Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 30.06.2007, 18:10   #1
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Antivir Guard meldet andauernd, dass die Datei C:\Windows\system32\ssqnnoo.dll der Trojaner TR/Crypt.XPACK.Gen ist.

Wenn ich versuche, wie vom Guard vorgeschlagen, die Datei in Quarantäne zu stellen, kommt die Meldung: "Möglicherweise fehlen Ihnen dazu die nötigen Rechte, oder der Zugriff auf die Datei ist gesperrt."

Das gleiche passiert auch im abgesicherten Modus.


Außerdem findet der guard zwei weitere Trojaner, nämlich: TR/Agent.7393 und TR/Dldr.Tiny.GX.3

Die von diesem Trojanern befallenen Dateien lassen sich zwar löschen bzw. in Quarantäne stellen - jedoch weiß ich nicht, wie ich die Trojaner selbst löschen soll bzw. ob sie eventuell im Zusammenhang mit dem ersterwähnten Trojaner stehen.

Ich bin daher ratlos, was ich weiters tun soll!

Mein hijack Report:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:02:59, on 30.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\avp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kfunigraz.ac.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com/de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://registration.vugames.fr/F10009241.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ssqnnoo.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D41A3082-F2C3-480C-849F-B779EFCB5385} - C:\WINDOWS\system32\awvtu.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RSS-Support-Site zu VAIO Information FLOW hinzufügen - C:\Programme\Sony\VAIO Information FLOW\aiesc.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O20 - Winlogon Notify: awvtu - C:\WINDOWS\system32\awvtu.dll
O20 - Winlogon Notify: ssqnnoo - C:\WINDOWS\SYSTEM32\ssqnnoo.dll
O20 - Winlogon Notify: winxnz32 - winxnz32.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Avlib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O24 - Desktop Component 1: ZID - Webmail :: Willkommen bei uni-graz.at - https://webmail.stud.uni-graz.at/

--
End of file - 14392 bytes




Wäre super, wenn mir jemand helfen könnte - ach ja, bitte eine Erklärung für "dummies" - kenn mich nämlich sehr wenig aus.

Danke schon im voraus, mfG ikarus07

Alt 30.06.2007, 18:34   #2
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Ausrufezeichen

TR/Crypt.XPACK.Gen



Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:




Datenträgerbereinigung


Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Dateien Online überprüfen lassen:


* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\ssqnnoo.dll
C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\avp.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Fixen mit HijackThis:


Diese Einträge fixen...einfach alle genannten anhaken -> Fix checked!

Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://registration.vugames.fr/F10009241.html
O20 - Winlogon Notify: winxnz32 - winxnz32.dll (file missing)

Gruß
Sunny
__________________

__________________

Alt 30.06.2007, 20:13   #3
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Danke erstmals für die schnelle Antwort.

Hoffe, ich habe alles richtig gemacht!



ComboFix 07-06-18.2 - C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
"Daniel" - 2007-06-30 19:14:57 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\avp.exe


((((((((((((((((((((((((( Files Created from 2007-05-28 to 2007-06-30 )))))))))))))))))))))))))))))))


