A0128560.EXE -> JOKE/Limbo.Careless
 

Hallo an alle,

ich bin mit meinem Latein am Ende. Seit drei Tagen plobbt AntiVir immer wieder mit verschiedenen Meldungen auf:

1. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP610\A0127541.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

2. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP610\A0127541.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.

3. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE'
wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden.

4. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE'
wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden.

5. In der Datei 'C:\System Volume Information\_restore{8E55C5FF-FCCD-405E-A137-108D92245DF3}\RP611\A0128555.EXE'
wurde ein Virus oder unerwünschtes Programm 'JOKE/Flipped' [joke] gefunden.

usw.

Ich hab das Netz auf den Kopf gestellt und auch hier schon nach ähnlichen Problemen gesucht. Leider hab ich lediglich etwas zu dem hier 'TR/Crypt.XPACK.Gen' gefunden, nur leider nicht in Kombination mit diesen A***.exe files.

Ich hab keine Ahnung was ich tun soll. AntiVir findet bei einem vollständigem Suchlauf nichts. Malwarebytes Anti-Malware lässt sich nicht installieren.

Mein System:
XP Pro ServicePack 3

Ihr seid meine letzte Hoffnung..Ich möchte unbedingt vermeiden mein System neu aufsetzen zu müssen. Könnt Ihr mir helfen??? Bitte????Was braucht ihr für Infos von mir???

Vielen Dank im Vorraus..

Grüße David

Nachtrag: A0128560.EXE -> JOKE/Limbo.Careless
 

Hier noch ein Nachtrag..das LogFile von hijacktis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57:49, on 20.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Uni VPN Client\cvpnd.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vtune\TBPanel.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SDD.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.de
O17 - HKLM\Software\..\Telephony: DomainName = ***.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ***.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***.de,***.de,***.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Aavpti9skadi - Unknown owner - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BroadCam Video Streaming Server (BroadCamService) - NCH Software - C:\Programme\NCH Software\BroadCam\broadcam.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Uni VPN Client\cvpnd.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Altera JTAG Server (JTAGServer) - Unknown owner - e:\studium\hardwarebeschreibungssprache\altera\quartus\bin\jtagserver.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9341 bytes

Ich hoffe wirklich das mir jemand helfen kann..Grüße

Hallo und :hallo:

Wenn das ein Bürorechner ist, solltest Du das Problem Deinen Kollegen aus der EDV mitteilen und nicht über ein Board beheben lassen. :rolleyes:

Vielen dank, dass du dich meiner annimmst..

das ist kein Bürorechner..ich habe die "****" dort eingefügt, weil ich gelesen hatte man solle, adressen unkenntlich machen..

Ja aber eben dieser Eintrag deutet darauf hin, dass der Rechner Mitglied einer Windows-Server-Domäne ist und das ist bei reinen Privatrechnern eher unüblich :rolleyes:

Ah..ok..ich verstehe..ich studiere und wohne auf dem campus. ich hänge hier am hausnetz und das wiederum am uninetz. der admin vom haus hatte mir ja den tip gegeben mich bei euch zu melden.. hoffe ihr könnt mir helfen..?

Grüße

Ok, dann mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Danke für deine Hilfe, aber bei der Installation von Malwarebytes Anti-Malware kommt am Ende der Installation ein Laufzeitfehler '0' und nach der Bestätigung mit OK der Laufzeitfehler '440'. mehr passiert nicht. Ich kann das Programm zwar insatllieren, aber nicht starten. Mache ich etwas falsch??

Grüße

Also..hab die Anleitung bis auf den punkt malwarebytes abgearbeitet. Stattdessen hab ich mit dem Onlinesystem von Bitdefender eine Suche durchgeführt-> keine Funde!

hier die Logfiles von rsit:

http://www.file-upload.net/download-1957136/rsit.zip.html

hoffe du kannst mir helfen..

Grüße

Bzgl MalwareBytes: Schonmal AntiVir und ZoneAlarm deaktviert?

das Problem besteht weiterhin..
siehe Bilder:
http://www.bildupload.com/index.php?image=20e1f13cde61f2fb60e3273b66ee507b


Grüße

Aus dem MBAM-Forum: Run-time error 0, Run-time error 440 automation error - Malwarebytes Forum

Übersetzt:
1.) MalwareBytes komplett deinstallieren, Rechner neustarten
2.) MalwareBytes-Setup neu runterladen und installieren
3.) mbam-rules laden und installieren

Wenn das nicht hilft, müssen wir erstmal ohne MalwareBytes auskommen.

Hat alles leider nichts geholfen..habs genauso gemacht..fehlanzeige!

Statt MBAM: Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

ein Fund:

der Pfad: C:\Dokumente und Einstellungen\***\Desktop
Status: Threat
Name: audioconverter.exe
Threat Identified: Medium Risk Malware

Das ist ein Programm, um aus der DTS Spur in einem *.mkv Container eine AC3 Tonspur zu konvertieren.

Soll ich das ding löschen???

Grüße