Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 07.06.2008, 10:54   #1
Seevogel
Gesperrt
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Ich habe den Trojaner TR/Crypt.NSPM.Gen in der Datei c:/WINNT/SVCHOST.EXE und werde ihn nicht mehr los. Bitdefender, AntiVir und Spybot finden ihn zwar, aber weder "löschen" noch durch "in Quarantäne verschieben" noch "ignorireren" oder "umbenennen" kann ich ihn nicht löschen. Der Trojaner kam wahrscheinlich durch das Online-Spiel Metin 2 auf den Rechner. Betriebssystem 2000 SP4.

Das HijackThis Logfile sieht so aus:
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Geändert von Seevogel (07.06.2008 um 10:59 Uhr)

Alt 07.06.2008, 10:56   #2
Sunny
Administrator
> Competence Manager
 

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Hallo Seevogel und





SDFix


* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.




ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________

Alt 07.06.2008, 10:56   #3
BataAlexander
> MalwareDB
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Neuaufsetzen ist hier Pflicht, du hast einen Rbot Backdoor Server am laufen.
Hallo Sunny
Oder wie von Sunny beschrieben vorgehen, dabei aber folgendes beachten:

Wenn Du einen anderen Rechner zur Verfügung hast ändere dort die Zugangsdaten für:
  • Webmail Account
  • Spiele Accounts
  • Pay Pal
  • Ebay und andere Auktionshäuser
  • einfach alle auf diesem Rechner genutzten Logins
  • Wenn Du OnlineBanking auf dem Rechner betrieben hast, prüfe die Kontobewegung auf Unregelmäßigkeiten
__________________
__________________

Alt 07.06.2008, 10:59   #4
Sunny
Administrator
> Competence Manager
 

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Moin Bata.


@Seevogel


Wenn du auf Nummer SICHER gehen willst, dann installiere dein Betriebssystem neu, denn durch den Backdoorserver ist die Systemsicherheit stark reduziert wurden.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 08.06.2008, 21:33   #5
Seevogel
Gesperrt
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Herzlichen Dank für die Reparaturhilfe. Die habe ich wie empfohlen ausgeführt, dies sind die Log-Dateien:

SDFix: Version 1.189
Run by Administrator on So 08.06.2008 at 21:32

Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\DOKUME~1\ADMINI~1\Desktop\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\a.bat - Deleted
C:\WINNT\system32\TFTP1912 - Deleted
C:\WINNT\system32\TFTP1996 - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-08 21:41:10
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,4e,b5,79,91,48,ff,71,67,4b,ab,3f,1e,82,47,63,af,cd,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf41]
"khjeh"=hex:20,02,00,00,5d,1e,96,0d,d5,f8,d1,49,14,10,e2,67,27,0f,27,21,ce,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf42]
"khjeh"=hex:20,02,00,00,4d,1e,96,0d,e5,51,5b,28,e4,e9,f7,ef,77,04,cf,a0,de,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf43]
"khjeh"=hex:20,02,00,00,4d,1e,96,0d,e5,51,5b,28,e4,e9,f7,ef,77,04,cf,a0,de,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Remaining Files :


File Backups: - C:\DOKUME~1\ADMINI~1\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 4 Oct 2007 24 A.SH. --- "C:\WINNT\S2A822461.tmp"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Tue 2 Aug 2005 1,206 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\ccReg.reg"
Tue 2 Aug 2005 12,792 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\CommonClient.reg"
Fri 15 Feb 2008 444 ...HR --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

ComboFix 08-06-07.3 - Administrator 08.06.2008 22:03:06.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.719 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-08 bis 2008-06-08 ))))))))))))))))))))))))))))))
.

