Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.12.2008, 21:46   #1
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hallo,

habe mir den genannten Trojaner eingefangen. Habe durch Suche über Google die Info bekommen HijackThis zu verwenden. Habe dann das Logfile auf der Hijackthis-Seite hochgeladen. Es wurden zwei Einträge rot gekennzeichnet. Diese habe ich dann duch Empfehlung von HijackThis mit Lib-....irgendwas (weiß leider nicht mehr den namen wegbekommen. Als o auf den Hijackthis-Site bekomme ich keine Einträge des Logfiles mehr rot gekennzeichnet. Spybot bringt auch keine Meldung mehr. Der Rechner fährt hoch, Internet funktioniert. ALLERDINGS, ich habe noch als Desktopbild einen schwarzen Hintergrund mit der Warnung (Anhang).
Gehe ich auf die Desktopeinstellungen kann ich das Hintergrundbild nicht ändern. Habe keine Rechte darauf (ausgegraut). Kann ebenso nicht das Design ändern. Systemwiederherstellung funktioniert nicht, kann keine anderen tage auswählen.
Also ich habe irgendwie das gefühl, der trojaner ist zwar "weg" aber gewisse Änderungen hat er hinterlassen.
Könnt ihr mir helfen bzw. einen Rat geben?

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19:53, on 25.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\PestPatrol\PPCL.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PPCL.exe c:\
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230199830703
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E37EA82-B98B-4F7B-9F43-DEB0117E280D}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10645 bytes
         

Gruß
Robert
Miniaturansicht angehängter Grafiken
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem-meldung.jpg  

Geändert von sahnecracker (25.12.2008 um 22:01 Uhr)

Alt 25.12.2008, 23:37   #2
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Antivir meldet jetzt:

TR/Vundo.72704Y3 in windos\system32\swhersm.dll

TR/Vundo.D.3 in windos\system32\iifebBTN.dll


Lassen sich nicht löschen oder in Quarantäne schicken
__________________


Alt 26.12.2008, 01:18   #3
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hat niemand einen Rat für mich?
__________________

Alt 26.12.2008, 11:17   #4
Aggro Berlin
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hallo,

werte bitte diese Datei bei VirusTotal - Kostenloser online Viren- und Malwarescanner. Anschließend alles reinkopieren was auf der Seite zu sehen ist.
Code:
ATTFilter
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\ctfmon.exe
         

führe bitte einen Scan mit Malwarebytes aus und poste anschließend den entstandenen Log,

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Edit: Poste danach nochmal einen HijackThis Log.

LG
__________________
Warum stürzt Windows 95 so oft ab? Na klar - weil das Verfallsdatum abgelaufen ist!

Alt 26.12.2008, 12:54   #5
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hallo Aggro Berrlin,

danke für den Rat. Werd ich machen und mich dann wieder melden!
Noch ne Frage, alles im abgesicherten Modus?


