Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.03.2008, 15:00   #1
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



Also ich habe mir in diesem Forum alles zu dem genannten Trojaner durchgelesen aber irgendwie bekomme ich den nicht weg.
Ich habe sogar 6stunden Knoppicillin durchlaufen lassen, anschliessend 1,5 stunden im abgesicherten Modus nochmal Antivir scannen lassen und dann Windows neu aufgesetzt. Und was ist? ich logge mich das erste mal in Windows ein und er ist schon da!! Ich hab nichtmal eine Ahnung was er genau tut aber ich kann auf meine Partitionen im Arbeitsplatz nicht zugreifen, denn er erkennt sie als unbekannte Dateien. Über Ausführen kommt man dann aber doch drauf. Ob das mit dem Trojaner zutun hat weis ich nicht aber mein WoW Account wurde gehackt und für Werbung missbraucht, kann das alles dieser Trojaner gemacht haben?

Logfile of HijackThis v1.99.1
Scan saved at 14:57:44, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\COMODO\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2AA9995-1BCF-42DD-AC9A-A1A5F6D31BBA}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

hoffe ihr könnt mir helfen, denn Windows neu aufsetzen hats nicht gebracht(auch nach dem 3ten mal nicht)

Alt 18.03.2008, 15:27   #2
Sabina
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



Hallo

wende bitte combofix an + poste hier den Report
combofix
__________________

__________________

Alt 18.03.2008, 15:33   #3
boston
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



es sieht danach aus, daß du nach dem Neuaufsetzen einen verseuchten
stick, festplatte etc. angeschlossen hast. das ist der übliche weg
dieses schädlings:
Zitat:
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
W32/SillyFDC-BR Worm - Worm - Sophos security analysis

das führt das Neuaufsetzen natürlich ad absurdum.
ich übergebe dann wieder an sabina.
__________________

Alt 18.03.2008, 15:41   #4
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



ComboFix 08-03-17.1 - *** 2008-03-18 15:37:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.670 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\_000111_.tmp.dll
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 ))))))))))))))))))))))))))))))
.

2008-03-18 14:51 . 2008-03-18 14:51 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-18 11:27 . 2005-10-31 11:17 135,168 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-03-18 11:27 . 2005-07-15 09:48 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d-------- C:\Programme\Realtek
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-18 11:25 . 2006-06-13 13:05 16,239,616 -r------- C:\WINDOWS\RTHDCPL.exe
2008-03-18 11:25 . 2006-05-04 09:35 9,709,568 -r------- C:\WINDOWS\RTLCPL.exe
2008-03-18 11:25 . 2006-05-04 09:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2008-03-18 11:25 . 2006-06-09 11:25 2,158,592 -r------- C:\WINDOWS\MicCal.exe
2008-03-18 11:25 . 2005-04-16 15:20 487,424 -r------- C:\WINDOWS\RtlExUpd.dll
2008-03-18 11:25 . 2005-09-21 03:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.Cpl
2008-03-18 11:25 . 2005-05-03 11:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2008-03-18 11:24 . 2008-03-18 11:28 52 --a------ C:\WINDOWS\GunzLauncher.INI
2008-03-18 11:22 . 2008-03-18 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-18 11:21 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Programme\COMODO
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Comodo
2008-03-18 10:25 . 2008-03-18 10:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-03-18 10:25 . 2008-03-18 10:25 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-03-18 10:25 . 2008-03-18 10:25 85,112 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-03-18 10:25 . 2008-03-18 10:25 23,800 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 08:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-18 08:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2008-03-18 08:02 --------- d-----w C:\Programme\Alice
2008-03-18 08:01 --------- d-----w C:\Programme\Marvell
2008-03-18 08:00 --------- d-----w C:\Programme\Avira
2008-03-18 08:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 07:52 --------- d-----w C:\Programme\microsoft frontpage
2008-03-18 07:51 --------- d-----w C:\Programme\Online-Dienste
2008-03-18 07:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 09:05 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 11:22 86016]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-03-18 10:25 1503488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 13:05 16239616 C:\WINDOWS\RTHDCPL.exe]
"SoundMan"="SOUNDMAN.EXE" [2006-05-04 09:22 86016 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 09:26 2808832 C:\WINDOWS\alcwzrd.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Games\\Gunz\\GunzLauncher.exe"=
"H:\\Games\\Gunz\\Gunz.exe"=

