Packed.Generic.200

SweeteJule · 15.03.2009, 20:13

Hallo,
habe auch den Virus Packed.Generic.200 auf meinem PC
Leider kenne ich mich nun wirklich kaum mit Viren etc. aus ich habe Norton Internet Security 2009 durchlaufen lassen, aber das Programm hat alles in Quarantäne verschoben bis auf diesen Virus.
Das Programm hat mir auch angezeigt in welcher Datei er ist nur leider kann ich das alles nicht entziffern.
Hoffentlich kann mir jemand helfen bin nämlich ganz schön ratlos.
Hier mir die angezeigten Dateien
globalroot/systemroot/system32/uacnjemonrf.dll
globalroot/systemroot/system32/uacnjemonrf.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
globalroot/systemroot/system32/uackrirsdpl.dll
globalroot/systemroot/system32/uacptnkbwul.dll
Wenn jm. weiß welche Dateien das sind bitte melden
Schon mal im Voraus ganz liebes Danke schön
Liebe Grüße

john.doe · 15.03.2009, 20:19

Hallo SweeteJule und

GMER - Rootkit Detection

Lade Tralala von File-Upload.net - Tralala.exe
Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
Doppelklick auf Tralala.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

p.s.: Klicke auf Copy, Klicke hier auf Antworten, drücke [Strg]v

SweeteJule · 15.03.2009, 21:14

Ist das normal, dass das so lange dauert? =S
Liebe Grüße

john.doe · 15.03.2009, 21:16

Siehst du den Knopf Copy?

SweeteJule · 15.03.2009, 21:17

Ja kla
aber des läuft ja noch oder is des schon fertig?
Sry wenn ich nerv hab aber echt kein plan

john.doe · 15.03.2009, 21:21

Wenn du den Knopf siehst, dann ist er fertig.

Klicke auf Copy, Klicke hier auf Antworten, drücke [Strg]v

ciao, andreas

SweeteJule · 15.03.2009, 21:26

http://www.materialordner.de/8A9skxQvZicIGZTEMe1ULftjd8I17F.html

john.doe · 15.03.2009, 21:39

Mit Works kann ich nichts anfangen.

Klick auf Copy => Start => Ausführen => notepad (eintippeln) => [Strg]v => Datei auf dem Desktop speichern => Auf Materialordner hochladen => Hier den Link posten

ciao, andreas

SweeteJule · 15.03.2009, 21:43

http://www.materialordner.de/ceegcWgPMJxxbMJi6pf9Ux6Tux8Q0zS.html

kk tut mir leid

john.doe · 15.03.2009, 21:55

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
UACd.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\UACd.sys

Files to delete:
C:\WINDOWS\system32\drivers\UACxnmwwyre.sys
C:\WINDOWS\system32\UACvdivbqxu.dll
C:\WINDOWS\system32\UACkfiovrbq.dat
C:\WINDOWS\system32\UACdattmodo.dll
C:\WINDOWS\system32\UACgkspxwsf.dll
C:\WINDOWS\system32\UACltsdrqxe.db
C:\WINDOWS\system32\UACptnkbwul.dll
C:\WINDOWS\system32\UACnjemonrf.dll
C:\WINDOWS\system32\UACvvvvfaxr.log
C:\WINDOWS\system32\UACpdqvstil.log
C:\WINDOWS\system32\UACtkkymlkn.log
C:\WINDOWS\system32\UACkrirsdpl.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log. Schliesse diesmal bitte alle Programme bevor du GMER startest.

ciao, andreas

SweeteJule · 15.03.2009, 22:07

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath: \systemroot\system32\drivers\UACxnmwwyre.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "UACd.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\UACxnmwwyre.sys" deleted successfully.
File "C:\WINDOWS\system32\UACvdivbqxu.dll" deleted successfully.
File "C:\WINDOWS\system32\UACkfiovrbq.dat" deleted successfully.
File "C:\WINDOWS\system32\UACdattmodo.dll" deleted successfully.
File "C:\WINDOWS\system32\UACgkspxwsf.dll" deleted successfully.
File "C:\WINDOWS\system32\UACltsdrqxe.db" deleted successfully.
File "C:\WINDOWS\system32\UACptnkbwul.dll" deleted successfully.
File "C:\WINDOWS\system32\UACnjemonrf.dll" deleted successfully.
File "C:\WINDOWS\system32\UACvvvvfaxr.log" deleted successfully.

Error: file "C:\WINDOWS\system32\UACpdqvstil.log" not found!
Deletion of file "C:\WINDOWS\system32\UACpdqvstil.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACtkkymlkn.log" not found!
Deletion of file "C:\WINDOWS\system32\UACtkkymlkn.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\UACkrirsdpl.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SweeteJule · 15.03.2009, 22:09

Wie starte ich denn Grem? Ist das Tralala
Liebe Grüße

john.doe · 15.03.2009, 22:22

Ja. Sorry, nicht dran gedacht.

ciao, andreas

SweeteJule · 15.03.2009, 22:25

http://www.materialordner.de/EHOHZIIMDXk7EMJ7oTyGhh25B2mzS3.html

Das hat es mir jetzt angezeigt

john.doe · 15.03.2009, 22:30

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-03-15 22:23:56
Windows 5.1.2600 Service Pack 3


---- Devices - GMER 1.0.14 ----

AttachedDevice  \Driver\Tcpip \Device\Ip     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Udp    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

---- EOF - GMER 1.0.14 ----

Na das sieht doch schon viel besser aus.

Jetzt klicke bitte auf den Link "Für alle Neuen" in meiner Signatur und arbeite die Liste unter Punkt 2 ab.

ciao, andreas

Packed.Generic.200

Plagegeister aller Art und deren Bekämpfung: Packed.Generic.200