Trojaner-Board - Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/56094-brauche-hilfe-wegen-trojaner-tr-crypt-xpack-gen.html)

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Hey!
Hab mich auch mal hier angemeldet weil ich folgendes Problem habe.
In der Partition D wird ein Virus Namens miloulonnouk.exe gemeldet.
Der Pfad lautet dann D:/miloulonnouk.exe!
Ich bin ratlos und schon am verzweifeln!
Bitte helft mir schnell!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:27, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\toudo.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lummap] C:\WINDOWS\system32\toudo.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Canon BJ Memory Card Manager (prncubyu5eyha) - Unknown owner - C:\WINDOWS\system32\seroozel.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6746 bytes

Halli hallo Splace

:hallo:

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

D:\miloulonnouk.exe
C:\WINDOWS\system32\seroozel.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Unter File -> Database Update ->Start drücken.
Unter AVZPM -> Install extended monitoring driver drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

http://img393.imageshack.us/img393/165/logti9.png

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

Die Datei wurde bereits analysiert:
MD5: ed1afc8fe8edfcdc20393024703f0db4
First received: 2008.07.11 03:15:55 (CET)
Datum 2008.07.16 00:34:13 (CET) [<1D]
Ergebnisse 9/33
Permalink: analisis/1a8d63cf1383f3e96a16abaec0e0589a

1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.

2. Brauchen wir die Ergebnisse (liste aller AntiViren Engines und deren Ergebnisse)

3. Lasse die Datei bitte nocheinmal analysieren.

[EDIT] Die Ergbnisse sind allerdings so schon recht Besorgnis erregend..
Trenne den Rechner bitte unverzüglich vom Netz und kommuniziere nur noch über Wechseldatenträge mit dem www.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Rootkit-gen
AVG - - SHeur.BVWR
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Rootkit-gen
Ikarus - - Backdoor.Win32.Oderoor.D
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Malicious Software
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - WORM_SHEUR.APH
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
weitere Informationen
MD5: ed1afc8fe8edfcdc20393024703f0db4
SHA1: 9225001ade6ca01291a8c8828941d8473886c86a
SHA256: 6128313ab895c3a79829c9b7902000237698dc5d382ef1f9679ddd05469db8d2
SHA512: 9ff322b60d004c52ca13f00c39d67f61bd529a9695381ea0966f3bc4814e7c7d5cac70a257f015c3219b5c823efaa32484470d0fdda2babcdd68500001cda99c

Zitat:

1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.

Die Ergebnisse der ersten Datei bracuhst du nimmer posten. Hab ich mit mitlerweile selber rausgekramt..

Wir machen schonmal weiter:

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!

Systembereinigung

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Unter File -> Database Update ->Start drücken.
Unter AVZPM -> Install extended monitoring driver drücken.
Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!
Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!

Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
http://img339.imageshack.us/img339/3...ameterssf7.png

Nun starte den Scan bitte durch Drücken des Start Buttons.
Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.

http://img393.imageshack.us/img393/165/logti9.png

Die beiden logs hänge bitte an deinen nächsten Post an.
Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.

07/16/08 15:20:20 [Info]: BlackLight Engine 1.0.70 initialized
07/16/08 15:20:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/16/08 15:20:21 [Note]: 7019 4
07/16/08 15:20:21 [Note]: 7005 0
07/16/08 15:20:24 [Note]: 7006 0
07/16/08 15:20:24 [Note]: 7011 1768
07/16/08 15:20:24 [Note]: 7035 0
07/16/08 15:20:24 [Note]: 7026 0
07/16/08 15:20:25 [Note]: 7026 0
07/16/08 15:20:29 [Note]: FSRAW library version 1.7.1024
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:24:16 [Note]: 7007 0

HILLLLLLFEE?
ich bin am verzweifeln der virus nervt

:D Magst du uns die beiden AVZ logs posten?!

Dann können wir deinem HilfeRuf umgehend Folge leisten. ;)

Hier mein AVZ Log
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 17.07.2008 12:10:35
Database loaded: signatures - 176618, NN profile(s) - 2, microprograms of healing - 56, signature database released 16.07.2008 18:11
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71502
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 823D71E8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 35
Analyzer: process under analysis is 1492 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1904 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1912 C:\Programme\ScanSoft\OmniPageSE\opware32.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1920 C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1940 C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 260 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
Analyzer: process under analysis is 328 C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 1612 c:\programme\avira\antivir personaledition classic\avcenter.exe
[ES]:Contains network functionality
Analyzer: process under analysis is 2420 C:\Programme\WinRAR\WinRAR.exe
[ES]:Contains network functionality
Number of modules loaded: 386
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Messages.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Owner.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\Application.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\cert8.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\formhistory.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\history.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\key3.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\urlclassifier2.sqlite
Direct reading C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_001_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_002_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_003_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_MAP_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\ntuser.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\WINDOWS\microsoft.exe
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\default
Direct reading C:\WINDOWS\system32\config\ODiag.evt
Direct reading C:\WINDOWS\system32\config\OSession.evt
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\system
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\WindowsUpdate.log
Direct reading D:\miloulonnouk.exe
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Behavioural analysis
1. Reacts to events: keyboard, mouse, all events
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Neural net: file with probability 50,00% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\ScanSoft\OmniPageSE\ophook32.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
>>> D:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (D:\autorun.inf)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]
Quarantine file: failed (error), attempt of direct disk reading (D:\miloulonnouk.exe)
Quarantine file (direct disk reading) "%S" - successful
File quarantined succesfully (D:\miloulonnouk.exe)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\ShellExecute]
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\shell\open\command]
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 136671, extracted from archives: 84803, malicious software found 0, suspicions - 0
Scanning finished at 17.07.2008 12:39:10
Time of scanning: 00:28:36
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Helf mir bitte

Wenn wir dir ordentlich helfen sollen so musst du schon genau mitarbeiten.

Das zweite log von dem in der Anleitung die Rede ist fehlt noch..

Der zweite Log

C:\WINDOWS\microsoft.exe	2	Suspicion for Backdoor.Win32.Bifrose.bgn ( 13B41305 082AFDD6 002C070D 002BE912 29053)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll	5	Suspicion for Keylogger or Trojan DLL
D:\autorun.inf	3	HSC: suspicion for hidden autorun (high degree of probability)
D:\miloulonnouk.exe	3	HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]

Jetzt kannst du mir helfen oder???

kannste mir i-wad sagn wad ich gegn den virus tun kann????

Nun mal immer langsam. Wir opfern hier unsere Freizeit und alle Löschungen wollen wohl überlegt sein oder?!
Gedrängelt wird nicht!

Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

Dort markiere den Eintrag

Zitat:

C:\Programme\ScanSoft\OmniPageSE\ophook32.dll 5 Suspicion for Keylogger or Trojan DLL

uind lasse ihn wieder herstellen. Es ist normal, dass er danach trotzdem noch in der Quarantäne angezeigt wird!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

in File Quarantine Folder View?
da sind keine!