Alt 26.12.2008, 22:51   #6
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



So, Teil 1

Code:
ATTFilter
 Datei bgsvcgen.exe empfangen 2008.12.26 22:41:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2008.12.26	-
AhnLab-V3	2008.12.25.0	2008.12.26	-
AntiVir	7.9.0.45	2008.12.26	-
Authentium	5.1.0.4	2008.12.26	-
Avast	4.8.1281.0	2008.12.26	-
AVG	8.0.0.199	2008.12.26	-
BitDefender	7.2	2008.12.26	-
CAT-QuickHeal	10.00	2008.12.26	-
ClamAV	0.94.1	2008.12.26	-
Comodo	819	2008.12.26	-
DrWeb	4.44.0.09170	2008.12.26	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.26	-
F-Prot	4.4.4.56	2008.12.24	-
F-Secure	8.0.14332.0	2008.12.26	-
Fortinet	3.117.0.0	2008.12.26	-
GData	19	2008.12.26	-
Ikarus	T3.1.1.45.0	2008.12.26	-
K7AntiVirus	7.10.567	2008.12.26	-
Kaspersky	7.0.0.125	2008.12.26	-
McAfee	5475	2008.12.26	-
McAfee+Artemis	5474	2008.12.24	-
Microsoft	1.4205	2008.12.26	-
NOD32	3718	2008.12.26	-
Norman	5.80.02	2008.12.26	-
Panda	9.0.0.4	2008.12.26	-
PCTools	4.4.2.0	2008.12.26	-
Prevx1	V2	2008.12.26	-
Rising	21.09.42.00	2008.12.26	-
SecureWeb-Gateway	6.7.6	2008.12.26	-
Sophos	4.37.0	2008.12.26	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.26	-
TheHacker	6.3.1.4.200	2008.12.26	-
TrendMicro	8.700.0.1004	2008.12.26	-
VBA32	3.12.8.10	2008.12.26	-
ViRobot	2008.12.26.1536	2008.12.26	-
VirusBuster	4.5.11.0	2008.12.26	-
weitere Informationen
File size: 145504 bytes
MD5...: acc9c8c560c567fad6f79c977ab2ea09
SHA1..: 02f2cf9d63038a46243837e723224b00668aa55e
SHA256: 24ff3254680e46b5f3822d26e9aa5020b4b9809ac7b4ff32d95b7d4ead808ad5
SHA512: f1173e2ca0230d1a11119802e83b466e785f3fdcf6d5f5f8a7a184fbcd0d854e
1a6310b82d1a1e83de2ce3adddf16484bdf99726ac1cc655385dd1cb5037c639
ssdeep: 3072:OKVJPWUNwdD/m1VA6Sb/qJRRnZWJg5v3GQpVHBr:ON5qSb/qJRvWJCPr
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40bca7
timedatestamp.....: 0x46720c40 (Fri Jun 15 03:49:20 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16d87 0x17000 6.58 de19d5b616a5ae1c7af364e0900a18e0
.rdata 0x18000 0x5a44 0x6000 4.82 83bfb60396f7755b0341deac2d2dcdef
.data 0x1e000 0x3904 0x2000 1.86 6c31ac7478f88206ee4e6ed42e2e2571
.rsrc 0x22000 0x13b4 0x2000 4.73 38e1c5d59d5a4fe85b3cbc219737da77

( 6 imports )
> KERNEL32.dll: GetSystemDefaultLangID, GetModuleFileNameW, ReleaseSemaphore, FreeLibrary, MultiByteToWideChar, LoadLibraryExW, GetModuleHandleW, Sleep, MapViewOfFile, OpenFileMappingW, InterlockedIncrement, InterlockedDecrement, UnregisterWaitEx, SetEvent, SetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForMultipleObjects, OutputDebugStringW, PostQueuedCompletionStatus, GetQueuedCompletionStatus, CreateSemaphoreW, lstrcpynW, GlobalFree, GlobalAlloc, WideCharToMultiByte, DeviceIoControl, CreateFileW, lstrcatW, GetFileAttributesW, GetTempPathW, SetFilePointer, SetEnvironmentVariableA, CompareStringW, CompareStringA, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, FlushFileBuffers, LCMapStringW, lstrcmpiW, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, CreateEventW, WriteFile, WaitForSingleObject, ResetEvent, ReadFile, RaiseException, CreateNamedPipeW, GetLastError, GetCurrentThreadId, CreateIoCompletionPort, ConnectNamedPipe, EnterCriticalSection, LeaveCriticalSection, lstrlenW, UnmapViewOfFile, CloseHandle, GetCommandLineW, LCMapStringA, GetStringTypeW, GetStringTypeA, GetConsoleMode, GetConsoleCP, GetOEMCP, GetCPInfo, LoadLibraryA, GetCurrentProcessId, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, RtlUnwind, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, CreateThread, GetSystemTimeAsFileTime, GetStartupInfoW, VirtualFree, VirtualAlloc, HeapCreate, GetProcAddress, GetModuleHandleA, ExitProcess, GetStdHandle, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetTimeZoneInformation, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount
> USER32.dll: wsprintfW, LoadStringW, UnregisterClassA, MessageBoxW, TranslateMessage, PostThreadMessageW, CharUpperW, CharNextW, GetMessageW, DispatchMessageW
> ADVAPI32.dll: StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, RegEnumKeyExW, CreateServiceW, ChangeServiceConfig2W, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, RegisterEventSourceW, ReportEventW, DeregisterEventSource, ControlService, DeleteService, OpenSCManagerW, OpenServiceW, CloseServiceHandle, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, SetServiceStatus
> ole32.dll: CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -
> SETUPAPI.dll: SetupDiChangeState, SetupDiGetClassDevsW, SetupDiDestroyDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiGetDeviceRegistryPropertyW, SetupDiClassGuidsFromNameW, SetupDiDeleteDeviceInfo, SetupDiSetClassInstallParamsW

