|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen TROJANERWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.12.2008, 15:07 | #1 |
| TR/Crypt.XPACK.Gen TROJANER Hallo, mein antivirus meldet immer einen Trojaner: TR/Crypt.XPACK.Gen wenn ich auf Firefox drücke. also ins internet gehe. desweiteren kommt die meldung öfters während der pc an ist. habe den CCleaner durchlaufen lassen, und malwarebytes.. findet zwar infizierte objekte aber anscheinend nicht den trojaner. beim virenscan mit antivir findet er auch nichts. wie bekomme ich den trojaner wieder weg? hier die logfile von hijackthis (kenne mich damit leider nicht so aus): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:02:35, on 25.12.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\SSS\SimpleScreenshot.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http*://go*.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http*://ww*w.yodl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http*://go*.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http*://go.*microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:*//go.*microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:*//go.*microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O4 - Startup: AutorunsDisabled O4 - Global Startup: AutorunsDisabled O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 7147 bytes |
25.12.2008, 18:24 | #2 |
| TR/Crypt.XPACK.Gen TROJANER Hallo und
__________________1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software): Code:
ATTFilter Windows Defender Uniblue SpyEraser HTML-Code: [code] Hier das Logfile rein! [/code] 3.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 4.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! Frohe Weihnachten, andreas |
25.12.2008, 19:49 | #3 |
| TR/Crypt.XPACK.Gen TROJANER hier die blacklight logfile
__________________Code:
ATTFilter 12/25/08 19:33:39 [Info]: BlackLight Engine 2.2.1092 initialized 12/25/08 19:33:39 [Info]: OS: 6.0 build 6001 (Service Pack 1) 12/25/08 19:33:39 [Note]: 7019 4 12/25/08 19:33:39 [Note]: 7005 0 12/25/08 19:35:52 [Note]: 7006 0 12/25/08 19:35:52 [Note]: 7027 0 12/25/08 19:35:52 [Note]: 7035 0 12/25/08 19:35:52 [Note]: 7026 0 12/25/08 19:35:53 [Note]: 7026 0 12/25/08 19:35:54 [Note]: FSRAW library version 1.7.1024 12/25/08 19:40:07 [Note]: 7007 0 |
25.12.2008, 20:15 | #4 | |
| TR/Crypt.XPACK.Gen TROJANERZitat:
ComboFix Logfile Code:
ATTFilter ComboFix 08-12-24.01 - Schnucki666 2008-12-25 19:56:27.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2047.1154 [GMT 1:00] ausgeführt von:: c:\users\Schnucki666\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\windows\system32\drivers\msqpdxmbcbcrrx.sys c:\windows\system32\msqpdxwqsctmei.dll D:\Autorun.inf D:\resycled d:\resycled\boot.com . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_MSQPDXSERV.SYS -------\Legacy_ISODRIVE -------\Service_ISODrive ((((((((((((((((((((((( Dateien erstellt von 2008-11-25 bis 2008-12-25 )))))))))))))))))))))))))))))) . 2008-12-25 15:02 . 2008-12-25 15:02 <DIR> d-------- c:\program files\Trend Micro 2008-12-25 14:33 . 2008-12-25 14:33 <DIR> d-------- c:\program files\CCleaner 2008-12-24 07:23 . 2008-12-24 07:23 41,984 --a------ c:\windows\System32\msqpdxwqsctmei.VIR 2008-12-20 11:51 . 2008-12-20 11:51 <DIR> d-------- c:\users\Schnucki666\AppData\Roaming\Malwarebytes 2008-12-20 11:51 . 2008-12-03 19:52 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2008-12-20 11:50 . 2008-12-20 11:50 <DIR> d-------- c:\users\All Users\Malwarebytes 2008-12-20 11:50 . 2008-12-20 11:50 <DIR> d-------- c:\programdata\Malwarebytes 2008-12-20 11:50 . 2008-12-20 11:51 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-12-20 11:50 . 2008-12-03 19:52 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2008-12-18 19:37 . 2008-12-18 21:45 <DIR> d-------- c:\program files\DiskInternals 2008-12-09 19:31 . 2008-10-22 02:22 2,048 --a------ c:\windows\System32\tzres.dll 2008-12-09 19:18 . 2008-11-01 02:21 4,240,384 --a------ c:\windows\System32\GameUXLegacyGDFs.dll 2008-12-09 19:18 . 2008-11-01 04:44 28,672 --a------ c:\windows\System32\Apphlpdm.dll 2008-12-09 19:17 . 2008-10-21 06:25 296,960 --a------ c:\windows\System32\gdi32.dll 2008-12-09 19:09 . 2008-10-29 07:29 2,927,104 --a------ c:\windows\explorer.exe 2008-12-09 19:09 . 2008-10-16 05:47 827,392 --a------ c:\windows\System32\wininet.dll 2008-12-09 19:08 . 2008-06-23 02:59 2,868,736 --a------ c:\windows\System32\mf.dll 2008-12-09 19:08 . 2008-06-23 02:59 996,352 --a------ c:\windows\System32\WMNetMgr.dll 2008-12-09 19:08 . 2008-06-23 02:58 94,720 --a------ c:\windows\System32\logagent.exe 2008-12-06 19:31 . 