Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Crypt.XPACK.GEN

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.04.2008, 11:50   #1
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hallo!

Auf dem PC meiner Mutter, den auch meine Geschwister nutzen haben sich mehrere Trojaner eingenistet. FreeAV meldet TR/Crypt.XPACK.GEN und Vundo.GEN.

Folgendes meldet HIjackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:10, on 05.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h__p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h__p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h__p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32F05659-3AF7-48BB-B161-1D78F3152BED} - C:\WINDOWS\system32\cbxwxus.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\teXXas\IEButtonAmazonInterface.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\teXXas\IEButtonEbayInterface.dll
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows live Messenger] msn.com
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: &Search - h__p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYDE
O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\teXXas\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: frizzby3 - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing)
O9 - Extra 'Tools' menuitem: frizzby3 Messenger - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - h__p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h__p://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h__p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFWBInitialSetup1.0.0.15-3.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h__p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cbxwxus - C:\WINDOWS\SYSTEM32\cbxwxus.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg

--
End of file - 11637 bytes


Vielen Dank für eure Hilfe!
Marc

Alt 05.04.2008, 12:31   #2
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hi Marct Herzlich Willkommen

Bitte fixe folgende Einträge mit HiJackThis (Beschreibung zum fixen von Einträgen findest du im Link meiner Signatur):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h__p://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h__p://search.bearshare.com/sidebar.html?src=ssb

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Windows live Messenger] msn.com [/COLOR](könnte ein neuer msn wurm sein)
[COLOR="Red"]
O8 - Extra context menu item: &Search - h__p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYDE

O9 - Extra button: frizzby3 - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing)

O9 - Extra 'Tools' menuitem: frizzby3 Messenger - {D6E814A0-E0C5-11d4-8D29-0050BA6940F5} - C:\Programme\Frizzby 3.0\frizzby3.exe (file missing)

O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - h__p://www.medionshop.de/ (file missing) (HKCU)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h__p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab



Bitte lasse folgende datein hier oder hier einmal online scannen und den report bitte posten:

C:\WINDOWS\system32\cbxwxus.dll

Bitte wende CCleaner an und danach ComboFix (den Report von Combofix bitte posten)

Bitte auch noch ein neues HijackThis logfile posten danke
__________________


Alt 05.04.2008, 15:58   #3
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Danke für die schnelle Antwort!

h__p://virusscan.jotti.org/de/ reportet:

Datei: cbxwxus.dll
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
Bit9 rapportiert: Low threat detected (more info)

A-Squared Keine Viren gefunden
AntiVir TR/Crypt.XPACK.Gen gefunden
ArcaVir Adware.Virtumonde.Gen.38905.MX gefunden
Avast Win32:TratBHO gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Vundo.EFG gefunden
ClamAV Trojan.Vundo-2026 gefunden
CPsecure AdWare.W32.Virtumonde.fp gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus not-a-virus:AdWare.Win32.Virtumonde.gen (4, 1, 400) gefunden
Fortinet Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Win32/Adware.Virtumonde application gefunden
Norman Virus Control W32/Vundo.gen142 gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Trojan.Win32.Virtumonde.bl gefunden
Sophos Antivirus Troj/Virtum-Gen gefunden
VirusBuster Keine Viren gefunden
VBA32 AdWare.Win32.Virtumonde.gen gefunden


---


ComboFix reagierte nach der Suche leider nicht mehr und zeigte kein Log an - nach einem Neustart des PCs war aber die Datei cbxwxus.dll weg.

Hijackthis gibt jetzt folgendes Log aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53, on 2008-04-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h__p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h__p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h__p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\teXXas\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h__p://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h__p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: cbxwxus - cbxwxus.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg

--
End of file - 9498 bytes

Gruß und jetzt schon vielen Dank für die Antwort,

Marc
__________________

Alt 05.04.2008, 16:26   #4
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Bitte lass einmal VundoFix laufen


Doppelklick VundoFix.exeKlicke "Scan" --> Vundo button.
Nach dem Scannen, klicke den "Remove" Vundo button.
Man wird nun gefragt, ob man "fixvundo" will --> klicke YES
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt, ob der PC neustarten soll --> klicke OK
C:\VundoFix Backups - löschen + Papierkorb leeren
.

