Trojaner-Board - TR/Crypt.XPACK.Gen wird nicht gelöscht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - TR/Crypt.XPACK.Gen wird nicht gelöscht (https://www.trojaner-board.de/64044-tr-crypt-xpack-gen-geloescht.html)

TR/Crypt.XPACK.Gen wird nicht gelöscht

Hallo liebe Trojaner-Board Community,

ich habe seit gestern das Problem das Antivir herummeckert wegen dem Trojaner: TR/Crypt.XPACK.Gen

Die Dateien die erstellt werden sind 2 .exe Dateien mit als Bezeichnung Nummern haben.

Beide .exe Dateien entstehen in dem Ordner "C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp"

Manchmal entstehen sie auch in dem Ordner "C:\WINDOWS\Temp"

Dann zeigt er mit noch mal den Trojaner bei einer .htm Datei an die sich im C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5" befindet. Sie heißt meistens "cd[1].htm.

Wenn ich Sie lösche sind die nicht mehr da. Aber nach einer weilen kommt die Meldung wieder. Habe schon mit Antivir einen Komplettscan und auch mit Lavasoft Ad-Aware einen Vollständigen Scann gemacht. Alle Dateien die angezeigt wurden haben ich gelöscht. Die waren sicher nicht von Windows, alleine schon wegen der Bezeichnung. Aber dieser Fehler ist halt immer noch da.

Ich habe mal mit HijackThis ein Log erstellt:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:15:39, on 09.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Norton Ghost\Agent\VProSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

C:\Programme\RealVNC_2\VNC4\WinVNC4.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe

O4 - HKLM\..\Run: [bc208394] rundll32.exe "C:\WINDOWS\system32\vldijtcr.dll",b

O4 - HKLM\..\Run: [inetsrv] C:\WINDOWS\system32\inetsrv.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\ELTIMA~1\FLASHD~1\iebt.dll (HKCU)

O15 - Trusted Zone: h**p://asia.msi.com.tw

O15 - Trusted Zone: h**p://global.msi.com.tw

O15 - Trusted Zone: h**p://www.msi.com.tw

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C562178-A2A2-4960-BF74-CB1D5565262D}: NameServer = 192.168.2.1

O20 - AppInit_DLLs: karna.dat cpzigj.dll pxwlae.dll

O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Asset Management Daemon - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe

O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

O23 - Service: NNServ - Unknown owner - C:\Programme\NewDotNet\nnrun.exe (file missing)

O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe (file missing)

O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC_2\VNC4\WinVNC4.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 12856 bytes

Hoffe dafür gibt es ein Programm, mit dem man das entfernen kann. Danke schon mal an euch!

mfG darkmaker

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\system32\vldijtcr.dll

C:\WINDOWS\system32\jsne87fidgf.dll

C:\WINDOWS\system32\inetsrv.exe

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Windows\lsass.exe

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Hi,

also ich kann das erste nicht machen mit den Alle dateien anzeigen lassen, da mir der Eintrag fehlt Ordneroptionen.

Daher habe ich auch nur die eine Datei gefunden: C:\WINDOWS\system32\jsne87fidgf.dll

Wie kann ich es noch hinkriegen, dass mir das Menü gezeigt wird wo ich die Ordneroptionen sehen kann. Unter Systemsteuerung ist es nicht vorhanden. Und wenn ich es unter der Registry einstellen will wie ich es hier gelesen habe:

http://www.pcwelt.de/forum/windows-xp-server-2003/307290-ordneroptionen-lassen-anzeigen-2.html

sagt er mir immer:

Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert.

Aber ich habe das nie gemacht bzw. wie aktiviere ich das wieder?

Ich weiß nicht ob ich die weiteren schritte machen kann, da die versteckten Dateien ja nicht angezeigt werden und die ja auch mitgescannt werden müssen.

Danke

mfG darkmaker

Das ist eine reine Ansichtsoption. Die versteckten Dateien werden sonst immer berücksichtigt.

