Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Crypt.XPACK.Gen - Noch ein Fall! (https://www.trojaner-board.de/52912-tr-crypt-xpack-gen-noch-fall.html)

Alonzo 24.05.2008 15:25
TR/Crypt.XPACK.Gen - Noch ein Fall!
 
Hallo!

Heute hat mir ein Freund den Rechner seiner Tochter vorbeigebracht, weil
AntiVir Arlam schlaegt. Ist ne Menge Zeuch installiert, von deren Existenz
ich nicht mal wusste - was man als Teen halt so braucht. :)
Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren. :headbang:
Hat jemand ein paar Tipps, wie ich das Ding wieder halbwegs sauber bekomme
und wieder mit halbwegs gutem Gewissen zurueck geben kann?

Hier das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:49, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe
C:\Programme\DNT\SimHID\SimHID.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\Dokumente und Einstellungen\Jacky\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
R3 - URLSearchHook: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O2 - BHO: (no name) - {0E7898A6-81BA-4094-A620-AE77DB37C8D5} - C:\WINDOWS\system32\hgGxUklJ.dll (file missing)
O2 - BHO: {609b4c25-01b5-e779-80d4-04433b75cb96} - {69bc57b3-3440-4d08-977e-5b1052c4b906} - C:\WINDOWS\system32\sfhfcewy.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\ldlgatht.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe" -auto
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\DNT\SimHID\SimHID.exe
O4 - Global Startup: Tenda TWL541U.lnk = C:\Programme\Tenda\TWL541U\Mrv8000x.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.bigfishgames.com/online/chainz2/mjolauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: jkkKecyx - C:\WINDOWS\SYSTEM32\jkkKecyx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10544 bytes


Vielen Dank!
:party:

cosinus 24.05.2008 16:48
Zitat:
Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.
Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

C:\WINDOWS\SYSTEM32\jkkKecyx.dll
C:\WINDOWS\system32\ldlgatht.dll

Werte diese Dateien bei Virustotal.com aus und poste die Ergebnisse. Danach sehen wir weiter.

Alonzo 24.05.2008 19:31
Zitat:
Zitat von root24 (Beitrag 340782)
Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?
Toechterchen muss unbedingt ihre "lebenswichtigen" Kommunikationstools
mit ihren Einstellungen behalten. :koch:

Also let's go...

Zitat:
Datei ldlgatht.VIR000 empfangen 2008.05.24 20:20:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 TR/Monder.DU
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.24 Win32:Monder-V
AVG 7.5.0.516 2008.05.24 Generic10.XOJ
BitDefender 7.2 2008.05.24 Trojan.Vundo.ELY
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV None 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 Suspicious File
eTrust-Vet 31.4.5817 2008.05.23 Win32/Vundo!generic
Ewido 4.0 2008.05.24 -
F-Prot 4.4.4.56 2008.05.23 W32/Virtumonde.R.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.23 Vundo.gen177
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Monder.du
Ikarus T3.1.1.26.0 2008.05.24 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.05.24 Trojan.Win32.Monder.du
McAfee 5302 2008.05.23 Vundo.gen.c
Microsoft 1.3520 2008.05.24 Trojan:Win32/Vundo.FBP
NOD32v2 3128 2008.05.23 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.23 W32/Virtumonde.VLQ
Panda 9.0.0.4 2008.05.24 -
Prevx1 V2 2008.05.24 Cloaked Malware
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 Trojan.Vundo
TheHacker 6.2.92.318 2008.05.23 Trojan/Monder.du
VBA32 3.12.6.6 2008.05.24 Trojan.Win32.Monder.du
VirusBuster 4.3.26:9 2008.05.24 -
Webwasher-Gateway 6.6.2 2008.05.24 Trojan.Monder.DU
weitere Informationen
File size: 92224 bytes
MD5...: 129546aba5149302553b3e08fd44dd52
SHA1..: 14cc2390da97d13228bd3031823a130926224196
SHA256: 4e703c85d6ca1978a3302200412d9eedf82bc7a16e61b54284457d2bc119fd1a
SHA512: 74f9c9b2466ba0030d5194bc2e94842795c996656207ec711064205ea2750644
72dfc44be064d59cc6e630dcec07cf6a41fdc223d09c7503ae6af071622ccc73
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100068c6
timedatestamp.....: 0xd335b799L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x5c00 7.77 79670fbfaccbfc5d85e71c897f292422
.data 0x19000 0x10000 0x10000 7.99 a9adeeba3309de5bbb43abf3f1125f51
.rdata 0x29000 0x1000 0x400 6.38 85027e8bed4ac884a25228835906ba3b
.idata 0x2a000 0x1000 0x400 0.77 8d4f4f05d98bec0aacc67b269e791438