2008-06-08 21:52 . 08.06.08 21:52 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3e4.dat
2008-06-08 21:29 . 08.06.08 21:29 <DIR> d-------- C:\WINNT\ERUNT
2008-06-08 21:22 . 08.06.08 21:22 <DIR> d-------- C:\Programme\CCleaner
2008-06-08 20:55 . 08.06.08 02:23 <DIR> d-------- C:\SDFix
2008-06-08 20:25 . 08.06.08 20:25 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_650.dat
2008-06-07 10:37 . 07.06.08 10:39 <DIR> d-------- C:\WINNT\BDOSCAN8
2008-06-06 21:58 . 06.06.08 21:58 <DIR> d-------- C:\WINNT\system32\Kaspersky Lab
2008-06-06 21:58 . 06.06.08 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-06 18:43 . 06.06.08 18:43 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_630.dat
2008-06-05 20:32 . 07.06.08 09:54 102 --a------ C:\WINNT\systeminf.ini
2008-06-05 20:32 . 07.06.08 09:54 40 --a------ C:\WINNT\SVCH0ST.INI
2008-06-02 20:16 . 02.06.08 20:16 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_624.dat
2008-06-02 20:11 . 02.06.08 20:11 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_5ec.dat
2008-05-31 20:00 . 31.05.08 20:00 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_640.dat
2008-05-18 17:56 . 18.05.08 17:56 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_700.dat
2008-05-16 20:59 . 07.06.08 22:20 85 --a------ C:\ARP.BAT
2008-05-16 20:59 . 07.06.08 22:20 80 --a------ C:\explorer
2008-05-16 20:59 . 07.06.08 22:20 37 --a------ C:\bat.bat
2008-05-15 21:06 . 26.05.08 18:36 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-05-15 21:06 . 15.05.08 22:22 1,409 --a------ C:\WINNT\QTFont.for
2008-05-15 20:51 . 03.06.08 19:59 64 --a------ C:\gz
2008-05-15 19:49 . 15.05.08 19:49 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_5d8.dat
2008-05-08 20:09 . 16.05.08 15:41 510 --a------ C:\WINNT\run2.vbs
2008-05-08 19:49 . 08.05.08 19:49 <DIR> d-------- C:\Programme\Two Worlds Pinball
2008-05-08 19:49 . 08.05.08 19:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dp3d
2008-05-08 19:30 . 08.05.08 19:30 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_6d8.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 19:47 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-08 19:45 --------- d-----w C:\Programme\PestPatrol
2008-06-08 19:45 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit
2008-06-06 18:03 --------- d-----w C:\Programme\Password pro
2008-06-06 04:18 --------- d-----w C:\Programme\Steganos Safe 7
2008-05-29 18:04 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-05-15 19:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZipGenius
2008-05-12 10:09 --------- d-----w C:\Programme\VideoLAN
