Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner TR/Crypt.xpack.gen entfernen? (https://www.trojaner-board.de/66503-trojaner-tr-crypt-xpack-gen-entfernen.html)

john.doe 16.12.2008 17:01

Ja, viel besser. :)

Um sicher zu sein, brauche ich aber immer noch das Log vom Punkt 7 der Liste.

Starte HJT => Do a system scan only => Markiere:
Code:

O20 - AppInit_DLLs:
=> Fix checked

Fangen wir mit Aufräumen an:
Start => Ausführen => combofix /u => OK

Du solltest dir SP3 installieren: Windows XP Service Pack 3

Das aktuelle Java gibt es hier: Download der Java-Software von Sun Microsystems

kleio 16.12.2008 17:10

Probier punkt 7 schon die ganze zeit aus. er speichert es mir immer als txt datei und nicht mehr als cmd.

john.doe 16.12.2008 17:14

:)

Genau diese txt brauche ich, nicht die cmd.

kleio 16.12.2008 17:20

Hier das neue combofix:

Code:


ComboFix 08-12-15.08 - corinna 2008-12-16 17:16:17.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2047.1491 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\corinna\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((  Dateien erstellt von 2008-11-16 bis 2008-12-16  ))))))))))))))))))))))))))))))
.

2008-12-16 10:39 . 2008-12-16 10:39        <DIR>        d--------        c:\programme\CCleaner
2008-12-16 10:31 . 2008-12-16 10:31        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware
2008-12-16 10:31 . 2008-12-16 10:31        <DIR>        d--------        c:\dokumente und einstellungen\corinna\Anwendungsdaten\Malwarebytes
2008-12-16 10:31 . 2008-12-16 10:31        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-16 10:31 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 10:31 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-12-12 09:14 . 2008-12-12 09:14        2,154        ---hs----        c:\windows\system32\wahewuvu.exe
2008-12-11 15:50 . 2008-03-21 13:57        14,640        ---------        c:\windows\system32\spmsgXP_2k3.dll
2008-12-11 15:50 . 2008-12-11 15:50        0        --ah-----        c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2008-12-11 15:50 . 2008-12-11 15:50        0        --ah-----        c:\windows\system32\drivers\Msft_Kernel_ggsemc_01007.Wdf
2008-12-11 15:26 . 2008-12-11 15:26        1,107,296        --a------        c:\windows\system32\WdfCoInstaller01007.dll
2008-12-11 15:26 . 2008-12-11 15:26        22,368        --a------        c:\windows\system32\drivers\ggsemc.sys
2008-12-11 15:26 . 2008-12-11 15:26        10,976        --a------        c:\windows\system32\drivers\ggflt.sys
2008-12-11 15:25 . 2008-12-11 15:25        <DIR>        d--------        c:\programme\Sony Ericsson
2008-12-11 11:42 . 2008-12-16 10:10        <DIR>        d--------        c:\programme\NOS
2008-12-11 11:42 . 2008-12-16 10:10        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2008-11-29 11:36 . 2004-08-04 00:57        159,232        --a------        c:\windows\system32\ptpusd.dll
2008-11-29 11:36 . 2001-08-18 04:54        5,632        --a------        c:\windows\system32\ptpusb.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 16:13        ---------        d-----w        c:\dokumente und einstellungen\corinna\Anwendungsdaten\Skype
2008-12-16 15:04        ---------        d-----w        c:\dokumente und einstellungen\corinna\Anwendungsdaten\skypePM
2008-12-16 15:03        ---------        d-----w        c:\programme\Mozilla Thunderbird
2008-12-16 14:13        ---------        d-----w        c:\dokumente und einstellungen\corinna\Anwendungsdaten\OpenOffice.org2
2008-12-16 09:11        ---------        d-----w        c:\programme\Gemeinsame Dateien\Adobe
2008-12-10 09:17        ---------        d-----w        c:\dokumente und einstellungen\corinna\Anwendungsdaten\dvdcss
2008-11-28 18:17        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-11-17 20:44        ---------        d-----w        c:\dokumente und einstellungen\corinna\Anwendungsdaten\LimeWire
2008-11-15 12:54        ---------        d-----w        c:\programme\LimeWire
2008-11-15 12:51        ---------        d-----w        c:\programme\iStar
2008-10-24 15:17        ---------        d-----w        c:\programme\DivX
2008-09-19 21:55        200,704        ----a-w        c:\windows\system32\ssldivx.dll
2008-09-19 21:55        1,044,480        ----a-w        c:\windows\system32\libdivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-06-03 21718312]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-17 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-09-06 7585792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-09-06 86016]
"SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-30 544768]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-08-23 110592]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-31 266497]
"SpeedTouch USB Diagnostics"="c:\programme\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-07-10 289064]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-09-06 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\corinna\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\Drivers\SynMini.sys [2008-07-22 1116544]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\Drivers\SynScan.sys [2008-07-22 7808]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-12-11 10976]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{def23b6e-5965-11dd-bd08-0090d0d14dc5}]
\Shell\AutoRun\command - G:\OnSpcLCK.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
TCP: {39BC355A-F7DD-4E56-BF28-DCC3EAD1DB13} = 10.0.0.2,10.0.0.11

