Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/58234-tr-crypt-xpack-gen.html)

Speedi 20.08.2008 00:01
TR/Crypt.XPACK.Gen
 
Hallo liebe Trojaner-Board Community.

Habe nun zum ersten Mal seit ich meinen PC habe nen anscheinend schwerwiegenden Virus/Backdoor Trojaner.

Zwar handelt es sich um folgendes Exemplar dieser wunderschönen Gattung: TR/Crypt.XPACK.Gen

Habe hier im Forum gelesen, dass ich mal ComboFix durchlaufen lassen soll und das Log hier posten soll, mir dann ein freundlicher und hilfsbereiter Member sagt, welche Dateien ich löschen muss :)

Danke schon einmal im Voraus für eure Hilfe :)
Speedi

Hier Das Log von ComboFix:
Code:
ComboFix 08-08-18.05 - *** 2008-08-20  0:43:09.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.754 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\server.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-19 bis 2008-08-19  ))))))))))))))))))))))))))))))
.

2008-08-18 18:04 . 2008-08-18 18:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-18 00:47 . 2008-08-18 00:47        57,344        --a------        C:\WINDOWS\system32\wvUnLDtS.dll
2008-08-18 00:19 . 2008-08-18 00:19        <DIR>        d--------        C:\Programme\Bonjour
2008-08-18 00:13 . 2008-08-18 00:13        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-18 00:11 . 2008-08-18 18:29        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Adobe
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\YzShadow
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\WinRoll
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\UberIcon
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\Tiger System Preferences v2
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\RK Launcher
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\ObjectDock
2008-08-17 23:56 . 2008-08-17 23:56        <DIR>        d--------        C:\Programme\iColorFolder
2008-08-17 23:53 . 2008-08-19 13:21        <DIR>        d--h-----        C:\WINDOWS\FlyakiteOSX
2008-08-17 23:53 . 2004-08-04 09:57        219,648        --a------        C:\WINDOWS\system32\uxtheme.backup
2008-08-15 18:50 . 2008-08-17 22:51        137,968        --a------        C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-15 18:50 . 2008-08-18 14:00        111,928        --a------        C:\WINDOWS\system32\PnkBstrB.exe
2008-08-15 18:49 . 2008-08-15 18:49        <DIR>        d--------        C:\WINDOWS\system32\LogFiles
2008-08-15 18:49 . 2008-08-15 18:49        66,872        --a------        C:\WINDOWS\system32\PnkBstrA.exe
2008-08-14 22:41 . 2008-08-15 00:00        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-08-14 22:41 . 2008-08-14 22:41        56        --ah-----        C:\WINDOWS\system32\ezsidmv.dat
2008-08-14 22:40 . 2008-08-14 22:40        <DIR>        dr-------        C:\Programme\Skype
2008-08-14 22:40 . 2008-08-14 22:40        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Skype
2008-08-14 22:40 . 2008-08-18 00:04        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-08-14 22:40 . 2008-08-14 22:40        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-14 14:44 . 2008-08-14 14:44        <DIR>        d--------        C:\Programme\WinPcap
2008-08-14 14:43 . 2008-08-14 14:44        <DIR>        d--------        C:\Programme\Cain
2008-08-13 12:49 . 2008-05-01 16:30        331,776        -----c---        C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-11 21:31 . 2008-05-19 18:16        186,407        --a------        C:\WINDOWS\system32\nvapps.nvb
2008-08-11 21:21 . 2008-08-11 21:21        <DIR>        d--------        C:\Programme\SystemRequirementsLab
2008-08-11 12:41 . 2008-08-11 13:22        <DIR>        d--------        C:\Programme\Hamachi
2008-08-11 12:41 . 2008-08-15 02:01        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Hamachi
2008-08-11 12:41 . 2008-08-11 12:41        25,280        --a------        C:\WINDOWS\system32\drivers\hamachi.sys
2008-08-10 12:54 . 2008-08-10 12:54        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\PacificPoker
2008-08-10 12:53 . 2008-08-10 12:53        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Logs
2008-08-10 12:26 . 2008-08-10 22:14        <DIR>        d--------        C:\Programme\PacificPoker
2008-08-05 20:04 . 2008-08-05 20:04        <DIR>        d--------        C:\Programme\Avira
2008-08-05 20:04 . 2008-08-05 20:04        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-05 19:56 . 2008-08-05 19:56        34        --a------        C:\WINDOWS\system32\lol_pwned.bat
2008-08-04 16:45 . 2008-08-04 16:45        <DIR>        d--------        C:\Programme\Fox
2008-08-04 16:45 . 2008-08-04 16:47        21,840        --a----t-        C:\WINDOWS\system32\SIntfNT.dll
2008-08-04 16:45 . 2008-08-04 16:47        17,212        --a----t-        C:\WINDOWS\system32\SIntf32.dll
2008-08-04 16:45 . 2008-08-04 16:47        12,067        --a----t-        C:\WINDOWS\system32\SIntf16.dll
2008-08-04 16:22 . 2008-08-04 16:23        <DIR>        d--------        C:\Programme\Phun
2008-08-03 11:11 . 2008-08-03 11:11        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahead
2008-08-03 11:09 . 2008-08-03 11:09        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-08-03 11:09 . 2008-08-05 18:17        49        --a------        C:\WINDOWS\NeroDigital.ini
2008-08-03 11:07 . 2008-08-03 11:07        <DIR>        d--------        C:\Programme\VideoLAN