2007-06-30 19:13 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-30 18:23 11,776 --a------ C:\WINDOWS\mgrs.exe
2007-06-30 17:13 <DIR> d-------- C:\WINDOWS\pss
2007-06-30 14:56 266,336 --a------ C:\WINDOWS\system32\awvtu.dll
2007-06-30 14:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-06-30 13:48 31,254 --------- C:\WINDOWS\system32\ssqnnoo.dll
2007-06-07 11:01 <DIR> d-------- C:\Programme\CDBurnerXP Pro 3
2007-05-28 12:36 <DIR> d-------- C:\Programme\Anno 1701
2007-05-16 22:08 <DIR> d-------- C:\Programme\PokerStars
2007-05-15 21:49 <DIR> d-------- C:\Programme\Ubisoft
2007-05-15 21:33 <DIR> d-------- C:\Programme\DAEMON Tools
2007-05-15 21:30 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-05-14 19:53 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\Help
2007-05-09 00:01 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\Ahead
2007-05-08 22:22 <DIR> d-------- C:\Programme\Easy MPEG AVI DIVX WMV RM to DVD
2007-05-07 18:23 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-05-07 18:21 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-05-07 18:21 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-05-06 15:15 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\vlc
2007-05-05 18:00 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-05-05 13:26 <DIR> d-------- C:\DOKUME~1\Daniel\ANWEND~1\DivX
2007-05-04 23:17 0 --a------ C:\WINDOWS\nsreg.dat
2007-05-04 23:16 2,266 --a------ C:\WINDOWS\mozver.dat
2007-05-04 23:16 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-05-04 23:15 <DIR> d-------- C:\Programme\DivX
2007-05-02 20:04 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-05-02 20:04 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-05-02 20:04 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-05-02 20:04 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-05-02 20:02 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-05-02 20:02 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-05-02 20:02 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-05-02 20:02 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-05-02 20:02 344,064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-05-02 20:02 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-05-02 20:02 294,912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-05-02 20:02 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-05-02 20:01 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-05-02 20:01 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-05-02 20:01 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-05-02 20:01 740,442 --a------ C:\WINDOWS\system32\DivX.dll
2007-05-02 10:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-05-02 04:33 124,472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-05-02 04:33 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-05-01 15:34 184,386 --a------ C:\WINDOWS\system32\hpzsnt07.dll
2007-05-01 15:27 <DIR> d-------- C:\temp\FixEngine
2007-05-01 15:27 <DIR> d-------- C:\temp
2007-05-01 15:27 <DIR> d-------- C:\Programme\Hp
2007-05-01 14:41 <DIR> d-------- C:\Programme\hp deskjet 3320 series
2007-05-01 14:40 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-05-01 14:38 <DIR> d-------- C:\Programme\Hewlett-Packard