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=acc9c8c560c567fad6f79c977ab2ea09' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=acc9c8c560c567fad6f79c977ab2ea09</a>
         
Code:
ATTFilter
Datei ctfmon.exe empfangen 2008.12.26 22:44:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.73	2008.12.26	-
AhnLab-V3	2008.12.25.0	2008.12.26	-
AntiVir	7.9.0.45	2008.12.26	-
Authentium	5.1.0.4	2008.12.26	-
Avast	4.8.1281.0	2008.12.26	-
AVG	8.0.0.199	2008.12.26	-
BitDefender	7.2	2008.12.26	-
CAT-QuickHeal	10.00	2008.12.26	-
ClamAV	0.94.1	2008.12.26	-
Comodo	819	2008.12.26	-
DrWeb	4.44.0.09170	2008.12.26	-
eSafe	7.0.17.0	2008.12.24	-
eTrust-Vet	31.6.6276	2008.12.24	-
Ewido	4.0	2008.12.26	-
F-Prot	4.4.4.56	2008.12.26	-
F-Secure	8.0.14332.0	2008.12.26	-
Fortinet	3.117.0.0	2008.12.26	-
GData	19	2008.12.26	-
Ikarus	T3.1.1.45.0	2008.12.26	-
K7AntiVirus	7.10.567	2008.12.26	-
Kaspersky	7.0.0.125	2008.12.26	-
McAfee	5475	2008.12.26	-
McAfee+Artemis	5475	2008.12.26	-
Microsoft	1.4205	2008.12.26	-
NOD32	3718	2008.12.26	-
Norman	5.80.02	2008.12.26	-
Panda	9.0.0.4	2008.12.26	-
PCTools	4.4.2.0	2008.12.26	-
Prevx1	V2	2008.12.26	-
Rising	21.09.42.00	2008.12.26	-
SecureWeb-Gateway	6.7.6	2008.12.26	-
Sophos	4.37.0	2008.12.26	-
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2008.12.26	-
TheHacker	6.3.1.4.200	2008.12.26	-
TrendMicro	8.700.0.1004	2008.12.26	-
VBA32	3.12.8.10	2008.12.26	-
ViRobot	2008.12.26.1536	2008.12.26	-
VirusBuster	4.5.11.0	2008.12.26	-
weitere Informationen
File size: 15360 bytes
MD5...: 01b4e6e990b6c5ea8856d96c7fd044b2
SHA1..: 40ff417a5e7043723911131c29a3914a9c478cde
SHA256: 2266296fd3c8e0dfa657f21406ee4e494477870dfaf7c65bebcb6fba8cadc7c6
SHA512: 9253e82f29ece8248348e77fad623a9c471d7cdf92fb299ae3e20b70e4c6e66d
9c6a8c2a07dfcad5e94466deb498582d691a9fcefd20852eda3373858d0a01d7
ssdeep: 192:WTzPGoc4F/MNhlYWpjZ+o7NpO7MIl8SVPTI7mW7rOi7oLG9lMnjmxAITljrU
FE3m:AO1Eo7NY8MPTIaW7/lumxlJlWDlgW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402e35
timedatestamp.....: 0x48025356 (Sun Apr 13 18:39:18 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2ab8 0x2c00 6.75 c3924778aa62939cfbe89b1afeddb71b
.data 0x4000 0x210 0x200 1.07 bd8c5cd346a9f53dc0dbc69260ab2240
.rsrc 0x5000 0x870 0xa00 3.85 421ca88053c2138f828a915f2a95d754

