Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPACK.Gen TROJANER (https://www.trojaner-board.de/67182-tr-crypt-xpack-gen-trojaner.html)

funeral 25.12.2008 15:07
TR/Crypt.XPACK.Gen TROJANER
 
Hallo,

mein antivirus meldet immer einen Trojaner: TR/Crypt.XPACK.Gen wenn ich auf Firefox drücke. also ins internet gehe. desweiteren kommt die meldung öfters während der pc an ist.
habe den ccleaner durchlaufen lassen, und malwarebytes.. findet zwar infizierte objekte aber anscheinend nicht den trojaner. beim virenscan mit antivir findet er auch nichts.
wie bekomme ich den trojaner wieder weg?
hier die logfile von hijackthis (kenne mich damit leider nicht so aus):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:35, on 25.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SSS\SimpleScreenshot.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http*://go*.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http*://ww*w.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http*://go*.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http*://go.*microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:*//go.*microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:*//go.*microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 7147 bytes

john.doe 25.12.2008 18:24
Hallo und :hallo:

1.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):
Code:
Windows Defender
Uniblue SpyEraser
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Blacklight ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

Frohe Weihnachten, andreas

funeral 25.12.2008 19:49
hier die blacklight logfile

Code:
12/25/08 19:33:39 [Info]: BlackLight Engine 2.2.1092 initialized
12/25/08 19:33:39 [Info]: OS: 6.0 build 6001 (Service Pack 1)
12/25/08 19:33:39 [Note]: 7019 4
12/25/08 19:33:39 [Note]: 7005 0
12/25/08 19:35:52 [Note]: 7006 0
12/25/08 19:35:52 [Note]: 7027 0
12/25/08 19:35:52 [Note]: 7035 0
12/25/08 19:35:52 [Note]: 7026 0
12/25/08 19:35:53 [Note]: 7026 0
12/25/08 19:35:54 [Note]: FSRAW library version 1.7.1024
12/25/08 19:40:07 [Note]: 7007 0

funeral 25.12.2008 20:15
Zitat:
Zitat von funeral (Beitrag 400789)
hier die blacklight logfile

Code:
12/25/08 19:33:39 [Info]: BlackLight Engine 2.2.1092 initialized
12/25/08 19:33:39 [Info]: OS: 6.0 build 6001 (Service Pack 1)
12/25/08 19:33:39 [Note]: 7019 4
12/25/08 19:33:39 [Note]: 7005 0
12/25/08 19:35:52 [Note]: 7006 0
12/25/08 19:35:52 [Note]: 7027 0
12/25/08 19:35:52 [Note]: 7035 0
12/25/08 19:35:52 [Note]: 7026 0
12/25/08 19:35:53 [Note]: 7026 0
12/25/08 19:35:54 [Note]: FSRAW library version 1.7.1024
12/25/08 19:40:07 [Note]: 7007 0


ComboFix Logfile

Code:
ComboFix 08-12-24.01 - Schnucki666 2008-12-25 19:56:27.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium  6.0.6001.1.1252.1.1031.18.2047.1154 [GMT 1:00]
ausgeführt von:: c:\users\Schnucki666\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\drivers\msqpdxmbcbcrrx.sys
c:\windows\system32\msqpdxwqsctmei.dll
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS
-------\Legacy_ISODRIVE
-------\Service_ISODrive


(((((((((((((((((((((((  Dateien erstellt von 2008-11-25 bis 2008-12-25  ))))))))))))))))))))))))))))))
.

