Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   Wirklich reine^^ Luft?? (https://www.trojaner-board.de/63504-wirklich-reine-luft.html)

Saartekk 03.11.2008 11:54
Wirklich reine^^ Luft??
 
Hallo,

hoffe Ihr könnt mir helfen, bzw. einige Tipps geben, wie ich mein PC auf einen Möglichen Virenbefall untersuchen kann...

Folgendes Ist passiert: Ich habe letzte Woche meinen PC neu aufgebaut mit dem neuen Win XP Home Service Pack3... Wollt eben noch ein paar neue Programme darauf installieren und als ich eben "Youtubetomp3converter.exe" installieren wollte schlug direkt Antivier an:

Code:
In der Datei 'C:\Dokumente und Einstellungen\OXXX\Lokale Einstellungen\Temp\~tmp17453.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Habe die aktion Direkt abgebrochen und MBR Malware-Detryer drüberlaufen lassen, jedoch ohne Erfolg... Des weiteren hab ich ein HJt-Log erstellt, scheint allerdings auch in Ordnung zu sein... Hab nach der .Tmp-Datei auf meinem System gesucht, aber ohne Erfolg... muss wohl direkt gelöscht worden sein, nachdem ich das Programm ohne Installation direkt in den Papierkorb verfrachtet hatte... Hatte es vorher auch einmal bei Virustotal hochgeladen, welcher mir folgendes Log ausspuckte:

Code:
Datei YouTubeToMP3Convert.exe empfangen 2008.11.03 11:26:06 (CET)
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.11.1.0        2008.11.03        -
AntiVir        7.9.0.10        2008.11.03        -
Authentium        5.1.0.4        2008.11.02        -
Avast        4.8.1248.0        2008.11.02        Win32:VB-BAS
AVG        8.0.0.161        2008.11.03        -
BitDefender        7.2        2008.11.03        -
CAT-QuickHeal        9.50        2008.11.03        -
ClamAV        0.94.1        2008.11.03        -
DrWeb        4.44.0.09170        2008.11.03        -
eSafe        7.0.17.0        2008.11.02        -
eTrust-Vet        31.6.6185        2008.11.01        -
Ewido        4.0        2008.11.02        -
F-Prot        4.4.4.56        2008.11.02        -
F-Secure        8.0.14332.0        2008.11.03        -
Fortinet        3.117.0.0        2008.11.02        -
GData        19        2008.11.03        Win32:VB-BAS
Ikarus        T3.1.1.45.0        2008.11.03        Trojan.Inject.SD
K7AntiVirus        7.10.514        2008.11.01        -
Kaspersky        7.0.0.125        2008.11.03        -
McAfee        5422        2008.11.02        -
Microsoft        1.4005        2008.11.03        -
NOD32        3576        2008.11.03        -
Norman        5.80.02        2008.10.31        -
Panda        9.0.0.4        2008.11.02        -
PCTools        4.4.2.0        2008.11.03        -
Prevx1        V2        2008.11.03        -
Rising        21.02.01.00        2008.11.03        -
SecureWeb-Gateway        6.7.6        2008.11.03        -
Sophos        4.35.0        2008.11.03        -
Sunbelt        3.1.1777.2        2008.11.03        -
Symantec        10        2008.11.03        -
TheHacker        6.3.1.1.137        2008.11.03        -
TrendMicro        8.700.0.1004        2008.11.03        -
VBA32        3.12.8.9        2008.11.02        -
ViRobot        2008.11.3.1449        2008.11.03        -
VirusBuster        4.5.11.0        2008.11.02        -
weitere Informationen
File size: 8063694 bytes
MD5...: 2dd249b987d62de6f542a19f67ab43a6
SHA1..: b22b5ea112582a0daba39af276c3c9b9d62fadcd
SHA256: 02cdfe957a6a58064f63ad74039383de813ce041c1e4146e88779d033200b803
SHA512: f2a2726b469f98c3268b37f171542ff186f86ea09ec7952f5b16845e531f211b<br>3d72c3f1785f6d11cbcdcce7010d8689b0459beae722c5a3bee8f9ef7fe5532c
PEiD..: -
TrID..: File type identification<br>WinRAR Self Extracting archive (96.2%)<br>Win32 Executable Generic (1.5%)<br>Win32 Dynamic Link Library (generic) (1.4%)<br>Generic Win/DOS Executable (0.3%)<br>DOS Executable Generic (0.3%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x401000<br>timedatestamp.....: 0x46f268e6 (Thu Sep 20 12:34:46 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x14000 0x13800 6.47 8c499086717691066d921075ed5bdb09<br>.data 0x15000 0x7000 0xa00 4.91 0cb811e47f78b5404a658fb36b591857<br>.idata 0x1c000 0x1000 0x1000 5.12 8bf175092a70a21f11fd06cc4087c7d0<br>.rsrc 0x1d000 0x3eff 0x4000 5.07 0792c19c5e0425f7fda6ea9b97c9ffce<br><br>( 8 imports ) <br>&gt; ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW<br>&gt; KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA<br>&gt; COMCTL32.DLL: -<br>&gt; COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA<br>&gt; GDI32.DLL: DeleteObject<br>&gt; SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA<br>&gt; USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA<br>&gt; OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize<br><br>( 0 exports ) <br>
packers (F-Prot): RAR
...die Datei scheint wohl wirklich der Übeltäter gewesen zu sein... Hab Ihn nun endgültig ins Jenseits befördert... Frag mich nun, ob mein System nun wirklich frei ist davon oder ob sich doch noch irgend was eingenistet haben könnte, schliesslich ist es nen Wurm gewesen...

Hier noch ds Hijack-File:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55:07, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 5982 bytes
Was meint Ihr dazu?? soll ich vllt. noch etwas anderes drüber laufen lassen??

Gruss,

Saartekk

Silent sharK 03.11.2008 12:39
Hallo,

führe bitte folgende Tools der Reihe nach aus:

1.)
MalwareBytes Anti-Malware:

  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
http://saved.im/ndc5njj4d2lr/entfernen.png
  • poste das entstandene Logfile

2.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
Random's System Information Tool
  • Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
  • Starte RSIT mit einem Doppelklick.
  • Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
  • Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
  • Poste den Inhalt der beiden Logfiles in [code]-Tags:
HTML-Code:
[CODE]Hier das Logfile rein![/CODE]


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131