( 6 imports )
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit
> ADVAPI32.dll: RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA
> KERNEL32.dll: lstrcpynA, lstrlenA, GetSystemDirectoryA, GetSystemWindowsDirectoryA, GetVersionExA, GetACP, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LocalFree, CloseHandle, ResetEvent, OpenEventA, CreateProcessA, lstrcatA, GetSystemInfo, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, LocalAlloc, GetProcAddress
> USER32.dll: EnumWindows, GetClassNameA, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetSystemMetrics
> MSCTF.dll: TF_InitSystem, TF_GetGlobalCompartment, TF_InvalidAssemblyListCacheIfExist, TF_InvalidAssemblyListCache, TF_PostAllThreadMsg, TF_CreateCicLoadMutex, TF_UninitSystem
> MSUTB.dll: ClosePopupTipbar, GetPopupTipbar

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2' target='_blank'>http://www.threatexpert.com/report.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=01b4e6e990b6c5ea8856d96c7fd044b2</a>
         

Alt 27.12.2008, 07:43   #7
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Teil 2
Malware
Code:
ATTFilter
´Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1551
Windows 5.1.2600 Service Pack 3

27.12.2008 06:47:09
mbam-log-2008-12-27 (06-47-09).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 335648
Laufzeit: 5 hour(s), 48 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9ac61e2c-aa4f-4119-9013-08dae92d0317} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9ac61e2c-aa4f-4119-9013-08dae92d0317} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ramhqm.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\scheffe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\149RWKQG\index[2] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\scheffe\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GVYXCMPL\divx[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hallhkbb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\epqvny.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\a (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\jkkIXpNh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         

Alt 27.12.2008, 08:57   #8
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Teil 3

Compofix hat nach Start ein update von sich selbst gemacht, danach die Windows-Wiederherstellungskonsole installiert, dann kam ein "Fehler"

32788R22FWJFW\nlrcmd.com konnte nicht gefunden werden

danach den rechner neu gebootet. Bei mir startet autom. Spybot, Antivir und pestpatrol. pestpatrol hat einen BackdoorVirus gemeldet. Compofix?

Code:
ATTFilter
ComboFix 08-12-26.03 - scheffe 2008-12-27  8:00:08.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.768.302 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\scheffe\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\scheffe\LOKALE~1\Temp\tmp1.tmp
c:\windows\system32\gcvsmvhw.dll
c:\windows\system32\NTBbefii.ini
c:\windows\system32\test.ttt
c:\windows\system32\win32hlp.cnf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-27 bis 2008-12-27  ))))))))))))))))))))))))))))))
.