2008-04-29 17:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-28 18:28 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-28 18:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-04-28 18:28 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-04-26 13:10 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Gael
2008-04-24 16:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Gael
2008-04-24 16:42 --------- d-----w C:\Programme\Gael
2008-04-24 16:37 --------- d-----w C:\Programme\MindGenius
2008-04-21 11:59 --------- d-----w C:\Programme\Copernic Desktop Search 2
2008-04-20 13:36 --------- d-----w C:\Programme\Ulead Systems
2008-04-20 11:24 --------- d-----w C:\Programme\Z-Cron
2008-04-20 11:21 80,384 ------w C:\WINNT\AKDeInstall.exe
2008-04-20 11:21 --------- d-----w C:\Programme\Backup
2008-04-20 11:09 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-04-20 11:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-19 16:05 --------- d-----w C:\Programme\Opera
2008-04-18 16:39 --------- d-----w C:\Programme\audiograbber
2008-04-15 04:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-13 11:23 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-12 20:22 691,545 ----a-w C:\WINNT\unins000.exe
2008-04-12 20:20 --------- d-----w C:\Programme\Java
2008-03-27 07:06 355,104 ----a-w C:\WINNT\system32\msxbde40.dll
2008-03-27 07:05 838,432 ----a-w C:\WINNT\system32\mswdat10.dll
2008-03-27 07:05 264,992 ----a-w C:\WINNT\system32\mstext40.dll
2008-03-27 07:04 559,904 ----a-w C:\WINNT\system32\msrepl40.dll
2008-03-27 07:04 432,928 ----a-w C:\WINNT\system32\msrd2x40.dll
2008-03-27 07:04 322,336 ----a-w C:\WINNT\system32\msrd3x40.dll
2008-03-27 07:03 355,104 ----a-w C:\WINNT\system32\mspbde40.dll
2008-03-27 07:03 248,608 ----a-w C:\WINNT\system32\msjtes40.dll
2008-03-27 07:03 219,936 ----a-w C:\WINNT\system32\msltus40.dll
2008-03-27 07:02 60,192 ----a-w C:\WINNT\system32\msjter40.dll
2008-03-27 07:02 355,112 ----a-w C:\WINNT\system32\msjetoledb40.dll
2008-03-27 07:01 1,516,568 ----a-w C:\WINNT\system32\msjet40.dll
2008-03-27 07:00 518,944 ----a-w C:\WINNT\system32\msexch40.dll
2008-03-27 07:00 326,432 ----a-w C:\WINNT\system32\msexcl40.dll
2008-03-27 06:59 621,344 ----a-w C:\WINNT\system32\mswstr10.dll
2008-03-27 06:59 187,168 ----a-w C:\WINNT\system32\msjint40.dll
2008-03-20 10:22 1,644,240 ----a-w C:\WINNT\system32\WIN32K.SYS
2006-10-04 21:04 866 ----a-w C:\Programme\dbk.log
2006-10-04 20:50 0 ----a-w C:\Programme\DLLAV32.LOG
2005-07-20 14:55 3,968,976 ----a-r C:\Programme\MSASYNC_DE.EXE
2005-04-09 19:26 944 ----a-w C:\Programme\INSTALL1.LOG
2005-01-15 21:41 22,080 ---h--w C:\Programme\folder.htt
2003-05-14 08:45 3,920 ----a-w C:\Programme\HOTLINE.TXT
2000-10-04 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
1997-01-17 16:37 766 ----a-w C:\Programme\HOTLINE.ICO
.