( 1 imports )
> kernel32.dll: SleepEx, TlsAlloc, lstrlenA, ExitProcess

( 0 exports )
Prevx info: 61056511.VIR - Prevx
Zitat:
Die Datei wurde bereits analysiert:
MD5: 22c6b53ad7900203ca7bd688905a8435
First received: 2008.03.25 13:30:50 (CET)
Datum 2008.05.01 06:46:48 (CET) [>23D]
Ergebnisse 20/32
Permalink: analisis/b574b806b7d41729df8ad7933c7aab96
Zitat:
Datei jkkKecyx.dll empfangen 2008.05.01 06:46:48 (CET)
Status: Beendet
Ergebnis: 20/32 (62.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Crypt-BJR
AVG - - Generic10.FSO
BitDefender - - Trojan.Vundo.EEN
CAT-QuickHeal - - Trojan.Vundo.bhh
ClamAV - - Trojan.Vundo-2376
DrWeb - - -
eSafe - - -
eTrust-Vet - - Win32/Vundo.VQ
Ewido - - -
F-Prot - - W32/Virtumonde.N.gen!Eldorado
F-Secure - - -
FileAdvisor - - -
Fortinet - - Virtum!tr
Ikarus - - Trojan.Vundo.EEN
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Vundo.gen!F
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - W32/Vundo.BK
Panda - - Generic Trojan
Prevx1 - - SpywareQuake
Rising - - Trojan.Win32.Undef.fft
Sophos - - Troj/Virtum-Gen
Sunbelt - - Virtumonde
Symantec - - -
TheHacker - - -
VBA32 - - Win32.Adware.Virtumonde
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen#ASPack
weitere Informationen
MD5: 22c6b53ad7900203ca7bd688905a8435
SHA1: 98a0dc42c01b65bd35024ddf04aad15dccfd6eed
SHA256: 0569e7b51b3e0120bee62fe1ca0760cb16aac3fd9cf817a78e80cd840adb3010
SHA512: 0b36b10e5baa0d4ae2af0bd2703d5971e7b86298d8c1ad327608865f86ab73261443edafe870742500fd4810180d528a020df16cfaee1ad20e4a30e8cd43a9b8
Gibts ne Chance?

cosinus 24.05.2008 19:41
Probieren wirs mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Alonzo 25.05.2008 03:06
OK - abgearbeitet - mit maessigem Erfolg.

Mit CCleaner schien alles gut zu laufen.

Mit ComboFix zunaechst auch.
Nach dem von ComboFix initierten Neustart war zu lesen...

Zitat:
Bereite Logdatei vor - Starte keine Programme.........
AntiVir melde sich schon..TR/Crypt.XPACK.Gen

ComboFix

Zitat:
Fast Fertig - Dieses Bild wird sich in kuerze schliessen...
Bitte warten sie ein paar Sekunden, damit das log geoeffnet wird....
Die anderen "zig-Autostart-Programme" starten natuerlich auch.

Logfile-Fenster geht auf und ich starte den Versuch uber den einzigen
Browser (IE) hier das logfile zu posten. Nach kurzer Zeit, warnt der IE vor
Viren und Trojanern und will Software installieren und scannen. Ich "No"

Dann nochmal Neustart und AntiVir sagt wieder "TR/Crypt.XPACK.Gen" und
jetzt auch noch "TR/Vundo.Gen".

Der ComboFix Logfile scheint auch nicht mehr Board-konform ausgegallen zu
sein.