Bitte Fixe noch folgende Einträge mit HiJackThis:

O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm

O8 - Extra context menu item: amazon Suche starten - C:\Programme\teXXas\Searchamazon.htm

O20 - Winlogon Notify: cbxwxus - cbxwxus.dll (file missing)

O24 - Desktop Component 0: (no name) - h__p://alt.ig-hundefreunde.de/images/wperu15.jpg


Da bei "cbxwxus.dll" (file missing) sieht es ganz danach aus als wurde die Datei gelöscht

Bitte lass auch noch Malwarebytes (link in meiner Signatur) laufen und bitte den Report posten
Zum Schluss bitte nochmals ein neues HijackThis Logfile danke

Alt 06.04.2008, 12:38   #5
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



So, alles gemacht!

Hier sind die Logfiles:

Malwarebytes' Anti-Malware 1.10
Datenbank Version: 593

Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|J:\|K:\|)
Objekte gescannt: 253781
Scan Dauer: 1 hour(s), 37 minute(s), 53 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15, on 2008-04-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RDSHOST.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h__p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h__p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

h__p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h__p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

h__p://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power

Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} -

C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe"

/automount
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER

DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User

'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User

'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} -

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und

Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h__p://www.freenet.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) -

h__p://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - h__p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) -

h__p://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-

eula.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) -

h__p://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) -

h__p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.

0.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced

Control) - h__p://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

h__p://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

h__p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h__p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?109

7566082250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h__p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?11626

48010593
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT

Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates -

C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates -

C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation -

C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. -

C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC -

C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates -

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner -

C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH -

C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 -

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9341 bytes

Vielen Dank und viele Grüße,

Marc


Alt 06.04.2008, 14:04   #6
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hi

Bitte lass mal noch ComboFix laufen vorher aber CCleaner anwenden. Das Logfile von Combofix bitte posten.
Kommt die Meldung von deinem AV immer noch??


Ps. für die Zukunft bitte das HijackThis logfile einfach nur mit copie/paste einfügen

Alt 06.04.2008, 16:25   #7
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hi!

Nein, mein AV meldet nix mehr.

ComboFix ist diesmal durchgelaufen, hier ist das Log:

ComboFix 08-04-04.1 - Mama 2008-04-06 15:57:51.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.233 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mama\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
TimedOut: progfile.dat

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cbxwxus.dll
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\Jamster2.ico
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\Registryrepair.ico
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\HbTools_Icons\wallpapere1.ico
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\persist.dbs
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\ShoppingReport\cs\res2\WhiteList.dbs
c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh.dat
c:\dokumente und einstellungen\mama\lokale einstellungen\anwendungsdaten\htkpftdwh.exe
c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh_nav.dat
c:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\htkpftdwh_navps.dat
C:\WINDOWS\BM0b081d94.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\jqwwogep.ini
C:\WINDOWS\system32\nmlfxdcg.dll
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\pegowwqj.dll
C:\WINDOWS\system32\qrqss.ini
C:\WINDOWS\system32\qrqss.ini2
C:\WINDOWS\system32\ssttu.dll
C:\WINDOWS\system32\uttss.ini
C:\WINDOWS\system32\uttss.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 ))))))))))))))))))))))))))))))
.