R3 XDva032;XDva032;C:\WINDOWS\system32\XDva032.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db0-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - I:\cfdflx.com
\Shell\explore\Command - I:\cfdflx.com
\Shell\open\Command - I:\cfdflx.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - J:\cfdflx.com
\Shell\explore\Command - J:\cfdflx.com
\Shell\open\Command - J:\cfdflx.com

*Newly Created Service* - BITS
*Newly Created Service* - XDVA032
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:38:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\guard32.dll

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\system32\guard32.dll
.
Zeit der Fertigstellung: 2008-03-18 15:38:51
ComboFix-quarantined-files.txt 2008-03-18 14:38:50
.
2008-03-18 13:52:15 --- E O F ---

Alt 18.03.2008, 15:42   #5
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



edit: ups sry^^


Alt 18.03.2008, 15:51   #6
boston
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



das
Zitat:
D:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
spricht für die vermutung in meinem letzen post.
zurück zu sabina

Alt 18.03.2008, 15:58   #7
Sabina
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



Hallo,

nun, ich werde ein Script für Combofix aber auch eins für AVZ erstellen - Stick ist verseucht !!!
Was hast du angesschlossen ? USB-Stick oder anderes ?

lade avz, scanne + poste den report
AVZ Antiviral Toolkit
__________________
MfG Sabina

Alt 18.03.2008, 17:03   #8
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



also ich habe 2 Partitionen eine für windows und eine wo mein ganzes zeug drauf ist spiele filme etc. also wirds wohl auf der 2ten sein. ich habe aber nicht wirklich lust die zu formatieren dann sitz ich ohne alles da^^

achso klar hab ich meh partitionen aber wenn ich windows neu mache und nicht den ITE... treiber installiert habe erkennt er nur die beiden

edit: mal nebenbei gesagt find ich das hier echt klasse wie ihr euch um mich kümmert. vor allem wie schnell da antworten kommen. weiter so

Alt 18.03.2008, 17:41   #9
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



Attention !!! The database was last updated 12.12.2007 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.29
Scanning started at 18.03.2008 17:14:54
Database loaded: signatures - 138934, NN profile(s) - 2, microprograms of healing - 55, signature database released 12.12.2007 10:43
Heuristic microprograms loaded: 371
SPV microprograms loaded: 9
Digital signatures of system files loaded: 66967
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Recovery: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Function ntdll.dll:LdrUnloadDll (80) intercepted, method APICodeHijack.JmpTo[10004F76]
Function ntdll.dll:NtClose (111) intercepted, method APICodeHijack.JmpTo[10005046]
Function ntdll.dll:ZwClose (921) intercepted, method APICodeHijack.JmpTo[10005046]
Analysis: user32.dll, export table found in section .text
Function user32.dll:EndTask (202) intercepted, method APICodeHijack.JmpTo[10004C16]
Function user32.dll:keybd_event (727) intercepted, method APICodeHijack.JmpTo[10001536]
Function user32.dll:mouse_event (728) intercepted, method APICodeHijack.JmpTo[100016B6]
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=08C500)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80563500
KiST = 804E4F40 (284)
Function NtCreateThread (35) intercepted (80586CE6->F7EF35DC), hook not defined
Function NtOpenProcess (7A) intercepted (80581C68->F7EF35C8), hook not defined
Function NtOpenThread (80) intercepted (80598726->F7EF35CD), hook not defined
Function NtTerminateProcess (101) intercepted (8058CE75->F7EF35D7), hook not defined
Function NtWriteVirtualMemory (115) intercepted (805880B7->F7EF35D2), hook not defined
Functions checked: 284, intercepted: 5, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Analysis for CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: the extended monitoring driver (AVZPM) is not installed
2. Scanning memory
Number of processes found: 26
Number of modules loaded: 315
Memory checking - complete
3. Scanning disks
C:\Programme\DivX\DivX Converter\dpil100.dll >>> suspicion for AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)
Direct reading H:\System Volume Information\_restore{ED32CDA6-66E9-47B3-8C5E-7D982290F479}\RP9\A0001190.exe
Direct reading H:\System Volume Information\_restore{ED32CDA6-66E9-47B3-8C5E-7D982290F479}\RP9\A0001191.com
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\WINDOWS\system32\guard32.dll --> Suspicion for a Keylogger or Trojan DLL
C:\WINDOWS\system32\guard32.dll>>> Behavioral analysis:
1. Reacts to events: keyboard, mouse
2. Determines PID of current process
C:\WINDOWS\system32\guard32.dll>>> Neural net: file with probability 0.60% like a typical keyboard/mouse events interceptor
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Latent loading of libraries through AppInit_DLLs suspected: "C:\WINDOWS\system32\guard32.dll"
Checking complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed TermService (Terminaldienste)
>> Services: potentially dangerous service allowed SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed Schedule (Taskplaner)
>> Services: potentially dangerous service allowed mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking complete
9. Troubleshooting wizard
Checking complete
Files scanned: 79629, extracted from archives: 40224, malicious programs found 0, suspicions - 1
Scanning finished at 18.03.2008 17:39:08
Time of scanning: 00:24:15
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Alt 18.03.2008, 17:55   #10
Sabina
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