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 11:20        ---------        d-----w        C:\Programme\Steam
2008-08-17 21:56        2,140,544        ----a-w        C:\WINDOWS\system32\ntoskrnl.exe
2008-08-17 21:56        2,017,792        ----a-w        C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-17 21:53        219,648        ----a-w        C:\WINDOWS\system32\uxtheme.dll
2008-08-11 13:36        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-08-04 14:45        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-08-04 14:45        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-02 16:24        ---------        d-----w        C:\Programme\PartyGaming
2008-07-16 14:55        ---------        d-----w        C:\Programme\ICQ6
2008-07-16 14:55        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
2008-07-13 15:11        ---------        d-----w        C:\Programme\AWC
2008-07-12 20:58        ---------        d-----w        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-07-12 15:59        ---------        d-----w        C:\Programme\Electronic Arts
2008-07-12 11:18        ---------        d-----w        C:\Programme\D-Tools
2008-07-11 19:26        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll
2008-07-07 14:49        ---------        d-----w        C:\Programme\AutoIt3
2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38        686,080        ----a-w        C:\WINDOWS\system32\wininet.dll
2008-06-22 08:44        ---------        d-----w        C:\Programme\Ahead
2008-06-22 08:40        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Ahead
2008-06-22 08:40        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\drivers\tcpip6.sys
2002-08-05 03:21        712,704        ----a-w        C:\WINDOWS\inf\OTHER\audio3d.dll
.

------- Sigcheck -------

2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a        C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll
2005-03-02 20:19  578560  4c90159a69a5fd3eb39c71411f28fcff        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:48  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2005-03-02 20:21  562688  def116925e1ea04691ec6362f197451e        C:\WINDOWS\$NtServicePackUninstall$\user32.dll
2004-08-04 09:57  578560  56785fd5236d7b22cf471a6da9db46d8        C:\WINDOWS\$NtUninstallKB890859$\user32.dll
2003-04-02 14:00  561664  e3daffdb1c86c1aeac1b205f6cf67009        C:\WINDOWS\$NtUninstallKB890859_0$\user32.dll
2005-03-02 20:09  578560  3751d7cf0e0a113d84414992146bce6a        C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2007-03-08 17:36  579072  492e166cfd26a50fb9160db536ff7d2b        C:\WINDOWS\FlyakiteOSX\Backup\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d        C:\WINDOWS\ServicePackFiles\i386\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d        C:\WINDOWS\system32\user32.dll
2007-03-08 17:36  579072  9a21eb0f182ad19f93dfad501a12049d        C:\WINDOWS\system32\dllcache\user32.dll