2008-04-05 16:33 . 2008-04-05 16:33 <DIR> d-------- C:\VundoFix Backups
2008-04-05 14:54 . 2008-04-05 14:54 <DIR> d-------- C:\Programme\CCleaner
2008-04-05 10:28 . 2008-04-05 10:28 <DIR> d-------- C:\Programme\AxBx
2008-04-05 10:24 . 2008-04-05 16:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-05 10:24 . 2008-04-05 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Malwarebytes
2008-04-05 10:24 . 2008-04-05 10:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-04 19:01 . 2008-04-04 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-04 19:00 . 2008-04-04 19:00 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-04-04 19:00 . 2008-04-04 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-04 18:59 . 2008-04-04 18:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-27 20:48 . 2008-03-27 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\ESTSoft
2008-03-27 20:48 . 2008-03-27 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESTsoft
2008-03-27 20:47 . 2008-03-27 20:47 <DIR> d-------- C:\Programme\ESTsoft
2008-03-24 19:57 . 2008-03-24 19:57 <DIR> d-------- C:\Programme\Logitech
2008-03-24 19:21 . 2008-03-24 19:21 <DIR> d-------- C:\Programme\SmartFTP Client 3.0 Setup Files
2008-03-23 16:04 . 2008-03-23 16:04 332 --a------ C:\WINDOWS\desctemp.dat
2008-03-22 17:15 . 2008-03-23 15:34 <DIR> d-------- C:\Programme\MediaPortal
2008-03-21 23:01 . 2008-03-25 19:04 <DIR> d-------- C:\Programme\teXXas
2008-03-21 18:16 . 2008-03-24 19:28 <DIR> d-------- C:\Programme\SmartFTP Client
2008-03-21 15:44 . 2007-12-07 04:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-21 15:44 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-21 15:44 . 2007-07-01 05:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-21 15:44 . 2007-12-07 04:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-21 15:44 . 2007-12-07 04:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-21 15:44 . 2007-12-07 04:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-21 15:44 . 2007-12-07 04:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-21 15:44 . 2007-12-07 04:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-21 15:44 . 2007-12-06 13:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-20 22:18 . 2008-03-20 22:18 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-03-20 16:49 . 2008-03-20 16:51 <DIR> d-------- C:\Programme\MagicDisc
2008-03-20 16:49 . 2008-02-18 18:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2008-03-20 16:28 . 2008-03-20 16:56 <DIR> d-------- C:\Programme\Alcohol Soft
2008-03-20 13:03 . 2008-03-20 13:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\SecuROM
2008-03-20 10:07 . 2008-03-20 13:03 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-03-17 17:20 . 2008-03-17 17:20 264,208 --a------ C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\setup_de[1].exe
2008-03-14 18:17 . 2008-03-14 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\ooVoo Details
2008-03-13 19:17 . 2008-03-27 20:06 <DIR> d-------- C:\Programme\CC-Bar
2008-03-07 16:47 . 2008-03-07 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\T-Online

