| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.02.2009, 15:52
| #1 |
 |  TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Hallo, ich habe seit Tagen Probleme mit den obengenanten Trojanern, Antivir schlägt regelmäßig an und findet sie immer wieder. Sie lassen sich scheinbar nicht löschen!?! Meine Taskleiste wird von Zeit zu Zeit einfach grau (wie Win 95) und mein Audio gerät wird dann nicht mehr erkannt. Ich habe schon einige Forenbeiträge zum Thema durchgelesen, aber es war immer ein logfile zur Lösung des Problems nötig. Deshalb hier einmal meiner, würde mich sehr freuen und ich wäre sehr dankbar wenn sich eine Formatierung vermeiden liese! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:48:07, on 23.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 6624 bytes Schon mal vielen Dank im Voraus!!! |
|
23.02.2009, 15:55
| #2 |
  | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Nur mal auf die Schnelle:
__________________Lade die Gmer (http://gmer.net), mach einen Scann und berichte ob ein Rootkit gefunden wird. Marc
__________________ |
|
23.02.2009, 16:56
| #3 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! So haben GMER scannen lassen und es wurden rootkit aktivitäten gefunden:
__________________Hier der GMER logf: GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-23 16:53:57 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xBA91887E] SSDT A2F30E14 ZwCreateThread SSDT spxy.sys ZwEnumerateKey [0xBA6C8CA2] SSDT spxy.sys ZwEnumerateValueKey [0xBA6C9030] SSDT spxy.sys ZwOpenKey [0xBA6AB0C0] SSDT A2F30E00 ZwOpenProcess SSDT A2F30E05 ZwOpenThread SSDT spxy.sys ZwQueryKey [0xBA6C9108] SSDT spxy.sys ZwQueryValueKey [0xBA6C8F88] SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xBA918C10] SSDT A2F30E0F ZwTerminateProcess SSDT A2F30E0A ZwWriteVirtualMemory INT 0x62 ? 89E51BF8 INT 0x73 ? 8924DBF8 INT 0x83 ? 8924DBF8 INT 0x84 ? 8924DBF8 INT 0xA4 ? 89DE0BF8 ---- Kernel code sections - GMER 1.0.14 ---- ? spxy.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B892D62C 5 Bytes JMP 8924D1D8 .text aeoxv20p.SYS B8828384 1 Byte [ 20 ] .text aeoxv20p.SYS B8828386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ] .text aeoxv20p.SYS B88283AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ] .text aeoxv20p.SYS B88283C4 3 Bytes [ 00, 00, 00 ] .text aeoxv20p.SYS B88283C9 1 Byte [ 00 ] .text ... ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spxy.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spxy.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spxy.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spxy.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spxy.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6BBD92] spxy.sys IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfRaiseIrql] 1879CE14 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfLowerIrql] 3248ED2B IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalGetInterruptVector] 3C43E022 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_USHORT] F017AD88 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081 IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5 ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 89DDF1F8 Device \Driver\usbuhci \Device\USBPDO-0 8930B1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{810B722D-8A73-405F-80CB-CB6FBB7A3FD9} 8906A500 Device \Driver\usbuhci \Device\USBPDO-1 8930B1F8 Device \Driver\usbuhci \Device\USBPDO-2 8930B1F8 Device \Driver\sptd \Device\525851568 spxy.sys Device \Driver\usbuhci \Device\USBPDO-3 8930B1F8 Device \Driver\usbehci \Device\USBPDO-4 892F41F8 AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Ftdisk \Device\HarddiskVolume1 89DE11F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 89DE11F8 Device \Driver\Cdrom \Device\CdRom0 8922C1F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89E511F8 Device \Driver\atapi \Device\Ide\IdePort0 89E511F8 Device \Driver\Cdrom \Device\CdRom1 8922C1F8 Device \Driver\Cdrom \Device\CdRom2 8922C1F8 Device \Driver\Cdrom \Device\CdRom3 8922C1F8 Device \Driver\Cdrom \Device\CdRom4 8922C1F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8906A500 Device \Driver\NetBT \Device\NetBT_Tcpip_{926BB39D-1667-4232-B69B-88AE81C3F503} 8906A500 Device \Driver\NetBT \Device\NetbiosSmb 8906A500 Device \Driver\PCI_PNP1568 \Device\0000004d spxy.sys Device \Driver\usbuhci \Device\USBFDO-0 8930B1F8 Device \Driver\usbuhci \Device\USBFDO-1 8930B1F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89074500 Device \Driver\usbuhci \Device\USBFDO-2 8930B1F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89074500 Device \Driver\usbuhci \Device\USBFDO-3 8930B1F8 Device \Driver\usbehci \Device\USBFDO-4 892F41F8 Device \Driver\Ftdisk \Device\FtControl 89DE11F8 Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target0Lun0 892D61F8 Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target1Lun0 892D61F8 Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1 892D61F8 Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target3Lun0 892D61F8 Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target2Lun0 892D61F8 Device \FileSystem\Cdfs \Cdfs 890C5500 |
|
23.02.2009, 16:57
| #4 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! und hier der zweite Teil, sorry ging nicht alles in einen Beitrag und vielen Dank schon mal!!! ---- Services - GMER 1.0.14 ---- Service system32\drivers\TDSSmxjt.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!! Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!! Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!! ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@DisplayName Security Shell Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Type 32 Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Start 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ObjectName LocalSystem Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ... Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@DisplayName Security Shell Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Type 32 Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Start 2 Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ObjectName LocalSystem Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll ---- EOF - GMER 1.0.14 ---- |
|
23.02.2009, 17:51
| #5 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Wär's jetzt nur der Conficker würde ich sagen, dass Du mit MBAM drüber gehen könntest. Jedoch irritiert mich der zweite Rootkit. Geh lieber auf Nummer sicher und setze neu auf. Du kannst auch gerne noch warten bis sich das jemand anderes abgeschaut hat, aber tendentiell würde ich sagen, dass Du ein totes Pferd reitest. Marc
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
23.02.2009, 17:55
| #6 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Vilen Dank schonmal ! Würde aber momentan ungerne neu aufsetzen, was genau ist den MBAM ??? Gruß Fabian |
|
23.02.2009, 18:22
| #7 | |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!Zitat:
und Du hast wieder ein System dem Du vertrauen kannst (was nach einer solchen Bereinigung nicht der Fall ist). Marc Edit: USB-Stick und andere Wechseldatenträger die Du an diesem Rechner hattest würde ich mal ganz schnell bereinigen (Linux Live CD => FAT32 Formatierung).