ich brauche einige zeit, um ein script zu erstellen, im moment bin ich nicht an meinem pc ...erst wieder abends/spät + eine Stunde Zeitverschiebung zu Deutschland, sorry
__________________
MfG Sabina

Alt 18.03.2008, 18:21   #11
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



mal ein update meiner Situation

das Problem das ich über den Arbeitsplatz meine Partitionen nicht mehr erreiche tritt nicht mehr auf. keine ahnung warum

Alt 19.03.2008, 00:47   #12
Sabina
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



1.
zuerst den Stick formatieren: (oder mehrere Sticks...sind es zwei ? )
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Code:
ATTFilter
KILLALL::

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db0-f4d2-11dc-b1e3-0018f34a8b64}]

File:: 
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
I:\cfdflx.com
J:\cfdflx.com
         


cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an

»»
poste den neuen Report von Combofix
__________________
MfG Sabina

Alt 19.03.2008, 22:09   #13
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



also es ist kein stick sondern nur eine partition ABER ich weis das mich das nicht viel weiter bringt aber ich kann sie nicht löschen da is zuviel Zeug drauf wovon ich mich nicht trennen will(immerhin 200gb).

ist formatieren aller partitionen der einzige weg?

achso udn hier der neue log

ComboFix 08-03-17.1 - *** 2008-03-19 22:01:16.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.746 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
I:\cfdflx.com
J:\cfdflx.com
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-19 bis 2008-03-19 ))))))))))))))))))))))))))))))
.

