Hallo zusammen. Seit einigen Tagen plaggt mich ein Trojaner namens TR/Crypt.XPACK.Gen und hat wohl die Datei C:\WINDOWS\system32\mssrkv32.exe befallen.
Ich habe diesen gelöscht und bereits mehfach in die ANTIVIR Qurantäne verbannt. ABer leider ist der wohl sehr hartnäckig.
Einige Tage zuvor hatte ich den TR/Inject.amxf.7 Trojaner der aber nach einen scan und löschen nicht mehr aufgetreten ist.

Nach etwas suche im web bin ich auf euch hier gestossen und habe mal den HijachThis laufen lassen,

Jede Idee bzw. Unterstützung ist mehr als wilkommen.

Danke,
-Luis.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:39, on 23.03.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gembird\Power Manager\pm.exe
C:\WINDOWS\emMon.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\Sun\StarOffice 8\program\soffice.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sun\StarOffice 8\program\soffice.BIN
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mssrkv32.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: 1&&1 Internet AG Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Power Manager] "C:\Programme\Gembird\Power Manager\pm.exe" -winstartup
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [1&1 EasyLogin] C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
O4 - HKCU\..\Run: [C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 7.0; Win32; 1&1); GTB6.3; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322)" -"hxxp://www.hotwheels.com/games/brakeless/nobrakes.dcr"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: StarOffice 8.lnk = C:\Programme\Sun\StarOffice 8\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - hxxp://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} (ClientControl Class) - hxxp://192.168.178.23/plugin/client.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - hxxp://192.168.178.23/plugin/h263ctrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 11260 bytes

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo und Dank für die Antwort.

Ich habe die Anleitung abgearbeitet.

- CCLEANER laufen lassen.
- malware laufen lassen und log posten
-rsit laufen lassen und c:\rsit\log.txt und C:\rsit\info.txt posten

Hir der Link

hxxp://www.file-upload.net/download-2377527/log.zip.html

zum runterladen der log files.


Danke schon vorab und Gruß,
-Luis

Gut. In der log.txt hätte ich so erstmal nichts zu beanstanden. Mach bitte nun ein Log mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

BTW,

noch eine wichtige Info. Nachdem ANTIVIR den Trojaner festgestellt hat, wird immer die WIN-XP Firewall disabled.

Leider bin ich nicht in der Lage den COFI.EXE laufen zu lassen, da immer wieder folgende Meldung nach dem start des cofi kommt


ComboFIX hat festgestellt das folgende realtime scanner aktiv sind
antivirus: ANTIVIR Personal Edition Classic Virenschutz.

Das kann zu unvorhergesehbaren Ergebnissen, oder eventuell PC schaden führen.
Bitte deaktiviere diese Scanner bevor du auf OK klickst.



Selbst nachdem ich AntiVir deinstalliert und den Rechner neu gebootet habe.

Im Taskmanager ist auch nichts unter Prozesse zu erkennen.

Was nu?

Dank und gruß,
-Luis

Zitat:

ComboFIX hat festgestellt das folgende realtime scanner aktiv sind
antivirus: ANTIVIR Personal Edition Classic Virenschutz.

Das ist ein Bug von AntiVir. Wenn der Schirm geschlossen ist, kannst Du CF laufen lassen.

Zitat:

Zitat von cosinus

Das ist ein Bug von AntiVir. Wenn der Schirm geschlossen ist, kannst Du CF laufen lassen.

Drumm bin ich wohl auch hier gelandet

cofi scan läuft, just a sec.

-Luis

Hallo,
hier nun der cofi log.

ComboFix 10-03-24.03 - **** 25.03.2010 15:01:59.1.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.657 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\Trojaner\cofi.exe

AV: AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F50D9AC1-6409-476C-A8D6-8F5F82336C8F}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {00000000-0000-0000-0000-000000000000}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00DA-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00EB-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804FD2B8-FFA4-00FC-0D24-347CA8A3377C}

AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {BADB0D00-FFA4-00DA-0D24-347CA8A3377C}

.



(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

.



c:\windows\eSellerateEngine.dll

c:\windows\pi.exe

c:\windows\regedit.com

c:\windows\system32\taskmgr.com

c:\windows\system32\tmp.reg



.

((((((((((((((((((((((( Dateien erstellt von 2010-02-25 bis 2010-03-25 ))))))))))))))))))))))))))))))

.



2010-03-25 10:34 . 2010-03-25 10:36 -------- d-----w- C:\rsit

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes

2010-03-25 07:36 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-03-25 07:36 . 2010-03-25 07:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware

2010-03-25 07:36 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-25 07:10 . 2010-03-25 07:10 -------- d-----w- c:\programme\CCleaner

2010-03-21 07:20 . 2010-03-23 11:50 -------- d-----w- c:\programme\Trend Micro

2010-03-07 11:37 . 2010-03-19 12:38 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll

2010-02-26 17:47 . 2010-03-18 08:25 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Temp



.