2008-02-16 11:30  671744  6c49192217df0509bc6a576535545529        C:\WINDOWS\$hf_mig$\KB947864\SP2QFE\wininet.dll
2008-04-21 08:56  672256  018aded93507a4aea4f55741863dbc9e        C:\WINDOWS\$hf_mig$\KB950759\SP2QFE\wininet.dll
2008-04-21 08:42  671744  11d26d87e041000ea4c0128cd0010f7a        C:\WINDOWS\$hf_mig$\KB950759\SP3GDR\wininet.dll
2008-04-21 08:24  672256  645a4a4884eb5eb8453c01531fcbec3a        C:\WINDOWS\$hf_mig$\KB950759\SP3QFE\wininet.dll
2008-06-23 18:14  672768  878f506d7f69e06bccdc86c2a4d17633        C:\WINDOWS\$hf_mig$\KB953838\SP2QFE\wininet.dll
2008-06-23 17:10  671744  978542595cf09a86e2ef60552a35c937        C:\WINDOWS\$hf_mig$\KB953838\SP3GDR\wininet.dll
2008-06-23 16:55  672256  6432638b5ce374d912c0c4f2a9f03dae        C:\WINDOWS\$hf_mig$\KB953838\SP3QFE\wininet.dll
2006-06-23 13:27  582144  8a74319e8eff349f2ce170cad587da2f        C:\WINDOWS\$NtServicePackUninstall$\wininet.dll
2003-04-02 14:00  604672  e332e1bbf073bdd18742b9a0db6f208a        C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\wininet.dll
2004-08-04 09:57  662016  b1a1da99c4a6ebfd59f86a453bf02f39        C:\WINDOWS\$NtUninstallKB947864$\wininet.dll
2008-02-16 10:59  665088  34b6ee86f286b2595539e1617962256d        C:\WINDOWS\$NtUninstallKB950759$\wininet.dll
2008-04-21 09:01  665088  fbed32c104bd9410e2da2d3ac1ce4008        C:\WINDOWS\$NtUninstallKB953838$\wininet.dll
2008-06-23 17:38  665088  1b540e19adc30a53c8410dcbbab1ef53        C:\WINDOWS\FlyakiteOSX\Backup\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2        C:\WINDOWS\ServicePackFiles\i386\wininet.dll
2008-06-23 17:38  665088  1b540e19adc30a53c8410dcbbab1ef53        C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp2gdr\wininet.dll
2008-06-23 18:14  672768  878f506d7f69e06bccdc86c2a4d17633        C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp2qfe\wininet.dll
2008-06-23 17:10  671744  978542595cf09a86e2ef60552a35c937        C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3gdr\wininet.dll
2008-06-23 16:55  672256  6432638b5ce374d912c0c4f2a9f03dae        C:\WINDOWS\SoftwareDistribution\Download\8b197877eb5744f435bb1a5594ced86f\sp3qfe\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2        C:\WINDOWS\system32\wininet.dll
2008-06-23 17:38  686080  59ce579d4cef8546d7be4cd15d300bc2        C:\WINDOWS\system32\dllcache\wininet.dll