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\corinna\Anwendungsdaten\Mozilla\Firefox\Profiles\651ail94.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 17:17:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-12-16 17:18:18
ComboFix-quarantined-files.txt  2008-12-16 16:17:59
ComboFix2.txt  2008-12-16 14:41:39

Vor Suchlauf: 8 Verzeichnis(se), 11.108.253.696 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 11,097,423,872 Bytes frei

131

script kommt sofort.

kleio 16.12.2008 17:21

Code:

del /f "%temp%"\listing.txt
echo LISTING FILE von root24; 28.01.2008  > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOU ---" >> %temp%\listing.txt
cd %userprofile%
cd..
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt


kleio 16.12.2008 17:25

Java und Service Pack sind runtergeladen und werden installiert.

Ich lass auch noch einmal antivir durchlaufen. Hoffentlich piepts nicht wieder.
*G*

john.doe 16.12.2008 17:27

Lies noch einmal ganz genau. ;)

Zitat:

7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

kleio 16.12.2008 17:32

Fallst du das rechtsklick und auf desktop speichern meinst, das hab ich damit vorher gemeint. Er speichert es mir gleich als txt auf den desktop und nich als cmd.

john.doe 16.12.2008 17:34

Kann ich zwar nicht nachvollziehen :confused:, aber ändere den Namen von .txt auf .cmd

kleio 16.12.2008 17:39

http://www.file-upload.net/download-1320049/listing8.cmd.txt.html

john.doe 16.12.2008 17:43

Lösche alle Listings vom Desktop und lade die Datei noch einmal herunter. Sollte die wieder hinten .txt haben, dann ändere den Namen und hänge .cmd an. Dort dann ein Doppelklick drauf.

kleio 16.12.2008 17:55

HAb ich gemacht.

befürchte, dass es trotzdem nicht funktioniert hat.

http://www.file-upload.net/download-1320085/listing8cmd.cmd.txt.html


meine schritte:

rechtsklick auf link. - Ziel speichern unter
(er schreibt bei dateityp gleich textdatei hin)

Wenn ich auf "alle dateitypen" umstelle wird es trotzdem gleich ein txt file.

john.doe 16.12.2008 17:59

Starte Notepad und kopiere diesen Text nach Notepad:

Code:

ren listing8cmd.cmd.txt listibisti.cmd
Speichern unter => Ort: Desktop => Dateityp: Alle Dateien => Dateiname: Machmal.bat => Doppelklick auf Machmal.bat => Doppelklick auf listibisti.cmd

kleio 16.12.2008 18:14

YEY! funktioniert

http://www.file-upload.net/download-1320147/listing.txt.html

john.doe 16.12.2008 18:24

:aplaus:

Lass mal Avira mit diesen Einstellungen laufen: http://www.trojaner-board.de/54192-a...tellungen.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131