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-05 13:00 --------- d-----w C:\Programme\GetRight
2008-04-04 16:59 108,336 ----a-w C:\Programme\mswinsck.ocx
2008-04-01 13:49 27,712 ----a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\wklnhst.dat
2008-03-28 15:43 --------- d-----w C:\Programme\Racing Simulation 3
2008-03-24 17:57 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-24 17:08 --------- d-----w C:\Programme\Ubisoft
2008-03-24 11:26 --------- d-----w C:\Programme\Trillian
2008-03-24 11:23 --------- d-----w C:\Programme\Torment
2008-03-24 11:23 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\My Games
2008-03-24 11:20 --------- d-----w C:\Programme\EA GAMES
2008-03-24 11:19 --------- d-----w C:\Programme\Electronic Arts
2008-03-24 11:06 --------- d-----w C:\Programme\Französisch für das 1. Lernjahr
2008-03-24 11:03 --------- d-----w C:\Programme\Steam
2008-03-24 10:53 --------- d-----w C:\Programme\FOX KIDS
2008-03-24 10:53 --------- d-----w C:\Programme\BearShare Applications
2008-03-20 14:28 --------- d-----w C:\Programme\MagicISO
2008-03-20 10:28 --------- d-----w C:\Programme\ANNO 1503
2008-03-20 10:02 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-03-13 16:19 --------- d-----w C:\Programme\MSN Messenger
2008-03-07 14:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-03 20:07 --------- d-----w C:\Programme\PDFCreator
2008-03-03 20:06 253,116 ----a-w C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_1203.exe
2008-03-03 20:06 14,852 ----a-w C:\Programme\settings.dat
2008-03-03 20:06 --------- d-----w C:\Programme\PDFCreator Toolbar
2008-03-03 19:45 --------- d-----w C:\Programme\PDF Blender
2008-03-03 19:42 --------- d-----w C:\Programme\gs
2008-02-23 20:13 --------- d-----w C:\Programme\eMule
2008-02-23 19:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-23 19:59 --------- d-----w C:\Programme\DAP
2008-02-23 19:34 --------- d-----w C:\Programme\Regnum Online
2008-02-22 20:29 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\BearShare
2008-02-17 09:50 --------- d-----w C:\Programme\Gemeinsame Dateien\T-Com
2008-02-17 09:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-02-17 09:49 --------- d-----w C:\Programme\T-Online
2008-02-17 09:10 --------- d-----w C:\Programme\AutostartAdministrator
2008-02-12 06:06 107,680 -c--a-w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-11 16:36 --------- d-----w C:\Programme\Bus-Simulator 2008
2008-02-10 16:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-02-10 15:03 --------- d-----w C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\DeepBurner
2008-02-09 16:13 --------- d-----w C:\Programme\HalogenWare
2008-02-08 15:16 --------- d-----w C:\Programme\Caleido
2007-08-31 12:10 37 ----a-w C:\Dokumente und Einstellungen\Mama\o9u.dat
2007-05-03 05:38 8,368 -c--a-w C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\wklnhst.dat
2007-05-03 05:25 104,032 -c--a-w C:\Dokumente und Einstellungen\Kinder\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-13 19:22 4 -c--a-w C:\Dokumente und Einstellungen\Mama\quality.dat
2004-10-17 17:30 8 -csh--r C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30 5,224 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-10-24 21:05 204288]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 08:46 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-21 00:09 4583424]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-15 19:46 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"MSVideo8"= VfWWDM32.dll
"vidc.VP60"= C:\WINDOWS\system32\vp6vfw.dll
"vidc.VP61"= C:\WINDOWS\system32\vp6vfw.dll
"msacm.lhacm"= lhacm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntivirusRegistration]
--a--c--- 2004-08-18 02:09 40960 c:\programme\antivirus offer\etrust antivirus registration\EzAntivirusRegistrationCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Microsoft Games\\FS2002\\fs2002.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\STRATO iPhone\\voipclient.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Steam\\steamapps\\ogame_1993\\counter-strike source\\hl2.exe"=
"D:\\Jens\\TotalCmd\\totalcmd.EXE"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Regnum Online\\LiveServer\\ROClientGame.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\Racing Simulation 3\\RS3.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443
"443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443
"37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674
"37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674
"37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-11 09:06]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-11 09:06]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2007-08-03 16:09]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 23:29]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-01-23 18:07]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 TDslMgrService;DSL-Manager;"C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe" [2007-08-01 16:36]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13:53]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 12:07]
S2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\x86\RaInfo.sys []
S2 PMP;ManageEngine PMP;C:\Programme\PMP\bin\wrapper.exe [2007-07-12 10:23]
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 15:10]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 23:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 23:41]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2006-10-12 09:15]
S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-02-05 12:52]
S3 jatmlano;jatmlano;C:\DOKUME~1\Mama\LOKALE~1\Temp\jatmlano.sys []
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 21:34]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-02-17 21:34]
S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2006-10-08 17:13]
S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 17:13]
S3 zlportio;zlportio;C:\Dokumente und Einstellungen\Mama\Desktop\Spiele\Ultrastar\UltraStar\zlportio.sys [2001-09-22 10:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\_PCP_INHALT/Power.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\start.exe
\Shell\ReadMe\Command - Notepad Readme.Txt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\Autorun.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CBC0071E-AE4F-DF58-ED00-A762D65045DF}]
C:\Programme\system_guard.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-28 09:46:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 16:11:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-06 16:18:08 - machine was rebooted [Mama]
ComboFix-quarantined-files.txt 2008-04-06 14:17:59
14 Verzeichnis(se), 85,338,488,832 Bytes frei
16 Verzeichnis(se), 85,477,642,240 Bytes frei
.
2008-03-22 16:20:29 --- E O F ---