2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff        C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntkrnlpa.exe
2005-03-02 20:11  2059264  ae8364004bbfd70461d2ef34888d3360        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06  2061696  9b9ca27ad315c02b71510238574894b2        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2005-03-02 20:16  1958016  711cc10cc618dd6265379eeb037fe333        C:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe
2004-08-04 09:50  2059136  ce41fc4c06499a389d39b301879535fb        C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2003-04-02 14:00  1950080  ad669b66162c858a22a2454a138ecb88        C:\WINDOWS\$NtUninstallKB890859_0$\ntkrnlpa.exe
2005-03-02 20:06  2059136  bdff8ffa77ee7df9758ef8c1e0da8eff        C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 18:02  2059904  06effe1520c59641fcdb8baa94a8539f        C:\WINDOWS\FlyakiteOSX\Backup\ntkrnlpa.exe
2007-02-28 18:02  2017792  84935ce584d443bba7dbad5d1d4a8f0d        C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2008-08-17 23:56  2017792  4cce6a7a16fef7d2575a1ef09d652ba3        C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02  2017792  84935ce584d443bba7dbad5d1d4a8f0d        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945        C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\ntoskrnl.exe
2005-03-02 20:11  2181888  eb5538a452e0e99169e2b6cdb62ff9d2        C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06  2184448  e1de7a10d46959560c3b617227d95c19        C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2005-03-02 20:16  2043008  a64548e903c68eedf5e2eee60cc7d36c        C:\WINDOWS\$NtServicePackUninstall$\ntoskrnl.exe
2004-08-04 09:50  2183296  dc888c9c4ca0eea7a3cb7e6b610f75c7        C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2003-04-02 14:00  2044416  d27f8835923cf08c9cc2e277313c44e0        C:\WINDOWS\$NtUninstallKB890859_0$\ntoskrnl.exe
2005-03-02 20:06  2181632  7189a2391adc1f65c9ae87b0abe0f945        C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 18:02  2182656  2804b72eb675cd43df7994ae4685b894        C:\WINDOWS\FlyakiteOSX\Backup\ntoskrnl.exe
2007-02-28 18:02  2140544  7efeb6bbdcb902c82dea4639f751e78f        C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2008-08-17 23:56  2140544  6d546ea277323c54c90365591db9127e        C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02  2140544  7efeb6bbdcb902c82dea4639f751e78f        C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc        C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56        C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2003-04-02 14:00  1007104  22b0a56e6c5847292437078b484ec61b        C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57  1035264  22fe1be02eadde1632e478e4125639e0        C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21  1036288  64d320c0e301eedc5a4adbbdc5024f7f        C:\WINDOWS\FlyakiteOSX\Backup\explorer.exe
2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc        C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2007-06-13 15:21  1369088  1d004004ffc9abc1f78734b42e55c0cc        C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}]
2008-08-18 00:47        57344        --a------        C:\WINDOWS\system32\wvUnLDtS.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"BLASC"="C:\Programme\buffed\BLASC.exe" [2008-05-20 15:14 2243072]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" [2004-10-13 18:24 1686016]
"Steam"="c:\programme\steam\steam.exe" [2008-06-01 18:29 1271032]
"RK Launcher"="C:\Programme\RK Launcher\RKLauncher.exe" [2005-10-19 09:40 393216]
"Alt+Q Hotkey Tool"="C:\WINDOWS\Alt+Q Hotkey.exe" [2005-12-18 21:14 27648]
"UberIcon"="C:\Programme\UberIcon\UberIcon Manager.exe" [2006-02-24 02:32 188416]
"WinRoll"="C:\Programme\WinRoll\winroll.exe" [2006-01-02 00:27 15872]
"Yz Shadow"="C:\Programme\YzShadow\YzShadow.exe" [2006-02-24 04:51 172032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352]
"Launch LGDCore"="C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 03:22 1126400]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 94208]
"System Files Updater"="C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe" [2006-02-26 01:41 118485]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 10:31 67584 C:\WINDOWS\SOUNDMAN.EXE]
"C-Media Mixer"="Mixer.exe" [2002-08-05 05:21 1495040 C:\WINDOWS\mixer.exe]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{444FC7D1-8F08-4377-B39B-4D75AE0E9F70}"= "C:\WINDOWS\system32\wvUnLDtS.dll" [2008-08-18 00:47 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnLDtS]
2008-08-18 00:47 57344 C:\WINDOWS\system32\wvUnLDtS.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\TmUnitedForever\\TmForever.exe"=
"C:\\Programme\\Ares\\Ares.exe"=
"C:\\Programme\\Steam\\steamapps\\speedi200\\counter-strike source\\hl2.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Dokumente\\cs\\data\\hl.exe"=
"D:\\Spiele\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"C:\\Dokumente und Einstellungen\\***\\Desktop\\WC3\\Warcraft III.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R2 Apache2.2;Apache2.2;D:\xampp\apache\bin\apache.exe [2008-06-14 19:02]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Launch LCDMon - C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
HKLM-Run-iconcache - (no file)
HKLM-Run-cleanup - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\zpxdnd3x.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 00:46:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\wvUnLDtS.dll
.
Zeit der Fertigstellung: 2008-08-20  0:48:23
ComboFix-quarantined-files.txt  2008-08-19 22:48:13