Kopiere am besten den kompletten Pfad zu den Dateien bei Virustotal direkt rein, oder die Datei auszuwählen, einfach via copy and paste.

also die restlichen Dateien sind auch nicht mehr da. Also habe den kopletten Pfad eingetragen aber die Dateien wurden nicht gefunden. Auch mit der Suchfunktion wurden sie nicht gefunden. Ich werde mal einfach deine Liste abarbeiten. Vielleicht ergibt sich ja was neues bei dem letzten HijackThis Scan.

Gruß darkmaker

Genau, überspung diesen Punkt erstmal, das ist besser als sich da bei Kleinigkeiten aufzuhalten. :killpc:

Hallo,

so habe jetzt alle punkte abgearbeitet. Habe jetzt das mit der Anzeige von Ordneroptionen behoben. Aber punkt 7. konnte ich nicht ausführen bzw. hat er keine Textdatei erzeugt, weil er immer den Pfad nicht gefunden hat.

Hier die anderen Ergebnisse:

1. Virustotal.com

Code:

Scan von jsne87fidgf.dll
 

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.11.11.2        2008.11.11        -

AntiVir        7.9.0.31        2008.11.11        -

Authentium        5.1.0.4        2008.11.11        -

Avast        4.8.1248.0        2008.11.11        Win32:Lighty-D

AVG        8.0.0.161        2008.11.11        Dropper.Bravix.L

BitDefender        7.2        2008.11.11        -

CAT-QuickHeal        9.50        2008.11.11        -

ClamAV        0.94.1        2008.11.11        -

DrWeb        4.44.0.09170        2008.11.11        -

eSafe        7.0.17.0        2008.11.11        Suspicious File

eTrust-Vet        31.6.6203        2008.11.11        -

Ewido        4.0        2008.11.11        -

F-Prot        4.4.4.56        2008.11.11        -

F-Secure        8.0.14332.0        2008.11.11        -

Fortinet        3.117.0.0        2008.11.11        -

GData        19        2008.11.11        Win32:Lighty-D

Ikarus        T3.1.1.45.0        2008.11.11        Trojan-Clicker.Win32.Klik

K7AntiVirus        7.10.522        2008.11.11        -

Kaspersky        7.0.0.125        2008.11.11        -

McAfee        5430        2008.11.10        -

Microsoft        1.4104        2008.11.11        Trojan:Win32/Ertfor.A

NOD32        3603        2008.11.11        -

Norman        5.80.02        2008.11.10        W32/DLoader.KSUW

Panda        9.0.0.4        2008.11.10        Suspicious file

PCTools        4.4.2.0        2008.11.11        -

Prevx1        V2        2008.11.11        Malware Downloader

Rising        21.03.12.00        2008.11.11        -

SecureWeb-Gateway        6.7.6        2008.11.11        -

Sophos        4.35.0        2008.11.11        -

Sunbelt        3.1.1785.2        2008.11.11        VIPRE.Suspicious

Symantec        10        2008.11.11        Downloader

TheHacker        6.3.1.1.147        2008.11.10        -

TrendMicro        8.700.0.1004        2008.11.11        -

VBA32        3.12.8.9        2008.11.10        -

ViRobot        2008.11.11.1461        2008.11.11        -

VirusBuster        4.5.11.0        2008.11.11        -

weitere Informationen

File size: 10000 bytes

MD5...: 3f9d5988f88c29cf2d5713db3ee49a15

SHA1..: 57eb2568c1b4c3edec486ee5b78c2c1796c5d72f

SHA256: a2193053b778394c466bfe75cfe3c994b5039a9d064335648608820bace4e424

SHA512: 8add091c37d7acff78c8be247792c9d6a25aa2774fcd50603dce2ccff6f5a4f6

176aae49e94c50ee93ffcd3131b233e7b83e41d1c105ee530fd9663530ff686d

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x10001008

timedatestamp.....: 0x491345a6 (Thu Nov 06 19:29:42 2008)

machinetype.......: 0x14c (I386)
 

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

0x1000 0x1000 0x200 5.78 d6ec2aa1661d472adec3f9d3b0cbe985

.data 0x2000 0x5000 0x1e00 7.45 51154c26a0c925ac23916dfa32e47244
 

( 3 imports )