Danke,

Marc

Alt 06.04.2008, 16:57   #8
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Das sieht schon ganz gut aus Aber von Bearshare würde ich dir abraten

Zitat:
Zitat von marct Beitrag anzeigen
C:\Programme\BearShare Applications
Zitat:
Zitat von marct Beitrag anzeigen
C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\BearShare

Bitte lass zum Schluss noch Kaspersky dein system online komplett scannen
Es wird etwas Zeit in Anspruch nehmen aber es sollte sich lohnen

Ansonsten bitte nochmals neues HijackThis logfile posten

Alt 06.04.2008, 18:14   #9
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hallo!

Ich bin auch gegen Bearshare - versuch schon, meinem Bruder das auszureden!

Kaspersky meldet immer noch viren und infizierte objekte - deshalb hier nochmal ein HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11:14, on 06.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9193 bytes

Bin gespannt, was du dazu sagst!

Alt 06.04.2008, 18:24   #10
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Was meldet dir Kasperky genau?
Bitte versuche mal diese datei zu finden:

C:\WINDOWS\system32\jqwwogep.ini
C:\WINDOWS\system32\cbxwxus.dll

Bitte fixe noch diesen Eintrag:

O8 - Extra context menu item: amazon Suche - C:\Programme\teXXas\Searchamazon.htm


Lass nun bitte mal SmitFraudFix laufen

Alt 06.04.2008, 18:59   #11
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hallo!

Also, ich bin mittlerweile nicht mehr bei meinen Eltern, deshalb hab ich keinen direkten Zugriff auf den Computer und geb meinem Bruder die Anweisungen, was er machen soll.

Er schreibt, dass Kaspersky 2 Viren und 6 infizierte Objekte gemeldet hat.

Die beiden Dateien
C:\WINDOWS\system32\jqwwogep.ini
C:\WINDOWS\system32\cbxwxus.dll
sind nicht zu finden - versteckte Dateien sind eingeblendet.

SmitFraudFix meldet folgendes:

SmitFraudFix v2.309

Scan done at 18:46:32,35, 06.04.2008
Run from C:\Dokumente und Einstellungen\Mama\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
H:\opera925de2\op.com
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\WkDStore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mama


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mama\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Mama\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine III Fast Ethernet Adapter - DSL-Manager Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8A791A1E-5128-487A-9C1A-A9924C7D244F}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 13.04.2008, 10:06   #12
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hallo virus,

was kannst du nach dem letzten Log sagen?
Der Computer ist leider noch nicht sauber...

Vielen Dank und viele Grüße,

Marc

Alt 13.04.2008, 18:08   #13
virus
Gast
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Auf einmal meldet der wieder?!?! Wie holt ihr euch immer so viele Viren

Wäre noch gut zu wissen was Kaspersky genau meldet und was ihr mit den gefundenen Objekten getan habt
Bitte lass nun nochmals ComboFix laufen und poste ein neues HijackThis logfile.

Alt 14.04.2008, 19:33   #14
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Hallo!
Keine Ahnung, wo das Viehzeug alles herkommt. Meiner Ma reichts auch langsam schon...

