Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/CryptZPack.Gen ... *grmpf* (https://www.trojaner-board.de/77517-tr-cryptzpack-gen-grmpf.html)

dieGuenni 15.09.2009 20:20

TR/CryptZPack.Gen ... *grmpf*
 
Guten Abend.
Hab seit heut Morgen über AntiVir regelmäßig Meldungen über o.g. Trojaner.

Hier der Highjack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:30, on 15.09.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\dwwin.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\Programme\Java\jre1.6.0_07\bin\jusched.exe
E:\WINDOWS\PixArt\PAC207\Monitor.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
E:\WINDOWS\System32\avast!UpdateAgent.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
E:\WINDOWS\System32\wuauclt.exe
E:\Programme\Trend Micro\HijackThis\HijackThis.exe
E:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
E:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = eTel Austria
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - E:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - E:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - E:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - E:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - E:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - E:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NBKeyScan] "E:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Monitor] E:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Orb] "E:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] "E:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [AdobeUpdater] E:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast!UpdateAgent.exe - Unknown owner - E:\WINDOWS\System32\avast!UpdateAgent.exe
O23 - Service: Google Software Updater (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 7254 bytes


Kann mir jemand mit einer Auswertung behilflich sein oder mir gar sagen, wie ich das Ding wieder los werde?
Ich hab nicht viel Ahnung, leider.

Liebe Grüße
Die Günni

kira 16.09.2009 00:09

Hallo und Herzlich Willkommen! :)

Code:

Scan saved at 20:43:30, on 15.09.2009
Platform: Windows XP (WinNT 5.01.2600)

ich würde dir eher empfehlen Windows zu formatieren und neu zu installieren! Der einzige Grund dafür ist, weil dein Computer noch nie ein WindowsUpdate gesehen hat! Um neu aufgetauchte Lücken dicht zu machen,jeden zweiten Dienstag im Monat ist Patch Day im Hause Microsoft.Kritische Schwachstellen,Sicherheitlücken werden mit dem Update behoben.seit SP1 wurden gleich mehrere Lücken geschlossen,bei dir ist es nicht der Fall.Das heißt,dein Rechner ohne SP2 ist eine Virenschleuder...
Es macht also eine systemreinigung auch keinen Sinn,weil wenn Du Deinen Rechner mit dem Internet verbindest, ist er hilflos ausgeliefert (Trojanern,diversen Wurm-Varianten etc)
telekom-pesse.at]Immer am neuesten Stand
Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann.
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow

dieGuenni 16.09.2009 07:50

Danke für deine Antwort.
Der Rechner ist eh ein Fritz-Walter-Gedächtnisrechner... und ohnehin schon überfordert mit dem, was drauf ist.
Bisher hatten wir keine Probleme... naja. Mal sehen.

Danke für die Info!

dieGuenni 17.09.2009 06:32

So.
Einziges bisher aufgetretenes Problem:
Direkt nach dem Starten bekomm ich das Fenster *Der Explorer hat ein Problem festgestellt und muss beendet werden blabla*.
Wenn ich das schließe, beendet der Rechner den Explorer und zurück bleibt ein leerer Desktop.
Schließe ich das nicht, kann ich ganz normal arbeiten... halt mit dem doofen störenden Fenster am Bildrand.
Dann hab ich noch ein paar infizierte Musik- und Filmdateien gefunden.. die muss ich später mal raussuchen und löschen.

Unnu?

Silent sharK 17.09.2009 06:50

Zitat:

Zitat von dieGuenni (Beitrag 466176)
[...]

Unnu?

Das, was Coverflow schon geschrieben hat: Formatieren. :)
Und nein, es gibt keine andere Möglichkeit (ich zumindest habe keine Lust eine vollkommen ungepatchte XP-Version zu bereinigen, da sie binnen Minuten eh wieder infiziert ist).

kira 17.09.2009 08:19

ja, ist so! Keine andere Möglichkeit hat Sinn!
Komplett formatieren-> System neu zu installieren der einzige Weg ist
Bevor du mit deinem PC direkt ins Netz gehst:
  • Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
  • Service Packs - 1a,1,2 und 3 - hier oder hier herunterladen
  • Firewall aktivieren und bereits Antivirensoftware installiert haben
  • dann alle neue Updates von Microsoft

wenn Du dir die Zeit nimmst alles durchzulesen, dann kann ja eigentlich nichts mehr schiefgehen:)


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131