> KERNEL32.DLL: ContinueDebugEvent, EnumCalendarInfoExA, EnumTimeFormatsW, ExitProcess, 
 

FormatMessageW, FreeLibraryAndExitThread, GetCPInfoExA, GetConsoleTitleA, GetDriveTypeW, 
 

GetModuleHandleA, GetNumberFormatA, GetProcessAffinityMask, GetStartupInfoW, GetStringTypeExA, 
 

GetTimeFormatA, HeapCompact, Module32Next, RequestDeviceWakeup, SetConsoleCursorPosition, 
 

SetDefaultCommConfigW, SetFileAttributesW, SetLocalTime, SleepEx, TransactNamedPipe, 
 

WriteFile, lstrcpynW

> USER32.DLL: CallMsgFilterA, CreateAcceleratorTableW, DdeQueryNextServer, DdeReconnect, 
 

DrawStateA, EnumPropsExW, EnumWindows, GetKeyboardLayoutNameA, GetMenuItemID, 
 

GetNextDlgTabItem, GetQueueStatus, GetSystemMetrics, IsCharAlphaA, OpenDesktopA, 
 

ReuseDDElParam, ScrollDC, SetWindowContextHelpId, SystemParametersInfoW, TileWindows, 
 

TrackPopupMenuEx, TranslateAcceleratorW, UnlockWindowStation, wsprintfA

> GDI32.DLL: Chord, CreateDIBSection, EndDoc, EnumObjects, ExtFloodFill, ExtTextOutA, 
 

GdiPlayDCScript, GdiPlayJournal, GetArcDirection, GetBoundsRect, GetBrushOrgEx, 
 

GetCharABCWidthsFloatW, GetCharWidthFloatA, GetCharacterPlacementA, GetColorAdjustment, 
 

GetColorSpace, GetEnhMetaFileA, GetFontLanguageInfo, GetLogColorSpaceA, GetPaletteEntries, 
 

GetRasterizerCaps, GetRegionData, PolylineTo, ResizePalette, SetArcDirection, 
 

SetDIBColorTable, StrokePath, SwapBuffers
 

( 4 exports )

DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Prevx info: http://info.prevx.com/aboutprogramtext.asp?
 

PX5=DE9ED93B103D65EC2747009BCD8DBE003323F20E

3. MBR-Tool

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

4. Malwarebytes

Code:

Habe ich als eine Datei angehängt.

Link: h**p://www.file-upload.net/download-1248389/Malwarebytes.txt.html

5. Silent Runner

Code:

Habe ich als eine Datei angehängt.

Link: h**p://www.file-upload.net/download-1248388/Silentrunnter.txt.html

6. Combofix

Code:

Habe ich als eine Datei angehängt.

Link: h**p://www.file-upload.net/download-1248382/ComboFix.txt.html

8. Hijackthis

Code:

Habe ich als eine Datei angehängt.

Link: h**p://www.file-upload.net/download-1248386/hijackthis.log.html

Ist der Virus jetzt weg? Oder muss noch was gemacht werden?

Danke schon mal für die schnelle Hilfe!

Gruß darkmaker

Boah hast Du da viel Malware gehabt! Und da ist immer noch einiges! :mad:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

DirLook::

c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4

c:\windows\system32\sX3i19

c:\windows\system32\shn

c:\windows\system32\nit

c:\windows\system32\ck3
 

Collect::

c:\windows\system32\iyucwpda.ini

c:\windows\system32\yvnhtqjb.dll

c:\dokume~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe
 

Folder::

c:\windows\S3Jpc2huYWFyYWogR2VuZ2F0aGFyYW4

c:\temp\PRE45

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

===

Wegen Filelinsting: Versuch es so: Geh in Arbeitsplatz / Extras / Ordneroptionen / Ansicht - dort den Haken rausnehmen bei "Erweiterungen bei bekannten Dateitypen ausblenden", fortan werden Dir bei (fast) allen Dateien auch die Endungen angezeigt.

Stell dann sicher, dass mein CMD-Scrript auch tatsächlich dann die Endung .CMD hat und kein .TXT oder so. Sie sollte dann dieses Symbol haben

http://mitglied.lycos.de/efunction/tb/img/cmdsymbol.PNG

Danach sollte durch ein Doppelklick das Script auch ausgeführt werden.