Ich schick dir hier mal die Kurzfassung vom Kaspersky-Log:

Viren gefunden: 8
Infizierte Objekte gefunden: 19
Verdächtige Objekte gefunden: 0

C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\setup_de[1].exe Infizierte Objekte: not-a-virus:Downloader.Win32.WinFixer.fv übersprungen
C:\Dokumente und Einstellungen\Mama\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN/stream/data0005 Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN/stream Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe/WISE0104.BIN Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml/[From <kevin.t@hotmail.de>][Date Wed, 30 May 2007 19:39:24 +0200]/BearShareV61de.exe Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\Dokumente und Einstellungen\Mama\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Mail\Hotmail (ke 453\Sent items\39B32D12-00000015.eml Mail: infiziert - 4 übersprungen
C:\Programme\totalcmd\Tools\Online\mirc\backup\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.616 übersprungen
C:\Programme\totalcmd\Tools\Online\mirc\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.621 übersprungen
C:\QooBox\Quarantine\C\WINDOWS\system32\ssttu.dll.vir Infizierte Objekte: not-a-virus:AdWare.Win32.Virtumonde.mxi übersprungen
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP352\A0184615.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Mostofate.j übersprungen
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\System Volume Information\_restore{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP364\A0187722.exe RarSFX: infiziert - 2 übersprungen
D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414138\Nicl_412754\Gangsta.exe/script.au3 Infizierte Objekte: not-virus:BadJoke.Win32.Autoit.a übersprungen
D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414438\Nicl_412754\Gangsta.exe Embedded: infiziert - 1 übersprungen
D:\Eigene Dateien\ICQ Lite\281578\Gta Man_414138\Nicl_412754\Gangsta.exe UPX: infiziert - 1 übersprungen
D:\Eigene Dateien\ICQ Lite\281578\Gta Man_434438\Nicl_412754\Gangsta.exe PE_Patch.UPX: infiziert - 1 übersprungen

Alt 14.04.2008, 19:35   #15
marct
 
Trojaner Crypt.XPACK.GEN - Standard

Trojaner Crypt.XPACK.GEN



Das hier meldet HijackThis nach ComboFix:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:21:07, on 14.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Mama\Desktop\HiJackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Programme\Power Translator\Applications\LEC IE Translation Extension.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\teXXas\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\teXXas\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\teXXas\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\teXXas\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Mama\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - http://service.maxdome.de/de/systemcheck/HWTest.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://www.windowsvistatestdrive.com/ActiveX/VMRCActiveXClient1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://hcmerkwuerdigewelt.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162648010593
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ManageEngine PMP (PMP) - Unknown owner - C:\Programme\PMP\bin\wrapper.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9017 bytes

Danke für deine Mühe,

Marc

Antwort

Themen zu Trojaner Crypt.XPACK.GEN
antivir, avira, bho, computer, crypt.xpack.gen, desktop, drivers, ebay, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mehrere, mozilla, mozilla firefox, object, pdfcreator, registry, rundll, server, software, starten, system, t-online, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows live messenger, windows xp, windows\system32\drivers



Ähnliche Themen: Trojaner Crypt.XPACK.GEN


  1. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  2. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (43)
  3. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  4. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  5. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (4)
  6. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  7. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  8. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  9. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  10. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  11. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  12. TR/Crypt.XPACK.Gen TROJANER
    Plagegeister aller Art und deren Bekämpfung - 25.12.2008 (7)
  13. TR/Crypt.XPACK.Gen Trojaner
    Mülltonne - 25.12.2008 (0)
  14. Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.12.2008 (3)
  15. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (1)
  16. Trojaner: Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.10.2008 (6)
  17. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)

Zum Thema Trojaner Crypt.XPACK.GEN - Hallo! Auf dem PC meiner Mutter, den auch meine Geschwister nutzen haben sich mehrere Trojaner eingenistet. FreeAV meldet TR/Crypt.XPACK.GEN und Vundo.GEN. Folgendes meldet HIjackThis: Logfile of Trend Micro HijackThis v2.0.2 - Trojaner Crypt.XPACK.GEN...
Archiv
Du betrachtest: Trojaner Crypt.XPACK.GEN auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.