------- Sigcheck -------

20.02.01 14:09 8192 d36a33c21eeed5a6c1daecb7c80a1909 C:\WINNT\system32\CTFMON.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [20.02.01 14:09 8192 C:\WINNT\system32\CTFMON.EXE]
"SAFE7"="C:\Programme\Steganos Safe 7\SAFE7.exe" [02.05.05 16:10 274432]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.08 11:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [24.03.08 21:32 68856]
"Copernic Desktop Search 2"="C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" [03.03.08 22:45 1583624]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [09.02.04 11:32 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 112400 C:\WINNT\system32\mobsync.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [29.09.04 08:15 344064]
"Cmaudio"="cmicnfg.cpl" []
"SoundMan"="SOUNDMAN.EXE" [27.07.04 18:01 68096 C:\WINNT\SOUNDMAN.EXE]
"PPMemCheck"="C:\Programme\PestPatrol\PPMemCheck.exe" [07.06.04 22:47 146432]
"PestPatrol Control Center"="C:\Programme\PestPatrol\PPControl.exe" [28.02.05 12:53 98816]
"CookiePatrol"="C:\Programme\PestPatrol\CookiePatrol.exe" [28.02.05 12:53 105472]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.07 04:00 132496]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.04.08 21:01 262401]
"CARPService"="carpserv.exe" [23.12.01 13:02 4608 C:\WINNT\system32\carpserv.exe]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [14.12.04 03:12 483328]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.04.07 09:41 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [04.10.00 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-01-30 15:53:26 2732584]
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe [2008-02-10 12:56:49 1678536]
Quicken 2008 Zahlungserinnerung.lnk - C:\Programme\Lexware\Quicken\2008\billmind.exe [2007-04-19 01:29:00 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.iv31"= C:\WINNT\system32\ir32_32.dll
"vidc.iv32"= C:\WINNT\system32\ir32_32.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"SideWinderTrayV4"=C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
"tray.exe"="C:\Programme\Paragon Software\Paragon CD-ROM Emulator\tray.exe"
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [14.04.08 21:01 ]
R0 Defrag32b;Defrag32Boot;C:\WINNT\system32\drivers\Defrag32b.sys [23.10.04 10:01 ]
R0 m5289;m5289;C:\WINNT\system32\drivers\m5289.sys [24.07.04 01:00 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [14.04.08 21:01 ]
R2 cFosNT;cFosNT;C:\WINNT\system32\Drivers\cFosNT.sys [22.01.03 14:21 ]
R2 Defrag32;Defrag32;C:\WINNT\system32\drivers\Defrag32.sys [23.10.04 10:01 ]
R2 DPTIMER_WB;WISO Börse Zeitsteuerung;C:\Programme\WISO\Börse2005\BIN\dptimersvc.exe [14.10.04 07:00 ]
R2 NMSAccessU;NMSAccessU;C:\WINNT\system32\NMSAccessU.exe [12.10.07 09:34 ]
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINNT\system32\drivers\SLEE81.sys [02.05.05 10:02 ]
R2 USBDLM;USBDLM;C:\Dokumente und Einstellungen\Administrator\Desktop\usbdlm402\USBDLM\USBDLM.exe [04.09.07 08:06 ]
R3 cdiport;cdiport;C:\WINNT\system32\DRIVERS\cdiport.sys [27.04.04 10:22 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [19.06.03 21:05 ]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINNT\system32\DRIVERS\TDSLAdap.sys [12.02.01 22:02 ]
R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINNT\system32\DRIVERS\ULILAN.SYS [26.07.04 21:22 ]
R3 usbhub20;USB-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 21:05 ]
S0 nullcd;nullcd;C:\WINNT\system32\Drivers\nullcd.sys []
S2 EC3FE0A;EC3FE0A;C:\WINNT\system32\92FFDA1.EXE []
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [27.01.05 12:52 ]
S2 windowneters;Window Event Server;c:\Recycled\svchose.exe []
S3 cdrmkaun;cdrmkaun;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cdrmkaun.sys []
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINNT\system32\DRIVERS\TDSLProt.sys [12.02.01 22:02 ]
S3 XDva076;XDva076;C:\WINNT\system32\XDva076.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 15:16:01 C:\WINNT\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-08-05 18:41:52 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-08 22:03:38
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 08.06.2008 22:04:14
ComboFix-quarantined-files.txt 2008-06-08 20:04:11
ComboFix2.txt 2008-06-08 19:53:38

24 Verzeichnis(se), 2,668,773,376 Bytes frei
26 Verzeichnis(se), 2,654,601,216 Bytes frei

184 --- E O F --- 2008-05-31 18:02:38

Bei ComboFix meldete sich jedoch urplötzlich wieder Spybot, obwohl ich es beendet hatte, mit der Frage: Registry: Eintrag "load", Kategorie "NT startup" löschen oder erlauben. Ich habe zunächst das löschen verweigert, weil ich nicht wußte, was ich da machen sollte. Sollte ich das nochmals erlauben?


Meint ihr, der Trojaner ist jetzt weg?
Nochmals vielen Dank für Eure Mühe!


Alt 08.06.2008, 21:34   #6
Seevogel
Gesperrt
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Nach den Aktionen sieht das Hijack-This File jetzt so aus:
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 08.06.2008, 22:06   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Icon32

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Die Auswirkungen eines Schädlings wie der Rbot es ist, bekommst Du nie wirklich zuverlässig durch Bereinigen weg. Du solltest formatieren und Windows neu aufspielen, ehrlich.