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-25 13:36 . 2008-10-31 13:09 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\StarOffice8

2010-03-25 13:36 . 2006-01-05 20:21 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2

2010-03-25 13:33 . 2007-08-26 09:04 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Lavasoft

2010-03-23 19:00 . 2009-09-11 13:17 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2

2010-03-20 09:02 . 2008-10-31 13:16 1 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\StarOffice8\user\uno_packages\cache\stamp.sys

2010-03-12 13:18 . 2006-09-24 09:18 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype

2010-02-09 06:42 . 2006-03-26 10:21 -------- d-----w- c:\programme\Google

2010-01-15 12:51 . 2007-03-30 15:56 107888 ----a-w- c:\windows\system32\CmdLineExt.dll

2010-01-05 09:52 . 2004-08-04 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-01-05 09:52 . 2004-08-04 12:00 17408 ----a-w- c:\windows\system32\corpol.dll

2009-12-31 16:14 . 2004-08-04 12:00 352640 ----a-w- c:\windows\system32\drivers\srv.sys

.



(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe"="1&1 EasyLogin HIDE" [X]

"1&1 EasyLogin"="c:\programme\1&1\1&1 EasyLogin\EasyLogin.exe" [2009-08-18 2227200]

"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-17 68856]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"SW20"="c:\windows\system32\sw20.exe" [2005-06-30 200704]

"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-04-08 496752]

"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]

"Power Manager"="c:\programme\Gembird\Power Manager\pm.exe" [2006-08-02 8343552]

"emMonitor"="c:\windows\emMon.exe" [2005-01-06 32768]

"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]

"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2008-03-17 1848648]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 417792]

"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-09-08 305440]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]



c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\

OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2005-12-14 61440]



c:\dokumente und einstellungen\****\Startmen�\Programme\Autostart\

OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2005-12-14 61440]

StarOffice 8.lnk - c:\programme\Sun\StarOffice 8\program\quickstart.exe [2007-8-17 122880]



c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2009-10-20 156784]

Picture Package VCD Maker.lnk - c:\programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2006-2-24 106496]



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\mssrkv32.exe,"



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=

"c:\\Programme\\USB-PwrCtrl-DEMO\\USB-PwrCtrl.exe"=

"c:\\Programme\\Gembird\\Power Manager\\pm.exe"=

"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=

"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\Programme\\FRITZ!fax\\FriFax32.exe"=

"c:\\Programme\\iTunes\\iTunes.exe"=

"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=

"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=

"c:\\Programme\\AOL 9.0\\waol.exe"=

"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Programme\\Xtend\\Die Jagd auf den Roten Baron 2\\acenet_server_release.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service



R1 SSHDRV65;SSHDRV65;c:\windows\system32\drivers\SSHDRV65.sys [12.01.2006 13:25 120320]

R3 avmaura;AVM USB-Fernanschluss;c:\windows\system32\drivers\avmaura.sys [04.11.2008 10:07 101248]

S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [09.02.2010 07:42 135664]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [13.12.2006 18:58 1527900]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]

S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [13.12.2006 18:57 647242]

.

Inhalt des "geplante Tasks" Ordners



2010-03-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]



2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 06:41]



2010-03-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-09 06:41]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.google.de/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://go.1und1.de/suchbox/1und1suche?su=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

DPF: {8FEED82A-42A6-4117-A803-7EC3EB9339E0} - hxxp://192.168.178.23/plugin/client.cab

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -



AddRemove-WinImage - d:\work\1\bootable cd project\downloads\winimage\winimage.exe







**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-03-25 15:09

Windows 5.1.2600 Service Pack 2 NTFS



Scanne versteckte Prozesse...



Scanne versteckte Autostarteinträge...



Scanne versteckte Dateien...





c:\windows\system32\mssrkv32.exe 552448 bytes executable



Scan erfolgreich abgeschlossen

versteckte Dateien: 1



**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------



[HKEY_USERS\S-1-5-21-515967899-616249376-839522115-1004\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

Zeit der Fertigstellung: 2010-03-25 15:12:17

ComboFix-quarantined-files.txt 2010-03-25 14:12



Vor Suchlauf: 24 Verzeichnis(se), 37.096.427.520 Bytes frei

Nach Suchlauf: 25 Verzeichnis(se), 38.338.355.200 Bytes frei



WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect



- - End Of File - - E3D37C4C79CB167A432B542F80FFB159

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

files to delete:
c:\windows\system32\mssrkv32.exe
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

9.) Ein Log mit GMER machen und posten

Hallo Cosinus,
der Avenger ist gut gelaufen (log vorhanden) der GMER läuft noch und kann wohl noch was dauern (läuft bereits 45 Minuten)

Werde noch alles posten sobald es fertig ist.

Dank und Gruß,
-Luis

Hier nun die logs.


Logfile of The Avenger Version 2.0, (c) by Swandog46

hxxp://swandog46.geekstogo.com



Platform: Windows XP



*******************



Script file opened successfully.