2008-12-27 07:49 . 2008-12-27 07:50	<DIR>	d--------	C:\32788R22FWJFW
2008-12-26 22:47 . 2008-12-26 22:47	<DIR>	d--------	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Malwarebytes
2008-12-26 22:47 . 2008-12-03 19:52	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-26 22:47 . 2008-12-03 19:52	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-12-26 22:46 . 2008-12-26 22:47	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-26 22:46 . 2008-12-26 22:46	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-25 23:47 . 2008-12-25 23:47	<DIR>	d--------	C:\VundoFix Backups
2008-12-25 00:56 . 2008-12-25 00:56	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-12-25 00:06 . 2008-12-25 00:06	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ipswitch
2008-12-24 23:54 . 2008-12-24 23:54	<DIR>	d--------	c:\programme\Trend Micro
2008-12-24 16:02 . 2006-08-13 22:04	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-24 16:02 . 2006-08-13 22:58	<DIR>	dr-------	c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-24 16:02 . 2006-08-13 22:58	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-24 16:02 . 2008-12-26 22:12	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-24 16:02 . 2006-08-13 22:58	<DIR>	d--------	c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-24 16:02 . 2006-08-13 22:58	<DIR>	d--h-----	c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-24 16:02 . 2008-12-25 08:32	<DIR>	dr-h-----	c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-24 16:02 . 2008-12-25 00:56	<DIR>	d--------	c:\dokumente und einstellungen\Administrator
2008-12-24 09:47 . 2008-12-24 09:47	<DIR>	d--------	c:\windows\system32\syncdb
2008-12-24 09:13 . 2008-12-24 09:13	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\espionServerData
2008-12-23 19:47 . 2008-04-14 00:15	26,112	--a------	c:\windows\system32\drivers\usbser.sys
2008-12-23 19:47 . 2008-04-14 00:15	26,112	--a--c---	c:\windows\system32\dllcache\usbser.sys
2008-12-23 17:02 . 2008-12-24 09:33	<DIR>	d--------	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Download Manager
2008-12-23 16:16 . 2008-12-23 16:16	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Adobe AIR
2008-12-23 12:49 . 2008-12-23 12:59	<DIR>	d--------	c:\programme\RegCleaner
2008-12-23 07:08 . 2008-12-23 07:17	<DIR>	d--------	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Roxio
2008-12-23 07:08 . 2008-12-23 07:08	<DIR>	d--------	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Roxio
2008-12-23 07:08 . 2008-12-23 07:08	54,156	--ah-----	c:\windows\QTFont.qfn
2008-12-23 07:08 . 2008-12-23 07:08	1,409	--a------	c:\windows\QTFont.for
2008-12-22 22:19 . 2008-12-22 22:19	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sonic
2008-12-22 22:15 . 2008-12-22 22:17	<DIR>	d--------	c:\programme\Roxio
2008-12-22 22:15 . 2008-12-22 22:15	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Sonic Shared
2008-12-22 22:15 . 2008-12-22 22:17	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Roxio Shared
2008-12-22 22:15 . 2008-12-23 07:17	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Roxio
2008-12-22 22:06 . 2007-01-18 10:24	26,496	-ra------	c:\windows\system32\drivers\RimSerial.sys
2008-12-22 22:04 . 2008-12-22 22:04	<DIR>	d--------	c:\programme\Research In Motion
2008-12-22 21:08 . 2008-12-22 21:08	<DIR>	d--------	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Research In Motion
2008-12-22 21:08 . 2008-12-23 11:37	256	--a------	c:\windows\system32\pool.bin
2008-12-22 21:07 . 2008-12-22 22:06	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Research In Motion
2008-12-12 09:47 . 2008-12-23 08:23	<DIR>	d--------	C:\privat
2008-12-09 22:40 . 2008-12-09 22:40	3,273	--a------	c:\windows\SceneLib24.ini
2008-12-09 22:38 . 2008-12-09 22:38	703	--a------	c:\windows\TRACK.INI
2008-12-09 22:36 . 2008-12-09 22:38	<DIR>	d--------	C:\wintrack
2008-12-09 22:24 . 2008-12-09 22:29	<DIR>	d--------	c:\programme\WinTrack8
2008-12-09 22:24 . 2008-12-09 22:42	<DIR>	d--------	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\WinTrack
2008-11-28 05:19 . 2008-09-04 18:15	1,106,944	-----c---	c:\windows\system32\dllcache\msxml3.dll
2008-11-28 05:19 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-28 05:18 . 2008-10-15 17:35	337,408	-----c---	c:\windows\system32\dllcache\netapi32.dll
2008-11-28 05:17 . 2008-08-14 14:19	2,191,488	-----c---	c:\windows\system32\dllcache\ntoskrnl.exe
2008-11-28 05:17 . 2008-08-14 14:19	2,147,840	-----c---	c:\windows\system32\dllcache\ntkrnlmp.exe
2008-11-28 05:17 . 2008-08-14 14:19	2,068,352	-----c---	c:\windows\system32\dllcache\ntkrnlpa.exe
2008-11-28 05:17 . 2008-08-14 14:19	2,026,496	-----c---	c:\windows\system32\dllcache\ntkrpamp.exe
2008-11-28 05:17 . 2008-09-15 16:24	1,846,528	-----c---	c:\windows\system32\dllcache\win32k.sys
2008-11-28 05:17 . 2008-09-08 11:41	333,824	-----c---	c:\windows\system32\dllcache\srv.sys
2008-11-28 05:16 . 2008-05-01 15:34	331,776	-----c---	c:\windows\system32\dllcache\msadce.dll
2008-11-28 05:14 . 2008-04-11 20:04	691,712	-----c---	c:\windows\system32\dllcache\inetcomm.dll
2008-11-28 05:06 . 2008-10-16 14:08	27,672	--a------	c:\windows\system32\wuapi.dll.mui