Da Du Windows 2000 einsetzt, solltest Du neben das hier beachten:

Allgemein gilt, dass man offline möglichst viele Updates einspielen sollte und erst dann zum ersten Mal ins Internet geht. Bei W2k wären das das SP4 sowie das Update Rollup 1 fürs SP4 und weitere Hotfixes in Form eines Updatepakets. In dieser Reihenfolge sollten sie installiert werden, dazwischen jew. ein Neustart:

1.) SP4
2.) UR1
3.) Updatepaket

Die Updates/Service Packs musst du dir vorher von einem sauberen Rechner besorgen und auf CD brennen, damit der frisch aufgesetzte Rechner offline aktualisiert werden kann. Erst wenn diese Updates eingespielt sind, kannst du rel. gefahrlos eine Internetverbindung aufbauen - ist der W2k-Rechner aber nicht hinter einem Router, empfiehlt es sich nach dem Einspielen der Updates unnötige Dienste zu beenden, da W2k anders wie XP keine Windows-Firewall hat.

M.W. benötigt W2k auch noch eine Aktualisierung auf IE6 (IE7 läuft unter W2k nicht!), da es nur standardmäßig mit IE5 ausgestattet ist. Besuch dazu, wenn alle Maßnahmen zur Absicherung durchgeführt worden sind, die Windows-Update-Seite mit dem IE.

Richte aber als Standardbrowser eine sicherere Alternative ein, wie z.B. Opera oder Mozilla Firefox.

Falls du eine bebilderte Beschreibung für die Installation von W2k brauchst, findest du sie hier => Windows 2000 Pro Installation
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 09.06.2008, 09:35   #8
BataAlexander
> MalwareDB
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



root hat Recht! Überlege was Du tust.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/53605-tr-crypt-nspm-gen-c-winnt-svchost-exe.html

Collect::
C:\WINNT\systeminf.ini
C:\WINNT\SVCH0ST.INI
C:\ARP.BAT
C:\explorer
C:\bat.bat
C:\gz
C:\WINNT\run2.vbs

Driver::
EC3FE0A
windowneters
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Mit dem neuen Log bitte ein neues HJT Logfile
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 09.06.2008, 20:20   #9
Seevogel
Gesperrt
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Hallo Bata,
Wenn ich die Datei CFScript.txt auf das Icon ComboFix ziehe, startet Combo Fix nicht, erst nach Doppelclick tut sich etwas. Liegt das an Win2000 oder mache ich da etwas falsch?
Seevogel

Alt 09.06.2008, 20:23   #10
Sunny
Administrator
> Competence Manager
 

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Ein Doppelklick nachdem du die txt-Datei gezogen hast ist richtig, was passiert?
Startet das System neu?
Wenn ja, dann schau unter c:\combofix.txt und poste den Inhalt..
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 09.06.2008, 22:50   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Icon32

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



@Seevogel: Probiers mit diesem Script:

Code:
ATTFilter
Collect::
C:\WINNT\systeminf.ini
C:\WINNT\SVCH0ST.INI
C:\ARP.BAT
C:\explorer
C:\bat.bat
C:\gz
C:\WINNT\run2.vbs

Driver::
EC3FE0A
windowneters
         
Ich fürchte, dem Bata ist da ein kleiner Fehler unterlaufen. Und zwar steht da noch ne URL in seinem Script drin, weiß der Geier (Seevogel ) wie sie da mit hineingekommen ist.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.06.2008, 04:18   #12
Sunny
Administrator
> Competence Manager
 

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Das Script von Bata ist schon richtig geschrieben, denn ohne Link würde es in diesem Fall nicht viel Sinn machen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 10.06.2008, 08:49   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Unglücklich

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Wirklich? Ich versteh CF einfach nicht. Wo ist das dokumentiert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 10.06.2008, 17:19   #14
KarlKarl
/// Helfer-Team
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Standard

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Zitat:
Wirklich? Ich versteh CF einfach nicht. Wo ist das dokumentiert?
Da gibt es zwei mögliche Antworten:

1. Nirgendwo. Subs, der Erschaffer von Combofix, möchte nicht, dass alle alle Möglichkeiten von Combofix nutzen. Deshalb sind sie nicht öffentlich dokumentiert. Wer sich aus irgendwelchen Forenthreads was "zusammenreimt" läuft Gefahr, nur die Hälfte mitbekommen zu haben und ist bei Problemen auf sich gestellt.