Pre-Run: 9 Verzeichnis(se), 31,899,758,592 Bytes frei
Post-Run: 11 Verzeichnis(se), 34,427,469,824 Bytes frei

239        --- E O F ---        2008-08-13 18:12:18

Silent sharK 20.08.2008 00:21
Hi,
sehr schlecht, das Du ComboFix auf deine Eigeninitiative ausgeführt hast.
Es wurde nämliche eine relevante Datei namens
Zitat:
C:\WINDOWS\system32\server.exe
gelöscht.
Erstell bitte ein HijackThis Logfile, den Boardregeln entsprechend. ;)

Argh, immer diese Postüberschneidungen. :(

mfg

undoreal 20.08.2008 00:22
Nabend Speedi ;)

Eine server.exe ist immer garnicht gut..:schmoll:


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\wvUnLDtS.dll
C:\WINDOWS\system32\SIntfNT.dll
C:\WINDOWS\system32\SIntf32.dll
C:\WINDOWS\system32\SIntf16.dll
C:\WINDOWS\system32\ntkrnlpa.exe

Unter C:\qoobox\ findest du eine Datei. Diese bitte ebenfalls analysieren lassen...
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

PS: Hallöle Dark.. :) :party:
Zitat:
sehr schlecht, das Du ComboFix auf deine Eigeninitiative ausgeführt hast.
und da stimme ich dir voll und ganz zu! Aber ich kann hier ja predigen wie ich will.. :rolleyes:

Speedi 20.08.2008 00:48
Zitat:
Zitat von undoreal (Beitrag 364198)
und da stimme ich dir voll und ganz zu! Aber ich kann hier ja predigen wie ich will.. :rolleyes:
Da ich mich grade eben mitten in der Nacht genau dieses Problems halber angemeldet habe, kann ich mich dieser Schuld entziehen ^^

Tut mir leid, dass ich das ganze ohne Sicherheits-Grundwissen ausgeführt habe :x

Hier das HijackThis-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:41:09, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\apache\bin\apache.exe
C:\Programme\Bonjour\mDNSResponder.exe
D:\xampp\mysql\bin\mysqld-nt.exe
D:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\buffed\BLASC.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\programme\steam\steam.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Start.exe
C:\WINDOWS\system32\rundll32.exe
D:\Hijack\HijackThis.exe
D:\Programme\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
D:\Hijack\This.com.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {444FC7D1-8F08-4377-B39B-4D75AE0E9F70} - C:\WINDOWS\system32\wvUnLDtS.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wvUnLDtS - C:\WINDOWS\SYSTEM32\wvUnLDtS.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 7041 bytes
Nun die einzelnen Datei-Scans:

Datei wvUnLDtS.dll empfangen 2008.08.20 01:44:02 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 19/36 (52.78%)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.19        -
AntiVir        7.8.1.23        2008.08.19        ADSPY/Virtumonde.trz
Authentium        5.1.0.4        2008.08.19        W32/Trojan2.AVMR
Avast        4.8.1195.0        2008.08.19        Win32:VunDrop
AVG        8.0.0.161        2008.08.20        Generic10.ZAP
BitDefender        7.2        2008.08.20        MemScan:Trojan.Vundo.ENF
CAT-QuickHeal        9.50        2008.08.19        -
ClamAV        0.93.1        2008.08.19        Trojan.Vundo-4082
DrWeb        4.44.0.09170        2008.08.19        Trojan.Virtumod.based.11
eSafe        7.0.17.0        2008.08.19        -
eTrust-Vet        31.6.6036        2008.08.19        -
Ewido        4.0        2008.08.19        -
F-Prot        4.4.4.56        2008.08.19        W32/Trojan2.AVMR
F-Secure        7.60.13501.0        2008.08.19        Vundo.gen179
Fortinet        3.14.0.0        2008.08.19        -
GData        2.0.7306.1023        2008.08.20        Trojan.Win32.Monder.gen
Ikarus        T3.1.1.34.0        2008.08.19        -
K7AntiVirus        7.10.421        2008.08.19        not-a-virus:AdWare.Win32.Virtumonde.trw
Kaspersky        7.0.0.125        2008.08.19        not-a-virus:AdWare.Win32.Virtumonde.trw
McAfee        5364        2008.08.19        -
Microsoft        1.3807        2008.08.20        Trojan:Win32/Vundo.gen!H
NOD32v2        3369        2008.08.19        -
Norman        5.80.02        2008.08.19        W32/Virtumonde.XIE
Panda        9.0.0.4        2008.08.19        Spyware/Vundo
PCTools        4.4.2.0        2008.08.19        -
Prevx1        V2        2008.08.20        Suspicious
Rising        20.58.12.00        2008.08.19        -
Sophos        4.32.0        2008.08.20        Troj/Virtum-Gen
Sunbelt        3.1.1546.1        2008.08.15        Virtumonde
Symantec        10        2008.08.20        -
TheHacker        6.3.0.5.054        2008.08.19        -
TrendMicro        8.700.0.1004        2008.08.19        -
VBA32        3.12.8.3        2008.08.19        -
ViRobot        2008.8.19.1341        2008.08.19        -
VirusBuster        4.5.11.0        2008.08.19        -
Webwasher-Gateway        6.6.2        2008.08.19        Ad-Spyware.Virtumonde.trz
Datei SIntfNT.dll empfangen 2008.08.20 01:46:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/36 (5.56%)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.19        -
AntiVir        7.8.1.23        2008.08.19        -
Authentium        5.1.0.4        2008.08.19        -
Avast        4.8.1195.0        2008.08.19        -
AVG        8.0.0.161        2008.08.20        -
BitDefender        7.2        2008.08.20        -
CAT-QuickHeal        9.50        2008.08.19        -
ClamAV        0.93.1        2008.08.19        -
DrWeb        4.44.0.09170        2008.08.19        -
eSafe        7.0.17.0        2008.08.19        Suspicious File
eTrust-Vet        31.6.6036        2008.08.19        -
Ewido        4.0        2008.08.19        -
F-Prot        4.4.4.56        2008.08.19        -
F-Secure        7.60.13501.0        2008.08.19        -
Fortinet        3.14.0.0        2008.08.19        -
GData        2.0.7306.1023        2008.08.20        -
Ikarus        T3.1.1.34.0        2008.08.19        -
K7AntiVirus        7.10.421        2008.08.19        -
Kaspersky        7.0.0.125        2008.08.19        -
McAfee        5364        2008.08.19        -
Microsoft        1.3807        2008.08.20        -
NOD32v2        3369        2008.08.19        -
Norman        5.80.02        2008.08.19        -
Panda        9.0.0.4        2008.08.19        -
PCTools        4.4.2.0        2008.08.19        -
Prevx1        V2        2008.08.20        -
Rising        20.58.12.00        2008.08.19        -
Sophos        4.32.0        2008.08.20        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.20        -
TheHacker        6.3.0.5.054        2008.08.19        -
TrendMicro        8.700.0.1004        2008.08.19        -
VBA32        3.12.8.3        2008.08.19        -
ViRobot        2008.8.19.1341        2008.08.19        -
VirusBuster        4.5.11.0        2008.08.19        -
Webwasher-Gateway        6.6.2        2008.08.19        Win32.Malware.gen#Petite!84 (suspicious)
Datei SIntf32.dll empfangen 2008.08.20 01:48:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/36 (5.56%)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.19        -
AntiVir        7.8.1.23        2008.08.19        -
Authentium        5.1.0.4        2008.08.19        -
Avast        4.8.1195.0        2008.08.19        -
AVG        8.0.0.161        2008.08.20        -
BitDefender        7.2        2008.08.20        -
CAT-QuickHeal        9.50        2008.08.19        -
ClamAV        0.93.1        2008.08.19        -
DrWeb        4.44.0.09170        2008.08.19        -
eSafe        7.0.17.0        2008.08.19        Suspicious File
eTrust-Vet        31.6.6036        2008.08.19        -
Ewido        4.0        2008.08.19        -
F-Prot        4.4.4.56        2008.08.19        -
F-Secure        7.60.13501.0        2008.08.19        -
Fortinet        3.14.0.0        2008.08.19        -
GData        2.0.7306.1023        2008.08.20        -
Ikarus        T3.1.1.34.0        2008.08.19        -
K7AntiVirus        7.10.421        2008.08.19        -
Kaspersky        7.0.0.125        2008.08.19        -
McAfee        5364        2008.08.19        -
Microsoft        1.3807        2008.08.20        -
NOD32v2        3369        2008.08.19        -
Norman        5.80.02        2008.08.19        -
Panda        9.0.0.4        2008.08.19        -
PCTools        4.4.2.0        2008.08.19        -
Prevx1        V2        2008.08.20        -
Rising        20.58.12.00        2008.08.19        -
Sophos        4.32.0        2008.08.20        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.20        -
TheHacker        6.3.0.5.054        2008.08.19        -
TrendMicro        8.700.0.1004        2008.08.19        -
VBA32        3.12.8.3        2008.08.19        -
ViRobot        2008.8.19.1341        2008.08.19        -
VirusBuster        4.5.11.0        2008.08.19        -
Webwasher-Gateway        6.6.2        2008.08.19        Win32.Malware.gen#Petite!84 (suspicious)
Datei SIntf16.dll empfangen 2008.08.20 01:50:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.19        -
AntiVir        7.8.1.23        2008.08.19        -
Authentium        5.1.0.4        2008.08.19        -
Avast        4.8.1195.0        2008.08.19        -
AVG        8.0.0.161        2008.08.20        -
BitDefender        7.2        2008.08.20        -
CAT-QuickHeal        9.50        2008.08.19        -
ClamAV        0.93.1        2008.08.19        -
DrWeb        4.44.0.09170        2008.08.19        -
eSafe        7.0.17.0        2008.08.19        -
eTrust-Vet        31.6.6035        2008.08.15        -
Ewido        4.0        2008.08.19        -
F-Prot        4.4.4.56        2008.08.19        -
F-Secure        7.60.13501.0        2008.08.19        -
Fortinet        3.14.0.0        2008.08.19        -
GData        2.0.7306.1023        2008.08.20        -
Ikarus        T3.1.1.34.0        2008.08.19        -
K7AntiVirus        7.10.421        2008.08.19        -
Kaspersky        7.0.0.125        2008.08.19        -
McAfee        5364        2008.08.19        -
Microsoft        1.3807        2008.08.20        -
NOD32v2        3369        2008.08.19        -
Norman        5.80.02        2008.08.19        -
Panda        9.0.0.4        2008.08.19        -
PCTools        4.4.2.0        2008.08.19        -
Prevx1        V2        2008.08.20        -
Rising        20.58.12.00        2008.08.19        -
Sophos        4.32.0        2008.08.20        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.20        -
TheHacker        6.3.0.5.054        2008.08.19        -
TrendMicro        8.700.0.1004        2008.08.19        -
VBA32        3.12.8.3        2008.08.19        -
ViRobot        2008.8.19.1341        2008.08.19        -
VirusBuster        4.5.11.0        2008.08.19        -
Webwasher-Gateway        6.6.2        2008.08.19        -
Datei ntkrnlpa.exe empfangen 2008.08.20 01:53:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/36 (2.78%)