Zitat:
1. Der Text, den Sie eingegeben haben, besteht aus 202776 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.
Deshalb mal hier mal unkonventionell zu Ansicht:

http://www.gigasoft.biz/combotext.txt

cosinus 25.05.2008 12:59
Hast Du vor Combofix denn auch Virenscannerwächter temp. deaktiviert? Solltest Du lt. der Anleitung!

Mit combofix alleine kannst Du nicht alles bereinigen, man muß noch manuell alles durchschauen und ggf. noch vorhandene schädliche Dateien löschen. Ich meld mich daher noch wie du da vorgehen solltest.

Alonzo 25.05.2008 13:36
yepp, AntiVir war deativiert - stand ja in der Anleitung. ;)

Nach dem von ComboFix verursachten Neustart war es natuerlich wieder aktiv.

Auf jeden Fall schonmal Vielen Dank fuer die Muehe die Du Dir machst!!!

:party:

cosinus 25.05.2008 13:47
Okay - werte mal diese Dateien bei Virustotal aus. AntiVir-Wächter davor wieder temp. deaktivieren, damit der nichts beeinflußt:

C:\WINDOWS\system32\mswstr10.dll
C:\WINDOWS\system32\msjint40.dll

Schmeiß auch mal das Norton-Geraffel vom System. Bleib bei AntiVir. Mehrere Virenscanner gleichzeitig sind mehr als ungünstig!

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Alonzo 24.06.2008 11:57
Hallo, da bin ich wieder. ;)
Sorry aber ein unfreiwilliger Krankenhausaufenthalt hat mich leider aufgehalten.

Nun moechte ich nochmal einen Versuch starten. Die Kiste stand jetzt die
ganze Zeit unangefasst in der Ecke.

Die beiden dll's habe ich jetzt mal bei Virus-Total hochgeladen und bekam die
Anwort, das sie schonmal anylisiert wurden. Hier die Ergebnisse:
Virustotal. MD5: 8e6d307331625b7b8a846773d36982a2
Virustotal. MD5: 1645928aeda951e72a958bf766cf33d3

Norton deinstallieren und dieses Script starten, wird schwierig - mittlerweile
gehen nach dem Start 60-70 Virenmeldungen von AntiVir auf und legen den
Rechner ziemlich lahm. Die beiden Dateien habe ich jetzt im abgesicherten
Modus runtergeholt.

Gibts noch eine Chance - mittlerweile ist es nur noch sportlicher Ehrgeiz!
:party:

cosinus 24.06.2008 15:42
Von einem Virenscanner solltest Du Dich aber auf jedenfall trennen. Da würde ich definitiv den Norton wegschmeißen, deaktivier AntiVir notfalls solange.

Folge mal bitte meinem DSS-Link in meiner Signatur und beachte die Anweisungen.

Alonzo 25.06.2008 13:44
Hallo,

so Norton ist runter!

Das DSS ergab folgendes:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Alonzo 25.06.2008 14:18
Sorry, das war micht nicht klar. Ich hoffe, so geht es in Ordnung.


Zitat:
Deckard's System Scanner v20071014.68
Run by Jacky on 2008-06-25 14:32:52
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
16: 2008-06-25 12:32:58 UTC - RP210 - Deckard's System Scanner Restore Point
15: 2008-06-25 12:24:51 UTC - RP209 - Software Distribution Service 3.0
14: 2008-06-22 11:12:03 UTC - RP208 - Software Distribution Service 3.0
13: 2008-06-22 11:06:15 UTC - RP207 - Software Distribution Service 3.0
12: 2008-05-25 01:12:44 UTC - RP206 - Software Distribution Service 3.0


-- First Restore Point --
1: 2008-05-25 00:55:59 UTC - RP195 - Uniblue RegistryBooster