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-27 07:04	---------	d-----w	c:\programme\PestPatrol
2008-12-26 22:00	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-26 21:41	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-12-24 23:07	---------	d-----w	c:\programme\Spybot - Search & Destroy
2008-12-24 23:07	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-24 12:49	---------	d-----w	c:\programme\PeerGuardian2
2008-12-24 09:27	---------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2008-12-24 08:48	---------	d-----w	c:\programme\Mozilla Thunderbird
2008-12-23 20:13	---------	d-----w	c:\programme\Ulead Systems
2008-12-23 20:05	---------	d-----w	c:\programme\CCleaner
2008-12-23 19:02	---------	d--h--w	c:\programme\InstallShield Installation Information
2008-12-23 18:59	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\VMware
2008-12-23 18:53	---------	d-----w	c:\programme\Gemeinsame Dateien\Ulead Systems
2008-12-23 18:53	---------	d-----w	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Ulead Systems
2008-12-23 18:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-12-23 18:50	---------	d-----w	c:\programme\Pixum AG
2008-12-23 18:50	---------	d-----w	c:\programme\OnlineFotoservice
2008-12-23 18:49	---------	d-----w	c:\programme\Gemeinsame Dateien\Nikon
2008-12-23 18:47	---------	d-----w	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\InstallShield
2008-12-23 18:47	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-12-23 18:45	---------	d-----w	c:\programme\FinePixViewer
2008-12-23 18:32	---------	d-----w	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\VMware
2008-12-22 12:00	63,790	----a-w	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\mdbu.bin
2008-11-24 21:31	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TomTom
2008-11-15 00:23	---------	d-----w	c:\programme\TomTom HOME 3
2008-11-12 19:58	---------	d-----w	c:\programme\IPACS
2008-11-12 19:45	---------	d-----w	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\ATI
2008-11-12 19:37	---------	d-----w	c:\programme\ATI Technologies
2008-11-11 20:30	---------	d-----w	c:\programme\SpoilerSync
2008-11-01 12:01	---------	d-----w	c:\dokumente und einstellungen\scheffe\Anwendungsdaten\bibble
2008-10-29 19:17	---------	d-----w	c:\programme\EasyGPS
2008-10-28 14:09	---------	d-----w	c:\programme\Microsoft Silverlight
2007-01-12 22:48	25,600	----a-w	c:\dokumente und einstellungen\scheffe\usbsermptxp.sys
2007-01-12 22:48	22,768	----a-w	c:\dokumente und einstellungen\scheffe\usbsermpt.sys
2005-05-13 15:12	217,073	--sha-r	c:\windows\meta4.exe
2005-07-14 10:31	27,648	--sha-r	c:\windows\system32\AVSredirect.dll
2005-06-26 13:32	616,448	--sha-r	c:\windows\system32\cygwin1.dll
2005-06-21 20:37	45,568	--sha-r	c:\windows\system32\cygz.dll
2004-01-24 22:00	70,656	--sha-r	c:\windows\system32\i420vfw.dll
2005-02-28 11:16	240,128	--sha-r	c:\windows\system32\x.264.exe
2004-01-24 22:00	70,656	--sha-r	c:\windows\system32\yv12vfw.dll
2008-05-01 08:43	32,768	--sha-w	c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050120080502\index.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-13 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2004-10-26 344064]
"SunJavaUpdateSched"="c:\programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"PPMemCheck"="c:\programme\PestPatrol\PPMemCheck.exe" [2004-06-07 146432]
"PestPatrol Control Center"="c:\programme\PestPatrol\PPControl.exe" [2005-02-28 98816]
"CookiePatrol"="c:\programme\PestPatrol\CookiePatrol.exe" [2005-02-28 105472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-08-17 155648]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"PestPatrolCL"="c:\programme\PestPatrol\PPCL.exe" [2005-02-28 856576]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.dvacm"= c:\progra~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"REGSHAVE"=c:\programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
"UVS10 Preload"=c:\programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Programme\\Azureus\\Azureus.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Aktuell\\emule\\neu\\eMule0.47a\\eMule0.47a\\emule.exe"=
"c:\\Programme\\IncrediMail\\bin\\ImLc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Programme\\devolo\\easyshare\\easyshare.exe"=
"%windir%\\system32\\sessmgr.exe"=