Script file read successfully.



Backups directory opened successfully at C:\Avenger



*******************



Beginning to process script file:



Rootkit scan active.

No rootkits found!



File "c:\windows\system32\mssrkv32.exe" deleted successfully.



Completed script processing.



*******************



Finished! Terminate.

================================================

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-03-25 19:22:10

Windows 5.1.2600 Service Pack 2

Running: 2i367qtf.exe; Driver: C:\DOKUME~1\Luis\LOKALE~1\Temp\awtdipog.sys





---- System - GMER 1.0.15 ----



SSDT F7C35A8E ZwCreateKey

SSDT F7C35A84 ZwCreateThread

SSDT F7C35A93 ZwDeleteKey

SSDT F7C35A9D ZwDeleteValueKey

SSDT F7C35AA2 ZwLoadKey

SSDT F7C35A70 ZwOpenProcess

SSDT F7C35A75 ZwOpenThread

SSDT F7C35AAC ZwReplaceKey

SSDT F7C35AA7 ZwRestoreKey

SSDT F7C35A98 ZwSetValueKey



---- Kernel code sections - GMER 1.0.15 ----



? rjufhlfu.sys Das System kann die angegebene Datei nicht finden. !

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF648C360, 0x1DE5ED, 0xE8000020]



---- Devices - GMER 1.0.15 ----



AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)



---- EOF - GMER 1.0.15 ----


machen wir heute noch weiter??

Schieb hoch, damit Arne evtl. sich noch mal die Logfiles anschaut.

Danke.
-Luis.

Lädst Du die backup.zip noch hoch?

Zur Kontrolle bitte nochmal: RootRepeal:

• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.

Code: Alles auswählenAufklappen

ATTFilter

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT
         

• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Mist, das mit der backup.zip hatte ich wohl übersehen. Eine Überprüfung der selben file ergab das kein c:\avenger\*.* vorhanden ist.
Daher habe ich den avenger nochmal laufen lassen ohne script.

Hier nun die backup.zip (die aber leider pw geschützt ist) hxxp://www.file-upload.net/download-2388459/backup.zip.html und nochmals die AVENGER log file hxxp://www.file-upload.net/download-2388464/avenger_log.txt.html

Das mit dem RootRepeal bin ich gerade am abarbeiten.

Dank und Gruß,
-Lelon

Hier der output vom RootRepeal scan.

ROOTREPEAL (c) AD, 2007-2009

==================================================

Scan Start Time: 2010/03/29 11:48

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP2

==================================================



Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xF3F93000 Size: 98304 File Visible: No Signed: -

Status: -



Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7B58000 Size: 8192 File Visible: No Signed: -

Status: -



Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xBABEB000 Size: 49152 File Visible: No Signed: -

Status: -



Name: wefau.sys

Image Path: wefau.sys

Address: 0xF75DC000 Size: 61440 File Visible: No Signed: -

Status: -



Hidden/Locked Files

-------------------

Path: c:\windows\temp\perflib_perfdata_840.dat

Status: Allocation size mismatch (API: 16384, Raw: 0)



Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Apps\2.0\7K2WHY77.B8L\A3TNPRAO.LG1\manifests\fritzbox-usb-fernanschluss.exe.cdf-ms

Status: Locked to the Windows API!



Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Apps\2.0\7K2WHY77.B8L\A3TNPRAO.LG1\manifests\fritzbox-usb-fernanschluss.exe.manifest

Status: Locked to the Windows API!



Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Apps\2.0\7K2WHY77.B8L\A3TNPRAO.LG1\manifests\PresentationDesignDeveloper.cdf-ms

Status: Locked to the Windows API!



Path: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Apps\2.0\7K2WHY77.B8L\A3TNPRAO.LG1\manifests\PresentationDesignDeveloper.manifest

Status: Locked to the Windows API!



SSDT

-------------------

#: 041 Function Name: NtCreateKey

Status: Hooked by "<unknown>" at address 0xf7ca3606



#: 053 Function Name: NtCreateThread

Status: Hooked by "<unknown>" at address 0xf7ca35fc



#: 063 Function Name: NtDeleteKey

Status: Hooked by "<unknown>" at address 0xf7ca360b



#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "<unknown>" at address 0xf7ca3615



#: 098 Function Name: NtLoadKey

Status: Hooked by "<unknown>" at address 0xf7ca361a



#: 122 Function Name: NtOpenProcess

Status: Hooked by "<unknown>" at address 0xf7ca35e8



#: 128 Function Name: NtOpenThread

Status: Hooked by "<unknown>" at address 0xf7ca35ed



#: 193 Function Name: NtReplaceKey

Status: Hooked by "<unknown>" at address 0xf7ca3624



#: 204 Function Name: NtRestoreKey

Status: Hooked by "<unknown>" at address 0xf7ca361f



#: 247 Function Name: NtSetValueKey

Status: Hooked by "<unknown>" at address 0xf7ca3610



==EOF==