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-30 16:24:00 -------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-06-30 12:12:18 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Azureus
2007-06-30 09:24:49 -------- d-----w C:\Programme\Warcraft III
2007-06-28 12:56:48 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\ChessBase
2007-06-26 04:59:46 -------- d-----w C:\Programme\Norton Internet Security
2007-05-28 11:23:57 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-16 20:07:08 -------- d-----w C:\Programme\PokerStars.NET
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-15 19:55:06 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-05-08 19:57:32 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Sony Corporation
2007-05-06 13:15:16 -------- d-----w C:\Programme\VideoLAN
2007-05-05 15:59:48 -------- d-----w C:\Programme\Norton Ghost
2007-05-04 21:16:51 -------- d-----w C:\Programme\Google
2007-05-02 18:04:15 36,624 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys
2007-05-02 18:04:14 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-05-02 18:04:14 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-05-02 09:55:25 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Google
2007-04-30 22:59:55 -------- d-----w C:\Programme\Sony
2007-04-30 19:15:53 75,981 ----a-w C:\WINDOWS\War3Unin.dat
2007-04-30 19:10:13 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\AdobeUM
2007-04-30 18:59:22 -------- d-----w C:\Programme\QuickTime
2007-04-30 18:58:17 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Apple Computer
2007-04-30 18:58:07 -------- d-----w C:\Programme\Apple Software Update
2007-04-30 18:53:40 -------- d-----w C:\Programme\Disc2Phone
2007-04-30 18:49:06 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Teleca
2007-04-30 18:47:39 -------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-04-30 18:47:16 -------- d-----w C:\Programme\Sony Ericsson
2007-04-30 18:44:11 5,744 ----a-w C:\WINDOWS\system32\drivers\k750wh.sys
2007-04-30 18:44:08 6,144 ----a-w C:\WINDOWS\system32\drivers\k750cm.sys
2007-04-30 18:41:39 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Symantec
2007-04-30 18:26:18 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\MSNInstaller
2007-04-30 18:24:21 -------- d-----w C:\Programme\GDS
2007-04-30 18:18:03 -------- d-----w C:\Programme\Azureus
2007-04-30 17:43:32 -------- d-----w C:\Programme\ChessBase
2007-04-30 17:35:36 -------- d-----w C:\DOKUME~1\Daniel\ANWEND~1\Real
2007-04-30 17:29:38 -------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-04-30 17:29:35 -------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-04-30 17:29:16 -------- d-----w C:\Programme\Real
2007-04-30 16:25:25 64,954 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-30 16:25:25 395,012 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-30 13:40:52 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2007-04-30 13:40:52 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-04-30 10:27:38 10,344 ----a-w C:\WINDOWS\system32\drivers\symlcbrd.sys
2007-04-30 10:23:38 -------- d-----w C:\Programme\Microsoft.NET
2007-04-30 10:22:35 -------- d-----w C:\Programme\Microsoft Works
2007-04-30 10:19:23 -------- d-----w C:\Programme\Gemeinsame Dateien\Sony Shared
2007-04-30 10:15:27 -------- d-----w C:\Programme\Skype
2007-04-30 10:14:10 -------- d-----w C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-04-30 10:13:36 -------- d-----w C:\Programme\Roxio
2007-04-30 10:13:02 -------- d-----w C:\Programme\ISP
2007-04-30 10:08:50 -------- d-----w C:\Programme\Programmverknüpfungen
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2005-09-23 21:12]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{930D35D2-094D-41B9-8E89-D1B76F2C6E97}=C:\WINDOWS\system32\ssqnnoo.dll [2007-06-30 13:48]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}=C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll [2006-01-25 18:27]
{A8F38D8D-E480-4D52-B7A2-731BB6995FDD}=C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll [2006-01-25 18:24]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar2.dll [2007-01-19 23:55]
{D41A3082-F2C3-480C-849F-B779EFCB5385}=C:\WINDOWS\system32\awvtu.dll [2007-06-30 14:56]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 11:43 C:\WINDOWS\Alcmtr.exe]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-08-25 07:21]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2006-08-27 14:46]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 14:12]
"Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2006-02-14 12:11]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-01-25 18:29]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 21:47]
"@"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-30 19:29]
"VAIO Update 3"="C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" [2007-01-25 20:41]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" []
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-05-02 10:44]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
FriendlyName= ZID - Webmail :: Willkommen bei uni-graz.at

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{930D35D2-094D-41B9-8E89-D1B76F2C6E97}"="C:\WINDOWS\system32\ssqnnoo.dll" [2007-06-30 13:48]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtu]
C:\WINDOWS\system32\awvtu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnnoo]
ssqnnoo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winxnz32]
winxnz32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
C:\Programme\Apoint\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]
ICO.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
C:\Programme\Norton Internet Security\UrlLstCk.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b911a674-f701-11db-bea3-806d6172696f}]
AutoRun\command- F:\autoplay.exe

*Newly Created Service* - COMHOST

Contents of the 'Scheduled Tasks' folder
2007-05-05 05:55:01 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-06-22 19:48:51 C:\WINDOWS\tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Daniel.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-30 19:17:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-30 19:18:56
C:\ComboFix-quarantined-files.txt ... 2007-06-30 19:18

--- E O F ---









Onlineüberprüfung:


Complete scanning result of "ssqnnoo.dll", received in VirusTotal at 06.30.2007, 19:28:10 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 TR/Crypt.XPACK.Gen
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 no virus found
AVG 7.5.0.476 06.30.2007 Lop.CH
BitDefender 7.2 06.30.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 06.30.2007 no virus found
DrWeb 4.33 06.30.2007 Trojan.Virtumod
eSafe 7.0.15.0 06.30.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 06.30.2007 no virus found
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 no virus found
Ikarus T3.1.1.8 06.30.2007 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 06.30.2007 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 06.30.2007 Suspicious file
Sophos 4.19.0 06.24.2007 Virtumundo
Sunbelt 2.2.907.0 06.29.2007 VIPRE.Suspicious
Symantec 10 06.30.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.29.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Trojan.Crypt.XPACK.Gen

Aditional Information
File size: 31254 bytes
MD5: 6c4268452b89814849c8ba918b499e8a
SHA1: 3e3ea499b58a67e0af046913c031890ee1153863
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.