2008-03-19 18:51 . 2008-03-19 18:51 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-03-19 18:49 . 2008-03-19 18:49 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-03-19 18:49 . 2008-03-19 18:49 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-03-19 18:49 . 2008-03-19 18:49 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-03-18 18:22 . 2008-03-18 18:22 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-03-18 17:29 . 2008-03-18 17:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-03-18 17:27 . 2008-03-18 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-03-18 17:27 . 2008-03-18 17:27 <DIR> d-------- C:\Programme\Ahead
2008-03-18 17:27 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-03-18 17:27 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-03-18 17:27 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-03-18 17:27 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-03-18 17:27 . 2001-07-09 11:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-03-18 17:27 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-03-18 17:10 . 2008-03-18 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2008-03-18 17:08 . 2008-03-18 17:08 <DIR> d-------- C:\Programme\DivX
2008-03-18 14:51 . 2008-03-19 19:03 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-03-18 11:27 . 2005-10-31 11:17 135,168 -r------- C:\WINDOWS\system32\RtlCPAPI.dll
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:15 82,944 --a--c--- C:\WINDOWS\system32\dllcache\wdmaud.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-03-18 11:27 . 2004-08-03 23:07 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2008-03-18 11:27 . 2005-07-15 09:48 40,960 -r------- C:\WINDOWS\system32\ChCfg.exe
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-03-18 11:27 . 2004-08-03 23:07 6,400 --a--c--- C:\WINDOWS\system32\dllcache\splitter.sys
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d-------- C:\Programme\Realtek
2008-03-18 11:25 . 2008-03-18 11:25 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-03-18 11:25 . 2006-06-13 13:05 16,239,616 -r------- C:\WINDOWS\RTHDCPL.exe
2008-03-18 11:25 . 2006-05-04 09:35 9,709,568 -r------- C:\WINDOWS\RTLCPL.exe
2008-03-18 11:25 . 2006-05-04 09:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2008-03-18 11:25 . 2006-06-09 11:25 2,158,592 -r------- C:\WINDOWS\MicCal.exe
2008-03-18 11:25 . 2005-04-16 15:20 487,424 -r------- C:\WINDOWS\RtlExUpd.dll
2008-03-18 11:25 . 2005-09-21 03:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.Cpl
2008-03-18 11:25 . 2005-05-03 11:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2008-03-18 11:24 . 2008-03-19 18:51 52 --a------ C:\WINDOWS\GunzLauncher.INI
2008-03-18 11:22 . 2008-03-18 11:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-03-18 11:21 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Programme\COMODO
2008-03-18 10:25 . 2008-03-18 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Comodo
2008-03-18 10:25 . 2008-03-18 10:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-03-18 10:25 . 2008-03-18 10:25 139,008 --a------ C:\WINDOWS\system32\guard32.dll
2008-03-18 10:25 . 2008-03-18 10:25 85,112 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-03-18 10:25 . 2008-03-18 10:25 23,800 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-02-21 03:11 . 2008-02-21 03:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 03:05 . 2008-02-21 03:05 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-02-21 03:05 . 2008-02-21 03:05 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-02-21 03:05 . 2008-02-21 03:05 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm
2008-02-21 03:05 . 2008-02-21 03:05 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-02-21 03:03 . 2008-02-21 03:03 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-02-21 03:03 . 2008-02-21 03:03 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 03:03 . 2008-02-21 03:03 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-21 03:03 . 2008-02-21 03:03 8,523 --a------ C:\WINDOWS\system32\dpude.qm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 08:35 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-03-18 08:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2008-03-18 08:02 --------- d-----w C:\Programme\Alice
2008-03-18 08:01 --------- d-----w C:\Programme\Marvell
2008-03-18 08:00 --------- d-----w C:\Programme\Avira
2008-03-18 08:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 07:52 --------- d-----w C:\Programme\microsoft frontpage
2008-03-18 07:51 --------- d-----w C:\Programme\Online-Dienste
2008-03-18 07:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-02-21 02:05 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-02-21 02:05 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-02-21 02:05 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
.

((((((((((((((((((((((((((((( snapshot@2008-03-18_15.38.44,37 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-04 12:00:00 36,864 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2007-07-30 18:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2008-02-21 02:05:38 551,672 ------w C:\WINDOWS\system32\px.dll
+ 2008-02-21 02:05:38 66,296 ------w C:\WINDOWS\system32\pxcpya64.exe
+ 2008-02-21 02:05:38 518,904 ------w C:\WINDOWS\system32\pxdrv.dll
+ 2008-02-21 02:05:40 72,440 ------w C:\WINDOWS\system32\pxhpinst.exe
+ 2008-02-21 02:05:38 64,760 ------w C:\WINDOWS\system32\pxinsa64.exe
+ 2008-02-21 02:05:40 187,128 ------w C:\WINDOWS\system32\pxmas.dll
+ 2008-02-21 02:05:38 1,628,920 ------w C:\WINDOWS\system32\pxsfs.dll
+ 2008-02-21 02:05:38 379,640 ------w C:\WINDOWS\system32\pxwave.dll
+ 2008-02-21 02:05:38 88,824 ------w C:\WINDOWS\system32\vxblock.dll
- 2004-08-04 12:00:00 36,864 ----a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\wups.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 09:05 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 11:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 11:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 11:22 86016]
"COMODO Firewall Pro"="C:\Programme\COMODO\Firewall\cfp.exe" [2008-03-18 10:25 1503488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 13:05 16239616 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\WINDOWS\system32\guard32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Games\\Gunz\\GunzLauncher.exe"=
"H:\\Games\\Gunz\\Gunz.exe"=

S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 XDva032;XDva032;C:\WINDOWS\system32\XDva032.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]
\Shell\AutoRun\command - J:\cfdflx.com
\Shell\explore\Command - J:\cfdflx.com
\Shell\open\Command - J:\cfdflx.com

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 22:03:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-19 22:05:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-19 21:05:14
ComboFix2.txt 2008-03-18 14:38:52
.
2008-03-18 13:52:15 --- E O F ---

Alt 19.03.2008, 22:25   #14
Sabina
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



Hallo,

mal sehen, ob wir die Partitionen sauber bekommen.. - 200 Giga..oh je...