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. Geändert von MightyMarc (23.02.2009 um 18:28 Uhr) |
|
23.02.2009, 19:23
| #8 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Hi ja prinzipiell gebe ich dir da recht, nur habe ich einen vaio rechner der ursprünglich mit vista ausgeliefert wurde, ich habe ihn aber mittlerweile glücklicherweise unter xp laufen. Kann ich aber nur mit einer selbsterstellten cd neuinstallieren, da windows sonst meine festplatte nicht erkennt, und diese habe ich im moment nicht hier. Wird noch ein paar Wochen dauern bis ich da wieder dran komme, deshalb würde ich den rechner gerne solange über Wasser halten, da ich ihn dringend brauche ! Gruß Fabian |
|
23.02.2009, 19:30
| #9 |
| Gast | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Hallo, Was sagt den spybot und ad-aware zu dieser ganzen geschichte? VooDoo |
|
23.02.2009, 19:39
| #10 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Habe gerade nochmal Malwarebytes durchlaufen lassen, aber auch er findet nichts. Adaware und Spyboot haben auch glaube ich nichts dazugefunden aber lasse gerade nochmal adaware scannen. Hast du denn noch eine Idee? Danke dir ! |
|
23.02.2009, 21:56
| #11 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Schade hat denn sonst niemand mehr eine Idee? Ich habe jetzt wie von Vodoo empfohlen SpywareDoctor und Spywaredoctor with Antivir laufen und beide fanden Adaware.Advertising (1 Infizierung) ad.zannox.com/ ad.zanox.com Application.TrackingCookies (2 Inf.) atwola.com m.webtrends.com RogueAntiSpyware (1Inf.) xpas-2009.com HOCH- Trojan.TDSServ(59 Infizierungen) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOT\LEGACY_TDSSSERV, NextInstance ...... habe nicht Detaileinträge abgeschrieben. Was nun ? |
|
24.02.2009, 02:06
| #12 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! So habe mir nun eine Vollversion des Spyware Doctors geholt und damit alle Funde bereinigt. Antivir und Spywaredoc. finden jetzt beide nichts mehr. Bin ich die Plagegeister denn jetzt los? Hier der Antivir log und HJT. Wäre cool wenn mal jemand drüber kucken könnte! Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 00:57 Es wird nach 1262573 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: SYSTEM Computername: GROOVEBOX Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 09:11:35 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:12:15 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:12:16 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:12:16 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:11:00 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:46:17 ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 18:59:24 ANTIVIR3.VDF : 7.1.2.68 65536 Bytes 23.02.2009 18:29:48 Engineversion : 8.2.0.88 AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 17:25:25 AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 18:29:49 AESCN.DLL : 8.1.1.7 127347 Bytes 16.02.2009 17:46:20 AERDL.DLL : 8.1.1.3 438645 Bytes 11.11.2008 21:28:14 AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 20:58:27 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 17:12:44 AEHEUR.DLL : 8.1.0.97 1610103 Bytes 20.02.2009 18:59:27 AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 08:38:18 AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 18:29:49 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:44:55 AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 18:59:35 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:44:54 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:12:15 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:12:15 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:46:14 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:12:15 AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 05:29:43 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:12:15 SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 05:29:44 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:12:16 NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 05:29:44 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:12:12 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:12:12 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 24. Februar 2009 00:57 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! [WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit. Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '49' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Dienstag, 24. Februar 2009 01:56 Benötigte Zeit: 58:46 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 14919 Verzeichnisse wurden überprüft 495820 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 495818 Dateien ohne Befall 1793 Archive wurden durchsucht 4 Warnungen 0 Hinweise und hier HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:06:45, on 24.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe c:\programme\antivir personaledition classic\avcenter.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe -- End of file - 6328 bytes |
|
24.02.2009, 11:23
| #14 | |||
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Hier läuft ja ganz großes Kino ab. Zitat:
Zitat:
Zitat:
Marc
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
24.02.2009, 11:26
| #15 |
| | TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! Verdammt GMER hat doch noch was gefunden: Aber das logfile is fast 4 Beiträge lang soll ich das trotzdem posten oder reicht auch erstmal der kleine? Sorry hab keine Ahnung. GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-24 11:26:31 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT splt.sys ZwEnumerateKey [0xBA6C8CA2] SSDT splt.sys ZwEnumerateValueKey [0xBA6C9030] ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 89DDF1F8 AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools) AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools) ---- Services - GMER 1.0.14 ---- Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!! Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!! ---- EOF - GMER 1.0.14 ---- |
|
| Themen zu TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! |
| ad-aware, ad-watch, antivir, avira, bho, bonjour, computer, entfernen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, mozilla, outlook express, plug-in, registry, rundll, software, system, taskleiste, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows xp |
Linear-Darstellung