Complete scanning result of "awvtu.dll", received in VirusTotal at 06.30.2007, 19:34:51 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 no virus found
AVG 7.5.0.476 06.30.2007 no virus found
BitDefender 7.2 06.30.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 06.30.2007 no virus found
DrWeb 4.33 06.30.2007 no virus found
eSafe 7.0.15.0 06.30.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 06.30.2007 no virus found
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 Vundo.dam
Ikarus T3.1.1.8 06.30.2007 no virus found
Kaspersky 4.0.2.24 06.30.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 no virus found
Norman 5.80.02 06.29.2007 Vundo.gen32
Panda 9.0.0.4 06.30.2007 Suspicious file
Sophos 4.19.0 06.28.2007 Virtumundo
Sunbelt 2.2.907.0 06.29.2007 VIPRE.Suspicious
Symantec 10 06.30.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.29.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Virus.Win32.FileInfector.gen (suspicious)

Aditional Information
File size: 266336 bytes
MD5: 49b825d2ef5aa124d6bcece8a94fd573
SHA1: 727fef7df0f8d77a098dbaf9d1f7cc3c052febe5
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.






Complete scanning result of "avp.exe.vir", received in VirusTotal at 06.30.2007, 20:03:23 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 06.30.2007 no virus found
AVG 7.5.0.476 06.30.2007 no virus found
BitDefender 7.2 06.30.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 06.30.2007 no virus found
DrWeb 4.33 06.30.2007 no virus found
eSafe 7.0.15.0 06.30.2007 Suspicious Trojan/Worm
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 06.30.2007 Downloader.Alphabet.f
FileAdvisor 1 06.30.2007 no virus found
Fortinet 2.91.0.0 06.30.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 06.29.2007 Trojan-Downloader.Win32.Alphabet.f
Ikarus T3.1.1.8 06.30.2007 Trojan-Downloader.Win32.Alphabet
Kaspersky 4.0.2.24 06.30.2007 Trojan-Downloader.Win32.Alphabet.f
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 06.30.2007 no virus found
NOD32v2 2365 06.30.2007 Win32/TrojanDownloader.Alphabet.F
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 06.30.2007 Suspicious file
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 VIPRE.Suspicious
Symantec 10 06.30.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.29.2007 no virus found
VirusBuster 4.3.23:9 06.30.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Win32.Malware.gen#PECompact (suspicious)

Aditional Information
File size: 20992 bytes
MD5: 3a5d187b14c33aca72a1dc9b2c8fe4b8
SHA1: 5189dd534e4fcab7d2a788d02007940eb2038d96
packers: PECOMPACT, BINARYRES, PECOMPACT
packers: embedded, PecBundle, PECompact
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

So, ich send das mal - der letzte Punkt folgt gleich.
__________________

Alt 30.06.2007, 20:22   #4
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



So, ich habe jetzt alles gemacht. Hoffe, die Informationen helfen dir weiter.

Mfg ikarus07

Alt 30.06.2007, 20:34   #5
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Zitat:
Zitat von ikarus07 Beitrag anzeigen
So, ich habe jetzt alles gemacht. Hoffe, die Informationen helfen dir weiter.

Mfg ikarus07
Ich denke das sie mir ein bisschen weiterhelfen.

Mach nun als nächstes folgendes:



Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Mit diesem Programm sollten alle Reste von Virtumonde/Vundo entfernt werden.

Zusätzlich:


Anleitung Avenger:


1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnnoo
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winxnz32

Files to delete:
C:\WINDOWS\system32\ssqnnoo.dll
C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\avp.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.