Hi,

also habe das mit dem Combofix noch mal aufgeführt mit der Textdatei.

Code:

http://www.file-upload.net/download-1252137/log.txt.html

Aber das mit dem Filelisting hat mit dienem Script immer noch nicht geklappt. Es hat die Endung .cmd und wird auch als das Symbol angezeigt die du oben hast. Aber wenn ich es ausführe dann öffnet sich die MS-Dos Eingabeaufforderung und schließt sich sofort wieder. wenn ich MS-Dos manual starte und dann die Datei auführe dann sehe ich die befehle und dann steht da immer das er den Pfad nicht gefunden hat.

Habe mal nochmal Antivir laufen lassen. Der hat noch 45 Infektionen erkannt. habe mal auch die Log hochgeladen.

Code:

http://www.file-upload.net/download-1252151/AVSCAN-20081113-155720-00CF1672.LOG.html

Danke schon mal für deine Hilfe.

Gruß darkmaker

Sagmal, hast Du auch wirklich die Systemwiederherstellung deaktiviert? Wenn ja, dann wären da nicht so viele Funde im Ordner System Volume Information! :twak:

Code:

C:\Programme\Serv-U\ServUAdmin.exe

Hast Du dir diesen FTP-Server installiert? :rolleyes:

Code:

D:\Meine Sachen\Fertig\MSIntskmngr.exe_klein

D:\Meine Sachen\john-16w\john-16\run\unique.exe

Und was sind das für Dinger? Vor allen in diesen Verzeichnissen ist AntiVir fündig geworden! :pfui:

Hey,

ne ich habe den Haken wieder weggemacht, nachdem ich es eingfügt hatte. weil es so in der Anleitung stand. Habe alle Schritte von oben noch mal ausgeführt. habe die Logs hier hochgeladen:

Code:

http://www.file-upload.net/download-1255247/Scan.rar.html

Das Programm Serv-U habe ich deinstalliert. Und auch ander Software die ich nicht brauchte gelöscht.

Code:

MSIntskmngr.exe_klein ist ein Serv-U Server den ich umbeannt habe.

unique.exe ist ein altes Programm welches ich nicht mehr gebraucht habe und daher auch komplett gelöscht habe.

Ist immer noch malware drauf? Danke

Gruß darkmaker

Zitat:

MSIntskmngr.exe_klein ist ein Serv-U Server den ich umbeannt habe.

Was soll ich davon halten? :rolleyes:
Welche Gründe gibt es, den FTP-Server so zu benennen? (keine Angst ich wüsste einen, den will ich Dir aber jetzt mal nicht unterstellen)

Code:

O23 - Service: GXMF - Unknown owner - C:\DOKUME~1\KRISHN~1\LOKALE~1\Temp\GXMF.exe (file missing)

Diesen verkrüppelten Dienst entfernen über die Konsole mit dem Befehl sc delete GXMF

Er Stammt wohl von Malware, doch die Executable für diesen Dienst wurde wahrscheinlich schon entfernt.

Code:

2008-11-08 13:23 . 2008-11-11 20:49        <DIR>        d--------        c:\windows\system32\sX3i19

2008-11-08 13:23 . 2008-11-08 22:56        <DIR>        d--------        c:\windows\system32\shn

2008-11-08 13:23 . 2008-11-08 13:25        <DIR>        d--------        c:\windows\system32\nit

2008-11-08 13:23 . 2008-11-11 20:48        <DIR>        d--------        c:\windows\system32\ck3

2008-11-08 13:23 . 2008-11-08 22:55        <DIR>        d--------        c:\windows\system32\BMX

Diese Ordner sehen komisch aus => Am besten löschen. Die sollten auch leer sein.

hallo,

habe die besagten Ordner gelöscht. Die waren alle leer gewesen. Bis jetzt sind keine weiteren Fehler aufgetreten bzw. Warnungen. Vielen Dank root24. Du warst meine Rettung.

Schönen Tag noch.

Gruß darkmaker