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.8.19.0        2008.08.19        -
AntiVir        7.8.1.23        2008.08.19        -
Authentium        5.1.0.4        2008.08.19        -
Avast        4.8.1195.0        2008.08.19        -
AVG        8.0.0.161        2008.08.20        -
BitDefender        7.2        2008.08.20        -
CAT-QuickHeal        9.50        2008.08.19        -
ClamAV        0.93.1        2008.08.19        -
DrWeb        4.44.0.09170        2008.08.19        -
eSafe        7.0.17.0        2008.08.19        -
eTrust-Vet        31.6.6036        2008.08.19        -
Ewido        4.0        2008.08.19        -
F-Prot        4.4.4.56        2008.08.19        -
F-Secure        7.60.13501.0        2008.08.19        -
Fortinet        3.14.0.0        2008.08.19        -
GData        2.0.7306.1023        2008.08.20        -
Ikarus        T3.1.1.34.0        2008.08.19        -
K7AntiVirus        7.10.421        2008.08.19        -
Kaspersky        7.0.0.125        2008.08.19        -
McAfee        5364        2008.08.19        -
Microsoft        1.3807        2008.08.20        -
NOD32v2        3369        2008.08.19        -
Norman        5.80.02        2008.08.19        -
Panda        9.0.0.4        2008.08.19        -
PCTools        4.4.2.0        2008.08.19        -
Prevx1        V2        2008.08.20        -
Rising        20.58.12.00        2008.08.19        -
Sophos        4.32.0        2008.08.20        -
Sunbelt        3.1.1546.1        2008.08.15        -
Symantec        10        2008.08.20        -
TheHacker        6.3.0.5.054        2008.08.19        -
TrendMicro        8.700.0.1004        2008.08.19        -
VBA32        3.12.8.3        2008.08.19        -
ViRobot        2008.8.19.1341        2008.08.19        -
VirusBuster        4.5.11.0        2008.08.19        -
Webwasher-Gateway        6.6.2        2008.08.19        Win32.Malware.gen!80 (suspicious)
Datei snapshot_2008-08-20__0.47.45.26.d empfangen 2008.08.20 01:56:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
brauch ich bei 0/36 denk ich mal nicht posten...