Gruß
Sunny

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 30.06.2007, 20:55   #6
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\brhopcjm

*******************

Script file located at: \??\C:\cgjmukch.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ssqnnoo.dll not found!
Deletion of file C:\WINDOWS\system32\ssqnnoo.dll failed!

Could not process line:
C:\WINDOWS\system32\ssqnnoo.dll
Status: 0xc0000034



File C:\WINDOWS\system32\awvtu.dll not found!
Deletion of file C:\WINDOWS\system32\awvtu.dll failed!

Could not process line:
C:\WINDOWS\system32\awvtu.dll
Status: 0xc0000034



File C:\WINDOWS\avp.exe not found!
Deletion of file C:\WINDOWS\avp.exe failed!

Could not process line:
C:\WINDOWS\avp.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.












Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:54:34, on 30.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kfunigraz.ac.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ssqnnoo.dll (file missing)
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D41A3082-F2C3-480C-849F-B779EFCB5385} - C:\WINDOWS\system32\awvtu.dll (file missing)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: RSS-Support-Site zu VAIO Information FLOW hinzufügen - C:\Programme\Sony\VAIO Information FLOW\aiesc.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\Image Converter 2\IcVzMon.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\Avlib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O24 - Desktop Component 1: ZID - Webmail :: Willkommen bei uni-graz.at - https://webmail.stud.uni-graz.at/

--
End of file - 13084 bytes


Ok, auch geschafft

Alt 30.06.2007, 21:00   #7
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Nicht wundern, das erste Programm (Vundofix) hatte schon einiges gelöscht, den Avenger habe ich nur hinterher "gejagt" um auf Nummer Sicher zu gehen das wirklich alles entfernt wurde.

Starte nun nochmal HijackThis und fixe (entferne) folgende Einträge:

Zitat:
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ssqnnoo.dll (file missing)
O2 - BHO: (no name) - {D41A3082-F2C3-480C-849F-B779EFCB5385} - C:\WINDOWS\system32\awvtu.dll (file missing)
Lass dann zusätzlich dein Antiviren-Programm laufen und nur Partition C untersuchen. Melde dich dann nochmal ob noch irgendwas gefunden wurde.

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 30.06.2007, 21:16   #8
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Anti Vir meldet: C:\WINDOWS\Temp\tmpA.tmp
Ist das Trojanische Pferd TR/Dldr.Tiny.GX.3


was soll ich jetzt tun? In Quarantäne verschieben, löschen, umbenennen, Zugriff verweigern oder ignorieren?

Außerdem meldet mein Northon AntiVir Guard: Northon Antivirus hat einen Virus auf ihrem Computer gefunden und ihn entfernt

Objektnahme: ...\AVSCAN-20070630-210746-007D8189.AV$
Virenname: Downloader
Aktion: Die Datei wurde automatisch gelöscht

Alt 30.06.2007, 21:17   #9
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Also das ganze nochmal von vorne:


1.) Bei der Datei im Temp-Ordner gehst du, sofern es funktioniert, auf löschen.

2.) Scanne dein System mal hiermit:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 30.06.2007, 22:59   #10
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Ich kann nicht den gesamten Bericht posten, da er viel zu lang ist!

Ich poste ihn aber auszugsweise!!

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\Daniel\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with w32.myzor.fk@yf Trojan (pmuninst.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\002B2401.AV$//CryptFF infiziert von "Trojan-Downloader.Win32.Tiny.gx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\003A37AD.AV$//CryptFF infiziert von "Trojan-Downloader.Win32.Nurech.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\005B1B9F.AV$//CryptFF infiziert von "Trojan-Downloader.Win32.Nurech.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.



................................................
das geht dann ewig so weiter
................................................

