Trojaner-Board
Seite 4 von 10 « Erste 23 4 56 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPACK.Gen gelöscht, oder nicht? (https://www.trojaner-board.de/70473-tr-crypt-xpack-gen-geloescht.html)

Jig Saw 28.02.2009 13:32
Update Avira und lass dein System noch einmal kompett scannen und poste das Log hier.
Ich bin dann mal weg

cooLpaC 28.02.2009 14:25
So, hoffe das war's endlich. :S


Code:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 28. Februar 2009  13:35

Es wird nach 1271369 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows Vista
Windowsversion:  (Service Pack 1)  [6.0.6001]
Boot Modus:      Normal gebootet
Benutzername:    SYSTEM
Computername:    FLORISLAPPI

Versionsinformationen:
BUILD.DAT    : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.01.2009 21:30:10
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06
LUKE.DLL      : 8.1.4.5      164097 Bytes  12.06.2008 12:44:16
LUKERES.DLL  : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42
ANTIVIR0.VDF  : 7.1.0.0    15603712 Bytes  27.10.2008 21:30:14
ANTIVIR1.VDF  : 7.1.2.12    3336192 Bytes  11.02.2009 22:38:28
ANTIVIR2.VDF  : 7.1.2.55      248832 Bytes  20.02.2009 11:56:19
ANTIVIR3.VDF  : 7.1.2.96      190976 Bytes  28.02.2009 12:34:00
Engineversion : 8.2.0.98 
AEVDF.DLL    : 8.1.1.0      106868 Bytes  01.02.2009 21:40:13
AESCRIPT.DLL  : 8.1.1.56      352634 Bytes  28.02.2009 12:34:10
AESCN.DLL    : 8.1.1.7      127347 Bytes  13.02.2009 22:38:37
AERDL.DLL    : 8.1.1.3      438645 Bytes  26.01.2009 21:30:19
AEPACK.DLL    : 8.1.3.8      397684 Bytes  04.02.2009 21:58:38
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  28.02.2009 12:34:07
AEHEUR.DLL    : 8.1.0.100    1618295 Bytes  26.02.2009 11:43:34
AEHELP.DLL    : 8.1.2.2      119158 Bytes  28.02.2009 12:34:03
AEGEN.DLL    : 8.1.1.22      336245 Bytes  26.02.2009 11:43:27
AEEMU.DLL    : 8.1.0.9      393588 Bytes  20.10.2008 11:43:20
AECORE.DLL    : 8.1.6.6      176501 Bytes  22.02.2009 11:56:21
AEBB.DLL      : 8.1.0.3        53618 Bytes  20.10.2008 11:43:14
AVWINLL.DLL  : 1.0.0.12      15105 Bytes  09.07.2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58
AVREP.DLL    : 8.0.0.2        98344 Bytes  10.08.2008 14:07:27
AVREG.DLL    : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46
SQLITE3.DLL  : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02
SMTPLIB.DLL  : 1.2.0.23      28929 Bytes  12.06.2008 12:49:36
NETNT.DLL    : 8.0.0.1        7937 Bytes  25.01.2008 12:05:07
RCIMAGE.DLL  : 8.0.0.51    2371841 Bytes  12.06.2008 13:45:01
RCTEXT.DLL    : 8.0.52.0      86273 Bytes  27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 28. Februar 2009  13:35

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLUTrayNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PamelaPCR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LightScribeControlPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCScheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '73' Prozesse mit '73' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Samstag, 28. Februar 2009  14:21
Benötigte Zeit: 45:48 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  18791 Verzeichnisse wurden überprüft
 537915 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 537913 Dateien ohne Befall
  2693 Archive wurden durchsucht
      2 Warnungen
      0 Hinweise

Jig Saw 28.02.2009 14:41
Nein, ich arbeite gerade dein HJT durch da müssen wir ein bisschen was fixen.

aber lade diese Datei, bei www.virustotal.com hoch und geb mir dann den Link:
Code:
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
die Datei kann gut aber auch böse sein

das hier fixen:
Code:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

cooLpaC 28.02.2009 14:49
http://www.virustotal.com/reanalisis.html?f3c922561d0d09a139e35086d9807f69

Den hier?

Jig Saw 28.02.2009 14:53
Fixe noch das aus meinem letzten Post. Dann versuche es erneut mit SDFix, wenn das nicht klappt müssen wir mit Combofix ran!

cooLpaC 28.02.2009 14:55
Liste der Anhänge anzeigen (Anzahl: 1)
Die O16 Daten und die O2 Datei gehen nicht, da kommt eine Fehlermeldung:

Jig Saw 28.02.2009 14:58
versuche es mal wie in der Anleitung im abgesicherten Modus ;)

dann kannst du auch gleich SDFix ausprobieren

cooLpaC 28.02.2009 15:21
Hoffe mal das ist es, hab nämlich was anderes geklickt, das Andere ging nicht.^^

Code:
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-28 15:12:13
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9ed112e]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001dd9f60035]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e4ceefb4a]
"001963f95df3"=hex:43,e3,f9,a5,cd,f2,95,18,43,4c,a0,54,46,8b,d9,54
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001dd9ed112e]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001dd9f60035]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001e4ceefb4a]
"001963f95df3"=hex:43,e3,f9,a5,cd,f2,95,18,43,4c,a0,54,46,8b,d9,54

scanning hidden registry entries ...

scanning hidden files ...

Jig Saw 28.02.2009 15:30
ich glaub du hast catchme.exe angeklickt statt runthis.bat :D
Kann das sein?

cooLpaC 28.02.2009 15:35
Ja, weil runthis nicht geht. :( Woran liegt's?

Jig Saw 28.02.2009 15:44
Kannst du mir noch mal das Datum sagen, wann Avira den Fund gemacht hat oder seit wann es Probleme gibt?

1.)Lade dir HJTscanlist.zip. -(Punkt 7) herunter anschließend das erhaltene Logfile hier posten.

2.)ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

cooLpaC 28.02.2009 16:40
In der Datei 'C:\Windows\System32\xmlinst.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Datum: 27.02.2009 - Zeit: 02:07:32

Probleme habe ich ja keine deswegen.

Jig Saw 28.02.2009 16:42
perfekt, mach das was ich dir gesagt habe (HJT Scan List und Combofix)

cooLpaC 28.02.2009 16:49
Das HiJack Log kann ich nicht posten, es ist zu groß.

Jig Saw 28.02.2009 16:50
dann lade es hoch
File-Upload.net - Ihr kostenloser File Hoster!


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:03 Uhr.
Seite 4 von 10 « Erste 23 4 56 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131