2008-12-06 19:31 <DIR> d--h----- C:\BJPrinter 2008-11-26 10:12 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll 2008-11-26 10:12 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll 2008-11-26 10:11 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll 2008-11-26 10:11 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll 2008-11-26 10:11 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-25 18:18 --------- d---a-w c:\programdata\TEMP 2008-12-20 20:25 --------- d-----w c:\users\Schnucki666\AppData\Roaming\Desktopicon 2008-12-19 17:26 --------- d-----w c:\users\Schnucki666\AppData\Roaming\ICQ 2008-12-18 20:42 --------- d-----w c:\program files\Ulead Systems 2008-12-18 20:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-18 20:39 --------- d-----w c:\program files\CyberLink 2008-12-09 21:46 --------- d-----w c:\program files\Windows Mail 2008-12-01 16:19 --------- d-----w c:\program files\Google 2008-11-24 07:19 --------- d-----w c:\program files\Mozilla Thunderbird 2008-11-21 16:51 --------- d-----w c:\users\Schnucki666\AppData\Roaming\Winamp 2008-11-21 13:30 --------- d-----w c:\program files\Winamp 2008-11-20 20:34 --------- d-----w c:\program files\DivX 2008-11-14 16:03 --------- d-----w c:\programdata\CyberLink 2008-11-14 16:02 --------- d-----w c:\users\Schnucki666\AppData\Roaming\CyberLink 2008-11-06 20:53 --------- d-----w c:\program files\Common Files\NEC 2008-11-06 19:19 --------- d-----w c:\program files\Microtek 2008-11-06 19:19 --------- d-----w c:\program files\Common Files\InstallShield 2008-11-01 03:44 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll 2008-11-01 03:44 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll 2008-11-01 03:44 460,288 ----a-w c:\windows\AppPatch\AcSpecfc.dll 2008-11-01 03:44 2,154,496 ----a-w c:\windows\AppPatch\AcGenral.dll 2008-11-01 03:44 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll 2008-10-26 01:25 --------- d-----w c:\programdata\FLEXnet 2008-07-20 09:10 174 --sha-w c:\program files\desktop.ini . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Uniblue RegistryBooster 2"="c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe" [2008-05-16 99608] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "Uniblue SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe" [2008-04-02 156952] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SimpleScreenshot"="c:\progra~1\SSS\SIMPLESCREENSHOT.EXE" [2005-04-14 962048] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-07-03 185896] "WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352] "Skytel"="Skytel.exe" [2007-06-15 c:\windows\SkyTel.exe] "RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 c:\windows\RtHDVCpl.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled Ulead Photo Express SE Calendar Checker.lnk - c:\program files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2008-11-26 61440] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "TCP Query User{A46170E2-2F89-407F-AB03-0D5D53474D7B}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library "UDP Query User{4930B03D-7E2A-4D46-A031-E5B4EF8E3C9F}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library "{A186FDDF-0919-4DE8-9718-9BBB2C6B3AB6}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{4000FD89-6360-4C21-863F-31B3853FDF67}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{6990DE47-37A3-4317-96BB-74E50986AC9F}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{B8AC82A3-F25C-4E0D-BF87-E93F80606DFB}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour R2 Vcs;Vcs support;\??\c:\windows\system32\Drivers\Vcs.sys [2008-09-08 6852] S2 gupdate1c91c9a3b4bc042;Google Update Service (gupdate1c91c9a3b4bc042);"c:\program files\Google\Update\GoogleUpdate.exe" /svc [2008-09-22 133104] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e80dbf5-47a1-11dd-a5f2-806e6f6e6963}] \shell\AutoRun\command - F:\start.exe . Inhalt des "geplante Tasks" Ordners 2008-12-25 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\program files\Google\Update\GoogleUpdate.exe [2008-09-22 11:01] 2008-07-28 c:\windows\Tasks\Uniblue SpyEraser.job - c:\program files\Uniblue\SpyEraser\SpyEraser.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-NWEReboot - (no file) ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-25 20:01:38 Windows 6.0.6001 Service Pack 1 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... ************************************************************************** . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\Ati2evxx.exe c:\windows\System32\audiodg.exe c:\windows\System32\Ati2evxx.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\windows\System32\agrsmsvc.