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Jacky.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:02, on 25.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\DNT\SimHID\SimHID.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Jacky\Desktop\dss.exe
C:\DOKUME~1\Jacky\Desktop\Jacky.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
R3 - URLSearchHook: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O2 - BHO: (no name) - {547994C0-7E9B-43D6-AC14-1403C8D638D6} - C:\WINDOWS\system32\xxyxvwUm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {646517fc-0150-fd7a-6a24-550646877b6f} - {f6b77864-6055-42a6-a7df-0510cf715646} - C:\WINDOWS\system32\facarnsq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\tprpbfne.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\DNT\SimHID\SimHID.exe
O4 - Global Startup: Tenda TWL541U.lnk = C:\Programme\Tenda\TWL541U\Mrv8000x.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - h**p://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - h**p://www.bigfishgames.com/online/chainz2/mjolauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://w*w.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69236993-D90D-407B-8F6B-AA4712DD722C}: NameServer = 192.168.6.1
O20 - Winlogon Notify: jkkKecyx - jkkKecyx.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8776 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil(c)>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys
R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

S3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>
S3 BTNetFilter (Bluetooth Network Filter) - c:\windows\system32\drivers\btnetfilter.sys
S3 MRV6X32U (Vista 32-bits Native WiFi Driver - USB) - c:\windows\system32\drivers\mrvw23b.sys <Not Verified; Tenda, Inc; Device driver for Tenda 802.11 NIC>
S3 MRVW225 (Tenda TWL541U Wireless LAN Dirver for Windows XP) - c:\windows\system32\drivers\mrvw225.sys <Not Verified; Tenda, Inc; Tenda TWL541U Cilent Adapter-USB>
S3 UIUSys (Conexant Setup API) - c:\windows\system32\drivers\uiusys.sys <Not Verified; Tenda, Inc; TEM5630P>
S3 USB28xxBGA (USB 2881 Device) - c:\windows\system32\drivers\embda.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>
S3 USB28xxOEM (USB 28xx OEM Filter) - c:\windows\system32\drivers\emoem.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 CLCapSvc (CyberLink Background Capture Service (CBCS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clcapsvc.exe" <Not Verified; ; CLCapSvc Module>
R2 CLSched (CyberLink Task Scheduler (CTS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clsched.exe" <Not Verified; ; CLSched Module>
R2 CyberLink Media Library Service - "c:\programme\cyberlink\shared files\clml_ntservice\clmlserver.exe" <Not Verified; Cyberlink; Cyberlink Media Library Server>
R3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

S2 BlueSoleil Hid Service - c:\programme\ivt corporation\bluesoleil\btntservice.exe (file missing)
S3 gusvc (Google Updater Service) - "c:\programme\google\common\google updater\googleupdaterservice.exe" (file missing)


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: PCI-Kommunikationscontroller (einfach)
Device ID: PCI\VEN_E159&DEV_0001&SUBSYS_00038086&REV_00\3&13C0B0C5&0&48
Manufacturer:
Name: PCI-Kommunikationscontroller (einfach)
PNP Device ID: PCI\VEN_E159&DEV_0001&SUBSYS_00038086&REV_00\3&13C0B0C5&0&48
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Audiocontroller für Multimedia
Device ID: PCI\VEN_1106&DEV_3059&SUBSYS_A2371297&REV_50\3&13C0B0C5&0&8D
Manufacturer:
Name: Audiocontroller für Multimedia
PNP Device ID: PCI\VEN_1106&DEV_3059&SUBSYS_A2371297&REV_50\3&13C0B0C5&0&8D
Service:


-- Files created between 2008-05-25 and 2008-06-25 -----------------------------

2008-05-25 03:04:59 105024 --a------ C:\WINDOWS\system32\facarnsq.dll
2008-05-25 03:04:55 94784 --a------ C:\WINDOWS\system32\tprpbfne.dll
2008-05-25 02:56:47 2624 --a------ C:\WINDOWS\system32\bnutlamn.exe
2008-05-25 02:56:39 102464 --a------ C:\WINDOWS\system32\nowhqelq.dll
2008-05-25 02:55:49 330931 --ahs---- C:\WINDOWS\system32\mUwvxyxx.ini2
2008-05-25 02:55:46 316128 --a------ C:\WINDOWS\system32\xxyxvwUm.dll
2008-05-25 02:22:54 0 d-------- C:\cmdcons
2008-05-25 02:21:05 68096 --a------ C:\WINDOWS\zip.exe
2008-05-25 02:21:05 49152 --a------ C:\WINDOWS\VFind.exe
2008-05-25 02:21:05 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-05-25 02:21:05 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-05-25 02:21:05 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-05-25 02:21:05 98816 --a------ C:\WINDOWS\sed.exe
2008-05-25 02:21:05 80412 --a------ C:\WINDOWS\grep.exe
2008-05-25 02:21:05 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-05-25 02:12:02 0 d-------- C:\Programme\CCleaner