R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 163840]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS []
S3 TODslService;T-Online DSL-Manager;"c:\programme\T-Online\DSL-Manager\TODslSvc.exe" [2006-08-28 172032]
S4 Auprvck;Auprvck; []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8317c35b-bdf0-11dd-80c6-005056c00008}]
\Shell\AutoRun\command - H:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5735fcf-e7ea-11db-bd55-000c6ea48c96}]
\Shell\AutoRun\command - F:\InstallTomTomHOME.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-17 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe []

2008-12-27 c:\windows\Tasks\ddwgpbjj.job
- c:\windows\system32\rundll32.exe [2008-04-14 06:53]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{0EB801A0-F626-4EAC-B284-5932835F14C1} - (no file)
BHO-{1AB94460-29AD-4012-99A2-2CE44462BD5D} - (no file)
BHO-{9ac61e2c-aa4f-4119-9013-08dae92d0317} - (no file)
HKLM-Run-<NO NAME> - (no file)
Notify-hgGaxwwX - hgGaxwwX.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
uSearch Page = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Convert link target to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\spacklsp.dll
TCP: {8E37EA82-B98B-4F7B-9F43-DEB0117E280D} = 192.168.2.1,194.25.2.129

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

c:\windows\Downloaded Program Files\ImgUploader.ocx - O16 -: ImgUploader
hxxp://www.pixum.de/int/EasyUpload/ImgUploader.cab
c:\windows\Downloaded Program Files\OSD1A1A.OSD

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Mozilla\Firefox\Profiles\0snwm9xf.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - component: c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Mozilla\Firefox\Profiles\0snwm9xf.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Mozilla\Firefox\Profiles\0snwm9xf.default\extensions\kodak-companion@mozilla.com\platform\WINNT_x86-msvc\components\mozFotofox.dll
FF - component: c:\dokumente und einstellungen\scheffe\Anwendungsdaten\Mozilla\Firefox\Profiles\0snwm9xf.default\extensions\piclens@cooliris.com\components\coolirisstub.dll
FF - plugin: c:\program files\Garmin GPS Plugin\npGarmin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 08:06:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\AntiVir PersonalEdition Classic\sched.exe
c:\programme\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\bgsvcgen.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
c:\programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\programme\Canon\CAL\CALMAIN.exe
c:\windows\system32\wscntfy.exe
c:\programme\Java\jre1.5.0_06\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-27  8:15:21 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-12-27 07:15:17