2. In Combofix. Combofix besteht nur aus ein paar Freeware-Tools und ein paar Batchdateien in einem Winrar Sebstextrahierer. Mit Winrar Combofix manuell entpacken und nachlesen. Gerade wenn mal wieder komische Dinge passieren und nach ienem Combofixlauf sehr seltsame Sachen gefunden werden ist das zu empfehlen.


Generell lässt sich auch ohne Combofix auskommen. Alles was das Tool kann kann man auch ohne es machen.

Alt 10.06.2008, 19:20   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Blinzeln

TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE



Ok, danke für die Hinweise.
__________________
Logfiles bitte immer in CODE-Tags posten

 

Themen zu TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE
angezeigt, antivir, betriebssystem, bitdefender, datei, defender, editiere, hijack, hijackthis, hijackthis logfile, links, logfile, löschen, micro, nicht mehr, quara, quarantäne, spybot, tr/crypt., tr/crypt.nspm.gen, trend, troja, trojaner, umbenennen, verschieben, wahrscheinlich



Ähnliche Themen: TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE


  1. Trojaner TR/Crypt.XPACK.Gen3 und TR/Agent.aym.2 in svchost.exe und shell.exe
    Plagegeister aller Art und deren Bekämpfung - 18.10.2010 (1)
  2. Trojaner TR/Crypt.XPACK.Gen in C:\Users\***\AppData\Local\Temp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (23)
  3. Ständig neue virenhafte 'svchost.exe' (TR/Crypt.ZPACK.GEN)
    Plagegeister aller Art und deren Bekämpfung - 18.06.2010 (32)
  4. Virenhafte 'svchost.exe' (TR/Crypt.ZPACK.GEN)
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (2)
  5. Svchost.exe lastet CPU zu fast 100% aus / AntiVir findet 'TR/Crypt.ZPACK.Gen'
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (8)
  6. TR\Crypt.ZPACK.Gen in C:\Windows\Temp\gsxm.tmp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (1)
  7. TR/Crypt.ZPACK.Gen C:\WINDOWS\Temp\uagx.tmp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 01.05.2010 (1)
  8. Antivir meldet TR/Crypt.ZPACK.Gen in C/Windows/Temp/xxxx.tmp/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (4)
  9. TR/Crypt.ZPACK.Gen in C:\Windows\Temp\rmwc.tmp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2010 (53)
  10. TR/Crypt.ZPACK.Gen in C:\Temp\bcot.tmp\svchost.exe , C:\Temp\qmub.tmp\svchost.exe usw
    Plagegeister aller Art und deren Bekämpfung - 12.04.2010 (1)
  11. TR/Crypt.ZPACK.Gen in SVCHOST.exe
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (1)
  12. AntiVir: C:\Windows\Tem\dtnp.tmp\svchost.exe Is the TR/Crypt.ZPACK.Gen Trojan
    Plagegeister aller Art und deren Bekämpfung - 06.04.2010 (45)
  13. TR/Crypt.NSPM.Gen und W32/autorun.mg Fund auf nagelneuer Externen
    Log-Analyse und Auswertung - 20.01.2010 (3)
  14. Habe ich mir den Trojaner TR/Crypt.NSPM.Gen
    Log-Analyse und Auswertung - 07.04.2009 (5)
  15. Browser lädt keine AV Seiten, Rootkit in C:\WINNT\system32\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 02.04.2009 (7)
  16. c:\winnt\system32\drivers\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 20.09.2008 (2)
  17. c:\winnt\system32\drivers\svchost.exe
    Mülltonne - 17.09.2008 (0)

Zum Thema TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE - Ich habe den Trojaner TR/Crypt.NSPM.Gen in der Datei c:/WINNT/SVCHOST.EXE und werde ihn nicht mehr los. Bitdefender, AntiVir und Spybot finden ihn zwar, aber weder "löschen" noch durch "in Quarantäne verschieben" - TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE...
Archiv
Du betrachtest: TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.