-- Find3M Report ---------------------------------------------------------------

2008-06-25 14:28:45 440764 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-25 14:28:45 85738 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-25 14:25:33 0 d-------- C:\Programme\Norton Security Scan
2008-06-25 14:25:28 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-25 14:23:53 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-05-14 21:36:56 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-14 21:32:24 0 d-------- C:\Programme\BearShare Applications
2008-05-14 21:31:19 0 d-------- C:\Programme\Azureus


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{547994C0-7E9B-43D6-AC14-1403C8D638D6}]
25.05.2008 02:55 316128 --a------ C:\WINDOWS\system32\xxyxvwUm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
C:\WINDOWS\system32\jkkKecyx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f6b77864-6055-42a6-a7df-0510cf715646}]
25.05.2008 03:04 105024 --a------ C:\WINDOWS\system32\facarnsq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [27.07.2004 16:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [27.07.2004 16:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.2007 04:00]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [23.03.2007 13:20]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [14.05.2007 10:27]
"USB Storage Toolbox"="C:\Programme\USB Disk Win98 Driver\Res.EXE" [14.09.2005 20:44]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.05.2008 20:07]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [16.03.2007 11:45]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [25.07.2007 01:33]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [20.06.2005 05:32]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"988c834f"="C:\WINDOWS\system32\tprpbfne.dll" [25.05.2008 03:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 12:34]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [17.08.2007 22:57:56]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
SimHID.lnk - C:\Programme\DNT\SimHID\SimHID.exe [25.08.2007 23:42:15]
Tenda TWL541U.lnk - C:\Programme\Tenda\TWL541U\Mrv8000x.exe [06.10.2007 00:30:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\jkkKecyx.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKecyx]
jkkKecyx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\xxyxvwUm.dll




-- End of Deckard's System Scanner: finished at 2008-06-25 14:35:04 ------------

cosinus 26.06.2008 18:29
Da ist noch einiges:

Code:
O2 - BHO: (no name) - {547994C0-7E9B-43D6-AC14-1403C8D638D6} - C:\WINDOWS\system32\xxyxvwUm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll (file missing)
O2 - BHO: {646517fc-0150-fd7a-6a24-550646877b6f} - {f6b77864-6055-42a6-a7df-0510cf715646} - C:\WINDOWS\system32\facarnsq.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\tprpbfne.dll",b
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: jkkKecyx - jkkKecyx.dll (file missing)
Ist mit Hijackthis zufixen.
Besorg Dir dann den Avenger und gehe nach dieser Anleitung vor aber benutze dieses Text:

Code:
files to delete:
C:\WINDOWS\system32\xxyxvwUm.dll
C:\WINDOWS\system32\jkkKecyx.dll
C:\WINDOWS\system32\facarnsq.dll
C:\WINDOWS\system32\tprpbfne.dll

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{547994C0-7E9B-43D6-AC14-1403C8D638D6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6b77864-6055-42a6-a7df-0510cf715646}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKecyx

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 988c834f
HKLM\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks | {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
Rechner rebooten, Avenger Logfile posten. Danach auch ein neues mit Hijackthis erstellen, wenn Du die oben erwähnten Einträge gefixt hast.

Schau auch mal mit dem Registry-Editor (regedit.exe) nach diesem Eintrag:

Code:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\xxyxvwUm.dll
"Authentication Packages" sollte als Wert nur msv1_0 haben und nicht das Geraffel noch dahinter (stammt von Malware!).

Code:
2008-05-14 21:32:24 0 d-------- C:\Programme\BearShare Applications
2008-05-14 21:31:19 0 d-------- C:\Programme\Azureus
Sei Dir bewußt, daß man sich mit solchen Programmen schnell Viren auf den Rechner einhandelt. Also besser drauf verzichten.

Denk noch ans filelisting!


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27