Datei snapshot_2008-08-20__0.47.45.26_B empfangen 2008.08.20 01:58:04 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
gleiche wie eben...

Silent sharK 20.08.2008 00:52
Hoi,
führe mal folgendes Tool aus:

MalwareBytes Anti-Malware:
  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

j199207 20.08.2008 01:00
Hi ich hab genau das gleiche Problem und wollte fragen ob ich für meine Daten einen neuen Thread aufmachen soll

Silent sharK 20.08.2008 01:01
Zitat:
Hi ich hab genau das gleiche Problem und wollte fragen ob ich für meine Daten einen neuen Thread aufmachen soll
Ja, mach das doch bitte.

Speedi 20.08.2008 01:41
So, hier das Log von Malwarebytes:

Code:
Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1071
Windows 5.1.2600 Service Pack 2

02:35:52 20.08.2008
mbam-log-08-20-2008 (02-35-45).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 172390
Laufzeit: 34 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\wvUnLDtS.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvunldts (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{444fc7d1-8f08-4377-b39b-4d75ae0e9f70} (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wvUnLDtS.dll (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{0776DE9A-A9E8-40F8-A398-960B5FEF71FD}\RP151\A0012517.dll (Trojan.Vundo) -> No action taken.

Silent sharK 20.08.2008 01:45
So,
jetzt kommen diese Tools ;):

1.)
SUPERAntiSpyware:
  • Lade dir SUPERAntiSpyware und installiere es
  • Folge den Anweisungen und poste das entstandene Logfile

2.)
Blacklight scannen lassen
  • Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
  • Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
  • Klick "I accept the agreement", "next", "Scan".
  • Wenn der Scan fertig ist beende Blacklight mit "Close".
  • Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

undoreal 20.08.2008 08:26
Zitat:
So,
jetzt kommen diese Tools
Mache vorher bitte noch einen Scan mit Anti-Malware und lasse die Funde löschen.. ;)

Speedi 20.08.2008 14:25
Hab jetzt das System neu aufgesetzt nachdem wir gestern Nacht noch bis um 4 gesessen haben.

Danke an Dark Viruz für den Messenger Support :)

Auch Danke an undoreal für die Hilfe :)

Was sollt ich so nach der Neuinstalltion an Sicherheitssoftware draufhauen?

Danke
Speedi

Joern 21.09.2008 21:09
Moin,
ich würde dir Kaspersky oder NOD32 empfehlen.
Kaspersky kann man sich bei computerbild kostenlos runterladen und eine Seriennummer bestellen.
Gruß
Joern


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131