Vor Suchlauf: 48 Verzeichnis(se), 41.383.104.512 Bytes frei
Nach Suchlauf: 48 Verzeichnis(se), 41,204,805,632 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

285
         

Alt 27.12.2008, 09:00   #9
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hijackthis

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:58:44, on 27.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar5.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar5.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [PestPatrolCL] C:\Programme\PestPatrol\PPCL.exe c:\
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: ImgUploader - http://www.pixum.de/int/EasyUpload/ImgUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1230199830703
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E37EA82-B98B-4F7B-9F43-DEB0117E280D}: NameServer = 192.168.2.1,194.25.2.129
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Programme\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 11383 bytes
         

Alt 27.12.2008, 19:00   #10
sahnecracker
 
TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Standard

TR/Crypt.XPACK.Gen TROJANER - "Rest"problem



Hallo,

und wie sieht es aus? Könnte mein System wieder clean sein?

Antwort

Themen zu TR/Crypt.XPACK.Gen TROJANER - "Rest"problem
adobe, antivir, ausgegraut, avira, bonjour, canon, computer, control center, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, logfile, monitor, mozilla, photoshop, problem, rundll, senden, software, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, uleadburninghelper, warnung, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem


  1. Avira meldet TR/Crypt.XPACK.Gen" in Datei "mjcrosoft-windows-hal-events.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (13)
  2. Windows 8: "TR/Crypt.XPACK.Gen2" / "ADWARE/Amonetize.U.3"
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (9)
  3. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  4. "CorruptBootConfigData" Nach Virusbefall ("TR/Crypt.XPack.Gen")
    Plagegeister aller Art und deren Bekämpfung - 08.10.2011 (1)
  5. Problem mit Trojaner "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 29.03.2011 (9)
  6. auch bei mir ist der Trojaner "tr/crypt.xpack.gen"
    Plagegeister aller Art und deren Bekämpfung - 26.03.2011 (5)
  7. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (7)
  8. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Alles rund um Windows - 08.01.2011 (1)
  9. Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll"
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (3)
  10. Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (43)
  11. Problem mit "TR/TDss.AE.22" und "TR/Crypt.XPACK.Gen"
    Mülltonne - 16.12.2008 (0)
  12. Problem mit "TR/Crypt.XPACK.Gen [trojan]"
    Log-Analyse und Auswertung - 05.12.2008 (4)
  13. Trojaner "TR/Crypt.XPACK.Gen"
    Plagegeister aller Art und deren Bekämpfung - 25.10.2008 (4)
  14. AntiVir meldet: Trojaner "TR/Crypt.XPACK.Gen"
    Log-Analyse und Auswertung - 05.06.2008 (4)
  15. Trojaner "TR/Crypt.XPACK.Gen" ,Log zur Auswertung
    Mülltonne - 20.05.2008 (1)
  16. Trojaner "Crypt.XPACK.Gen" -Software zum Entfernen?
    Antiviren-, Firewall- und andere Schutzprogramme - 19.05.2008 (1)
  17. Hilfe Trojaner "TR/Crypt.XPACK.Gen"
    Log-Analyse und Auswertung - 15.04.2008 (2)

Zum Thema TR/Crypt.XPACK.Gen TROJANER - "Rest"problem - Hallo, habe mir den genannten Trojaner eingefangen. Habe durch Suche über Google die Info bekommen HijackThis zu verwenden. Habe dann das Logfile auf der Hijackthis-Seite hochgeladen. Es wurden zwei Einträge - TR/Crypt.XPACK.Gen TROJANER - "Rest"problem...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen TROJANER - "Rest"problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.