2008-12-25 15:02 . 2008-12-25 15:02        <DIR>        d--------        c:\program files\Trend Micro
2008-12-25 14:33 . 2008-12-25 14:33        <DIR>        d--------        c:\program files\CCleaner
2008-12-24 07:23 . 2008-12-24 07:23        41,984        --a------        c:\windows\System32\msqpdxwqsctmei.VIR
2008-12-20 11:51 . 2008-12-20 11:51        <DIR>        d--------        c:\users\Schnucki666\AppData\Roaming\Malwarebytes
2008-12-20 11:51 . 2008-12-03 19:52        15,504        --a------        c:\windows\System32\drivers\mbam.sys
2008-12-20 11:50 . 2008-12-20 11:50        <DIR>        d--------        c:\users\All Users\Malwarebytes
2008-12-20 11:50 . 2008-12-20 11:50        <DIR>        d--------        c:\programdata\Malwarebytes
2008-12-20 11:50 . 2008-12-20 11:51        <DIR>        d--------        c:\program files\Malwarebytes' Anti-Malware
2008-12-20 11:50 . 2008-12-03 19:52        38,496        --a------        c:\windows\System32\drivers\mbamswissarmy.sys
2008-12-18 19:37 . 2008-12-18 21:45        <DIR>        d--------        c:\program files\DiskInternals
2008-12-09 19:31 . 2008-10-22 02:22        2,048        --a------        c:\windows\System32\tzres.dll
2008-12-09 19:18 . 2008-11-01 02:21        4,240,384        --a------        c:\windows\System32\GameUXLegacyGDFs.dll
2008-12-09 19:18 . 2008-11-01 04:44        28,672        --a------        c:\windows\System32\Apphlpdm.dll
2008-12-09 19:17 . 2008-10-21 06:25        296,960        --a------        c:\windows\System32\gdi32.dll
2008-12-09 19:09 . 2008-10-29 07:29        2,927,104        --a------        c:\windows\explorer.exe
2008-12-09 19:09 . 2008-10-16 05:47        827,392        --a------        c:\windows\System32\wininet.dll
2008-12-09 19:08 . 2008-06-23 02:59        2,868,736        --a------        c:\windows\System32\mf.dll
2008-12-09 19:08 . 2008-06-23 02:59        996,352        --a------        c:\windows\System32\WMNetMgr.dll
2008-12-09 19:08 . 2008-06-23 02:58        94,720        --a------        c:\windows\System32\logagent.exe
2008-12-06 19:31 . 2008-12-06 19:31        <DIR>        d--h-----        C:\BJPrinter
2008-11-26 10:12 . 2008-08-28 04:40        425,472        --a------        c:\windows\System32\PhotoMetadataHandler.dll
2008-11-26 10:12 . 2008-10-22 04:57        241,152        --a------        c:\windows\System32\PortableDeviceApi.dll
2008-11-26 10:11 . 2008-10-21 06:25        1,645,568        --a------        c:\windows\System32\connect.dll
2008-11-26 10:11 . 2008-08-28 04:40        712,704        --a------        c:\windows\System32\WindowsCodecs.dll
2008-11-26 10:11 . 2008-08-28 04:40        347,136        --a------        c:\windows\System32\WindowsCodecsExt.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-25 18:18        ---------        d---a-w        c:\programdata\TEMP
2008-12-20 20:25        ---------        d-----w        c:\users\Schnucki666\AppData\Roaming\Desktopicon
2008-12-19 17:26        ---------        d-----w        c:\users\Schnucki666\AppData\Roaming\ICQ
2008-12-18 20:42        ---------        d-----w        c:\program files\Ulead Systems
2008-12-18 20:39        ---------        d--h--w        c:\program files\InstallShield Installation Information
2008-12-18 20:39        ---------        d-----w        c:\program files\CyberLink
2008-12-09 21:46        ---------        d-----w        c:\program files\Windows Mail
2008-12-01 16:19        ---------        d-----w        c:\program files\Google
2008-11-24 07:19        ---------        d-----w        c:\program files\Mozilla Thunderbird
2008-11-21 16:51        ---------        d-----w        c:\users\Schnucki666\AppData\Roaming\Winamp
2008-11-21 13:30        ---------        d-----w        c:\program files\Winamp
2008-11-20 20:34        ---------        d-----w        c:\program files\DivX
2008-11-14 16:03        ---------        d-----w        c:\programdata\CyberLink
2008-11-14 16:02        ---------        d-----w        c:\users\Schnucki666\AppData\Roaming\CyberLink
2008-11-06 20:53        ---------        d-----w        c:\program files\Common Files\NEC
2008-11-06 19:19        ---------        d-----w        c:\program files\Microtek
2008-11-06 19:19        ---------        d-----w        c:\program files\Common Files\InstallShield
2008-11-01 03:44        541,696        ----a-w        c:\windows\AppPatch\AcLayers.dll
2008-11-01 03:44        52,736        ----a-w        c:\windows\AppPatch\iebrshim.dll
2008-11-01 03:44        460,288        ----a-w        c:\windows\AppPatch\AcSpecfc.dll
2008-11-01 03:44        2,154,496        ----a-w        c:\windows\AppPatch\AcGenral.dll
2008-11-01 03:44        173,056        ----a-w        c:\windows\AppPatch\AcXtrnal.dll
2008-10-26 01:25        ---------        d-----w        c:\programdata\FLEXnet
2008-07-20 09:10        174        --sha-w        c:\program files\desktop.ini
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Uniblue RegistryBooster 2"="c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe" [2008-05-16 99608]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"Uniblue SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe" [2008-04-02 156952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SimpleScreenshot"="c:\progra~1\SSS\SIMPLESCREENSHOT.EXE" [2005-04-14 962048]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-07-03 185896]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352]
"Skytel"="Skytel.exe" [2007-06-15 c:\windows\SkyTel.exe]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 c:\windows\RtHDVCpl.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
Ulead Photo Express SE Calendar Checker.lnk - c:\program files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2008-11-26 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{A46170E2-2F89-407F-AB03-0D5D53474D7B}c:\\program files\\icq6\\icq.exe"= UDP:c:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{4930B03D-7E2A-4D46-A031-E5B4EF8E3C9F}c:\\program files\\icq6\\icq.exe"= TCP:c:\program files\icq6\icq.exe:ICQ Library
"{A186FDDF-0919-4DE8-9718-9BBB2C6B3AB6}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{4000FD89-6360-4C21-863F-31B3853FDF67}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{6990DE47-37A3-4317-96BB-74E50986AC9F}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{B8AC82A3-F25C-4E0D-BF87-E93F80606DFB}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour

R2 Vcs;Vcs support;\??\c:\windows\system32\Drivers\Vcs.sys [2008-09-08 6852]
S2 gupdate1c91c9a3b4bc042;Google Update Service (gupdate1c91c9a3b4bc042);"c:\program files\Google\Update\GoogleUpdate.exe" /svc [2008-09-22 133104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e80dbf5-47a1-11dd-a5f2-806e6f6e6963}]
\shell\AutoRun\command - F:\start.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-25 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-22 11:01]

2008-07-28 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\program files\Uniblue\SpyEraser\SpyEraser.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-25 20:01:38
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\System32\conime.exe
c:\combofix\hidec.exe
c:\program files\SSS\SimpleScreenshot.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\windows\servicing\TrustedInstaller.exe
c:\combofix\Catchme.tmp
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-25 20:10:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-25 19:08:38

Vor Suchlauf: 9,482,903,552 Bytes frei
Nach Suchlauf: 9,296,572,416 Bytes frei

150        --- E O F ---        2008-12-23 18:39:32


hijackthis

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:27, on 25.12.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\SSS\SimpleScreenshot.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\Explorer.exe
C:\Users\Schnucki666\Downloads\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.yodl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt*p://go.*microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*ttp://go*.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt*p://go*.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*ttp://go.*microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\StartSUMP2.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.2\gears.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c91c9a3b4bc042) (gupdate1c91c9a3b4bc042) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

--
End of file - 5814 bytes

habe jetzt alles gemacht, bei dem ComboFix kam noch eine meldung nach dem der pc neugestartet ist, dass das programm nicht mehr reagieren würde und geschlossen werden muss. stand dann halt der button programm schließen. bin ich auch drauf gegangen. ist aber nichts passiert der hat das ganz normal beendet. nicht sofort geschlossen.

is domains are in this file, hijackthis may NOT be able to fix this.
if that happens, you need to edit the file yourself. to do thi, click start, run and type.
notepad C:\windows\system32\drivers\etc\hosts
and press enter. find the line(s) hijackthis reports and delete them. save the file as 'hosts.' (with quotes), and reboot.

for vista: simply exit hijackthis, right click on the hijackthis icon, choose run as administrator.

naja dann ok drücken und der scant es. aber wenn ich rechts klicke auf die datei steht da garnich mehr mit adminstrator durchführen.

wenn ich jetzt auf den firefox klicke, ist der virus weg. also kommt keine meldung mehr.

desweiteren hab ich jetzt noch ne frage, und zwar glaube ich seit dem das mit dem virus war, hat sich mein ordner "bilder" in pictures umbenennt... hat das was damit zu tun? halt auf englisch gestellt aber steht noch alles auf deutsch. nur der eine ordner nicht.

john.doe 25.12.2008 20:35
ComboFix hat einiges gefunden. Du hast mehr als nur ein Problem.

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:
  1. Trenne den Rechner physikalisch vom Netz.
  2. Deaktiviere den Hintergrundwächter deines AVP.
  3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
  4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
  5. Wenn der Scan zuende ist, kannst du das Programm schließen.
  6. Starte Deinen Rechner neu.
Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Edit zu deinem Edit:
Öffne die Datei C:\windows\system32\drivers\etc\hosts mit notepad und poste sie hier.

Zitat:
desweiteren hab ich jetzt noch ne frage, und zwar glaube ich seit dem das mit dem virus war, hat sich mein ordner "bilder" in pictures umbenennt... hat das was damit zu tun?
Gut möglich.

Räumen wir auf:
Start => Ausführen => combofix /u (aufs Leerzeichen achten) => OK

Alle Programme, die wir benutzt haben können deinstalliert/gelöscht werden. Empfehlen würde ich die Deinstallation von Google- und Uniblue-Gelumpe.

Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
=> Fix checked

ciao, andreas

funeral 25.12.2008 21:21
so habe jetzt alles gemacht. und die programme deinstalliert.

in dieser host datei stand:

127.0.0.1 localhost


hast du jetzt irgendeine empfehlung wie ich den pc auf stand halten kann, also das sowas nicht noch mal passiert. reicht da antivir?

und vielen dank schon mal :)

john.doe 25.12.2008 21:31
Zitat:
reicht da antivir?
Ja, aber es schützt dich nicht, es unterstützt dich nur. Zusätzlich ist noch Antimalware bei Verdacht angesagt.

Auch wenn es niemand hören möchte, du musst dein Verhalten ändern. Programme können dich nicht vor dir selbst beschützen.

Hier ist der perfekte Schutz beschrieben: Homepage von Malte J. Wetz

ciao, andreas

funeral 25.12.2008 21:34
ja alles klar,
vielen dank hast mir echt geholfen :) :Boogie:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131