\windows\system32\wahewuvu.exe
2008-12-11 15:50 . 2008-03-21 13:57	14,640	---------	c:\windows\system32\spmsgXP_2k3.dll
2008-12-11 15:50 . 2008-12-11 15:50	0	--ah-----	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2008-12-11 15:50 . 2008-12-11 15:50	0	--ah-----	c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2008-12-11 15:26 . 2008-12-11 15:26	1,107,296	--a------	c:\windows\system32\WdfCoInstaller01007.dll
2008-12-11 15:26 . 2008-12-11 15:26	22,368	--a------	c:\windows\system32\drivers\ggsemc.sys
2008-12-11 15:26 . 2008-12-11 15:26	10,976	--a------	c:\windows\system32\drivers\ggflt.sys
2008-12-11 15:25 . 2008-12-11 15:25	<DIR>	d--------	c:\programme\Sony Ericsson
2008-12-11 11:42 . 2008-12-16 10:10	<DIR>	d--------	c:\programme\NOS
2008-12-11 11:42 . 2008-12-16 10:10	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-29 11:36 . 2004-08-04 00:57	159,232	--a------	c:\windows\system32\ptpusd.dll
2008-11-29 11:36 . 2001-08-18 04:54	5,632	--a------	c:\windows\system32\ptpusb.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 16:13	---------	d-----w	c:\dokumente und einstellungen\corinna\Anwendungsdaten\Skype
2008-12-16 15:04	---------	d-----w	c:\dokumente und einstellungen\corinna\Anwendungsdaten\skypePM
2008-12-16 15:03	---------	d-----w	c:\programme\Mozilla Thunderbird
2008-12-16 14:13	---------	d-----w	c:\dokumente und einstellungen\corinna\Anwendungsdaten\OpenOffice.org2
2008-12-16 09:11	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-12-10 09:17	---------	d-----w	c:\dokumente und einstellungen\corinna\Anwendungsdaten\dvdcss
2008-11-28 18:17	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-11-17 20:44	---------	d-----w	c:\dokumente und einstellungen\corinna\Anwendungsdaten\LimeWire
2008-11-15 12:54	---------	d-----w	c:\programme\LimeWire
2008-11-15 12:51	---------	d-----w	c:\programme\iStar
2008-10-24 15:17	---------	d-----w	c:\programme\DivX
2008-09-19 21:55	200,704	----a-w	c:\windows\system32\ssldivx.dll
2008-09-19 21:55	1,044,480	----a-w	c:\windows\system32\libdivx.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-06-03 21718312]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-17 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-06 7585792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-06 86016]
"SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-30 544768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-08-23 110592]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 266497]
"SpeedTouch USB Diagnostics"="c:\programme\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-09-06 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\corinna\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\Drivers\SynMini.sys [2008-07-22 1116544]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\Drivers\SynScan.sys [2008-07-22 7808]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-12-11 10976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def23b6e-5965-11dd-bd08-0090d0d14dc5}]
\Shell\AutoRun\command - G:\OnSpcLCK.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: {39BC355A-F7DD-4E56-BF28-DCC3EAD1DB13} = 10.0.0.2,10.0.0.11

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\corinna\Anwendungsdaten\Mozilla\Firefox\Profiles\651ail94.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 17:17:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 17:18:18
ComboFix-quarantined-files.txt  2008-12-16 16:17:59
ComboFix2.txt  2008-12-16 14:41:39

Vor Suchlauf: 8 Verzeichnis(se), 11.108.253.696 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11,097,423,872 Bytes frei

131

script kommt sofort.

kleio · 16.12.2008, 17:21

Code:

ATTFilter

del /f "%temp%"\listing.txt
echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOU ---" >> %temp%\listing.txt
cd %userprofile%
cd..
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt

kleio · 16.12.2008, 17:25

Java und Service Pack sind runtergeladen und werden installiert.

Ich lass auch noch einmal antivir durchlaufen. Hoffentlich piepts nicht wieder.
*G*

john.doe · 16.12.2008, 17:27

Lies noch einmal ganz genau.

Zitat:

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

kleio · 16.12.2008, 17:32

Fallst du das rechtsklick und auf desktop speichern meinst, das hab ich damit vorher gemeint. Er speichert es mir gleich als txt auf den desktop und nich als cmd.

john.doe · 16.12.2008, 17:34

Kann ich zwar nicht nachvollziehen

, aber ändere den Namen von .txt auf .cmd

kleio · 16.12.2008, 17:39

http://www.file-upload.net/download-1320049/listing8.cmd.txt.html

john.doe · 16.12.2008, 17:43

Lösche alle Listings vom Desktop und lade die Datei noch einmal herunter. Sollte die wieder hinten .txt haben, dann ändere den Namen und hänge .cmd an. Dort dann ein Doppelklick drauf.

kleio · 16.12.2008, 17:55

HAb ich gemacht.

befürchte, dass es trotzdem nicht funktioniert hat.

http://www.file-upload.net/download-1320085/listing8cmd.cmd.txt.html

meine schritte:

rechtsklick auf link. - Ziel speichern unter
(er schreibt bei dateityp gleich textdatei hin)

Wenn ich auf "alle dateitypen" umstelle wird es trotzdem gleich ein txt file.

john.doe · 16.12.2008, 17:59

Starte Notepad und kopiere diesen Text nach Notepad:

Code:

ATTFilter

ren listing8cmd.cmd.txt listibisti.cmd

Speichern unter => Ort: Desktop => Dateityp: Alle Dateien => Dateiname: Machmal.bat => Doppelklick auf Machmal.bat => Doppelklick auf listibisti.cmd

kleio · 16.12.2008, 18:14

YEY! funktioniert

http://www.file-upload.net/download-1320147/listing.txt.html

john.doe · 16.12.2008, 18:24

:aplaus:

Lass mal Avira mit diesen Einstellungen laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Trojaner TR/Crypt.xpack.gen entfernen?

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Crypt.xpack.gen entfernen?