Ende:


infiziert von "Trojan-Downloader.Win32.Nurech.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7FD60B65.AV$//CryptFF infiziert von "Trojan-Downloader.Win32.Nurech.ak" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Norton Internet Security\Norton AntiVirus\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\QooBox\Quarantine\C\WINDOWS\avp.exe.vir//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.f" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP77\A0009600.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.eqn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009607.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009608.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009669.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.f" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009701.exe//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan-Downloader.Win32.Alphabet.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007876.exe markiert als "not-a-virus:AdTool.Win32.WhenU.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007877.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.bo". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007878.dll markiert als "not-a-virus:AdTool.Win32.WhenU.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007879.exe markiert als "not-a-virus:AdWare.Win32.SaveNow.az". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007882.dll markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP61\A0007883.exe markiert als "not-a-virus:AdTool.Win32.WhenU.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009605.exe markiert als not-a-virus:Monitor.Win32.Perflogger.be. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009627.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP78\A0009676.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\pmuninst.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\wusn.1 !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP25\A0001660.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\System Volume Information\_restore{5231D8A2-AF31-4B4F-BBBD-46BBABA4FE17}\RP41\A0003729.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 1780
Gescannte Dateien: 1780
Gescannte Dateien: 91689
Gefundene Viren: 0
Gefundene Viren: 0
Gefundene Viren: 684
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 6
Anzahl Fehler: 6
Anzahl Fehler: 38
Dauer des Scans bisher: 00:01:18
Dauer des Scans bisher: 00:01:18
Dauer des Scans bisher: 00:48:58
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:53:58,57
Batchende: 22:54:04,45

MfG ikarus07

Alt 01.07.2007, 09:10   #11
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Arbeite nun diese Punkte noch durch, dann sollte auch Ruhe sein.


1.) Lösche bzw. entleere deinen Quarantäne-Ordner von Norton:

Zitat:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine

C:\QooBox\Quarantine
2.) Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)


Das sollte es dann hoffentlich gewesen sein..

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.07.2007, 09:41   #12
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Hallo, habe ein Problem den Quarantäne-Ordner bzw dessen Inhalt zu löschen, da mir der Zugriff verweigert wird (Verweigerung des Löschens, nicht des Zugreifens im engeren Sinne). Und zwar betrifft das nur den Ordner in Nothon Antivirus und nicht auch in Qbooks!

Ich bitte um Instruktionen

Alt 01.07.2007, 09:46   #13
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Ich kenne mich zwar nicht mit Norton aus, aber versuch mal folgendes:

Entweder gibt es bei Norton direkt eine Funktion den Quarantäneordner zu löschen, solltest du also mal suchen.

Oder aber, du deaktivierst (beendest!) Norton, und löschst dann den Inhalt des Ordners manuell. (Norton überwacht diesen, daher keine Zugriff!)

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.07.2007, 11:31   #14
ikarus07
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Scheint als wäre alles sauber

Danke vielmals für deine schnelle und kompetente Hilfe...

....großes Lob :aplaus:

Wünsch weiterhin viel Erfolg beim Helfen, mfG ikarus07

Alt 01.07.2007, 13:09   #15
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Dankeschön ... Dann noch viel Spass beim surfen und einen schönen Sonntag.

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu TR/Crypt.XPACK.Gen
antivir, antivir guard, antivirus, application, avira, bho, browseui preloader, converter, desktop, downloader, drivers, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet security, mozilla, mozilla firefox, protection center, quara, realtek, registry, s-1-5-18, security, server, software, super, symantec, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/dldr., trend micro, trojaner, trojaner tr/crypt.xpack.gen, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen


  1. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  2. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  3. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  4. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  5. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  6. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  7. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  8. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  9. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  10. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  11. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (4)
  12. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  13. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  14. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  15. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  16. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  17. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)

Zum Thema TR/Crypt.XPACK.Gen - Antivir Guard meldet andauernd, dass die Datei C:\Windows\system32\ssqnnoo.dll der Trojaner TR/Crypt.XPACK.Gen ist. Wenn ich versuche, wie vom Guard vorgeschlagen, die Datei in Quarantäne zu stellen, kommt die Meldung: "Möglicherweise fehlen - TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.