---------------------------------
erstelle eine neue cfscript.txt

KILLALL::

Code:
ATTFilter
Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18577db1-f4d2-11dc-b1e3-0018f34a8b64}]

File:: 
J:\cfdflx.com
         
wieder, wie gehabt anwenden + neustarten + ein neues log von Combofix
__________________
MfG Sabina

Geändert von Sabina (19.03.2008 um 22:47 Uhr)

Alt 19.03.2008, 22:33   #15
DerMüller
 
TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Standard

TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System



ist der accountraub jetzt eher zufall gewesen oder hat es mit dem Problem hier zutun?

Antwort

Themen zu TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System
abgesicherten modus, antivir, appinit_dlls, aufsetzen, avira, desktop, dll, einstellungen, erste mal, explorer, firefox, firewall, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, neu, neu aufsetzen, nvidia, programme, rundll, scan, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, werbung, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System


  1. Trojaner TR/Crypt.XPACK.Gen3 auf meinem Computer
    Log-Analyse und Auswertung - 08.09.2014 (8)
  2. Freunde haben Spammail mit meinem Absender erhalten (Offer.Bundler.ST und TR/Crypt.XPACK.Gen 2)
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (36)
  3. Trojaner TR/Crypt.XPACK.Gen2 - Was ist das und wie bekomme ich ihn weg?
    Plagegeister aller Art und deren Bekämpfung - 07.02.2012 (34)
  4. TR/Crypt.XPACK.Gen2 auf meinem PC gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.07.2011 (17)
  5. tr crypt.xpack.gen, tr fakeAV.AF und tr crypt.zpac auf meinem PC!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (8)
  6. TR/Crypt.XPack.Gen3 ist nicht von meinem Rechner zu kriegen!!!
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (19)
  7. Bin mit TR/Crypt.XPACK.Gen3 infiziert, wie bekomme ich den weg?
    Log-Analyse und Auswertung - 18.10.2010 (5)
  8. TR/Crypt.XPack.Gen - wie bekomme ich ihn weg?
    Log-Analyse und Auswertung - 13.10.2010 (19)
  9. TR/Crypt.XPACK.Gen auf meinem PC
    Plagegeister aller Art und deren Bekämpfung - 12.06.2010 (17)
  10. TR/Crypt.XPACK.Gen System wieder sauber?
    Log-Analyse und Auswertung - 22.12.2009 (7)
  11. Trojaner TR/Crypt.XPACK.Gen und TR/Unpacked.Gen auf meinem PC
    Log-Analyse und Auswertung - 07.09.2009 (38)
  12. 'TR/Crypt.XPACK.Gen' - System sauber?
    Log-Analyse und Auswertung - 25.03.2009 (1)
  13. TR/Crypt.XPACK.Gen in C:\System Volume Information
    Plagegeister aller Art und deren Bekämpfung - 08.01.2009 (5)
  14. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2008 (1)
  15. TR/Vundo.Gen und TR/crypt.xpack.gen , wie bekomme ich beides wieder los?
    Mülltonne - 11.08.2008 (0)
  16. Trojanisches Pferd TR/Crypt.XPACK.Gen , bekomme diesen Trojaner nicht gelöscht
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (4)
  17. Crypt.XPACK.gen und Rbot50176.5 auf meinem Rechner
    Log-Analyse und Auswertung - 19.03.2007 (26)

Zum Thema TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System - Also ich habe mir in diesem Forum alles zu dem genannten Trojaner durchgelesen aber irgendwie bekomme ich den nicht weg. Ich habe sogar 6stunden Knoppicillin durchlaufen lassen, anschliessend 1,5 stunden - TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen - bekomme ihn nicht von meinem System auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.