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\System32\conime.exe c:\combofix\hidec.exe c:\program files\SSS\SimpleScreenshot.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe c:\windows\servicing\TrustedInstaller.exe c:\combofix\Catchme.tmp . ************************************************************************** . Zeit der Fertigstellung: 2008-12-25 20:10:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-12-25 19:08:38 Vor Suchlauf: 9,482,903,552 Bytes frei Nach Suchlauf: 9,296,572,416 Bytes frei 150 --- E O F --- 2008-12-23 18:39:32 hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:20:27, on 25.12.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Program Files\SSS\SimpleScreenshot.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Windows\Explorer.exe C:\Users\Schnucki666\Downloads\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.yodl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*p://go.*microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go*.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*p://go*.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.*microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user') O4 - Startup: AutorunsDisabled O4 - Global Startup: AutorunsDisabled O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O13 - Gopher Prefix: O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 5814 bytes habe jetzt alles gemacht, bei dem ComboFix kam noch eine meldung nach dem der pc neugestartet ist, dass das programm nicht mehr reagieren würde und geschlossen werden muss. stand dann halt der button programm schließen. bin ich auch drauf gegangen. ist aber nichts passiert der hat das ganz normal beendet. nicht sofort geschlossen. is domains are in this file, hijackthis may NOT be able to fix this. if that happens, you need to edit the file yourself. to do thi, click start, run and type. notepad C:\windows\system32\drivers\etc\hosts and press enter. find the line(s) hijackthis reports and delete them. save the file as 'hosts.' (with quotes), and reboot. for vista: simply exit hijackthis, right click on the HijackThis icon, choose run as administrator. naja dann ok drücken und der scant es. aber wenn ich rechts klicke auf die datei steht da garnich mehr mit adminstrator durchführen. wenn ich jetzt auf den firefox klicke, ist der virus weg. also kommt keine meldung mehr. desweiteren hab ich jetzt noch ne frage, und zwar glaube ich seit dem das mit dem virus war, hat sich mein ordner "bilder" in pictures umbenennt... hat das was damit zu tun? halt auf englisch gestellt aber steht noch alles auf deutsch. nur der eine ordner nicht. Geändert von funeral (25.12.2008 um 20:36 Uhr) |
25.12.2008, 20:35 | #5 | |
| TR/Crypt.XPACK.Gen TROJANER ComboFix hat einiges gefunden. Du hast mehr als nur ein Problem. Desinfizierung/Absicherung externer Medien: Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab. Gehe nun wie folgt vor:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist. Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal. Edit zu deinem Edit: Öffne die Datei C:\windows\system32\drivers\etc\hosts mit notepad und poste sie hier. Zitat:
Räumen wir auf: Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK Alle Programme, die wir benutzt haben können deinstalliert/gelöscht werden. Empfehlen würde ich die Deinstallation von Google- und Uniblue-Gelumpe. Starte HJT => Do a system scan only => Markiere: Code:
ATTFilter O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) ciao, andreas Geändert von john.doe (25.12.2008 um 20:56 Uhr) |
25.12.2008, 21:21 | #6 |
| TR/Crypt.XPACK.Gen TROJANER so habe jetzt alles gemacht. und die programme deinstalliert. in dieser host datei stand: 127.0.0.1 localhost hast du jetzt irgendeine empfehlung wie ich den pc auf stand halten kann, also das sowas nicht noch mal passiert. reicht da antivir? und vielen dank schon mal |
25.12.2008, 21:31 | #7 | |
| TR/Crypt.XPACK.Gen TROJANERZitat:
Auch wenn es niemand hören möchte, du musst dein Verhalten ändern. Programme können dich nicht vor dir selbst beschützen. Hier ist der perfekte Schutz beschrieben: Homepage von Malte J. Wetz ciao, andreas |
25.12.2008, 21:34 | #8 |
| TR/Crypt.XPACK.Gen TROJANER ja alles klar, vielen dank hast mir echt geholfen |
Themen zu TR/Crypt.XPACK.Gen TROJANER |
adobe, agere systems, antivirus, avg, avira, bho, bonjour, computer, defender, excel, firefox, google, google update, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, picasa, rundll, scan, software, speedupmypc, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojane, trojaner, vista, wieder weg, windows, windows defender, windows sidebar |