Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.05.2008, 14:46   #1
RobKll
 
TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hi,
habe seit einigen Tagen massive Probleme mit Trojaner.
AntiVir meldet bei jedem Programmstart oft mehrfach TR/Crypt.XPACK.Gen Befall, manchmal auch TR/Vundo.Gen Befall. SPYBOT&Destroy findet Vitumondo bzw. Virtumondo.dll.
Bei mehrfache Scanläufe und Entfernen mit SBD wurde einige Dateien gefunden und entfernt, bleibt der Befall.
Scanläufe mit SDFix.exe und ComboFix.exe, wie im Thread "TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw." beschrieben, waren letztlich auch nicht erfolgreich.

Bitte um dringende Hilfe !!

Nachfolgend mein HijackThis Logfile:



[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]



Das Logfile von ComboFix.exe sieht so aus:
ComboFix 08-05-15.3 - **** 2008-05-17 14:22:59.3 - NTFSx86
Microsoft Windows XP Home Edition
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gfNVCcdd.ini
C:\WINDOWS\system32\gfNVCcdd.ini2
C:\WINDOWS\system32\qdrnraoj.ini
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-17 bis 2008-05-17 ))))))))))))))))))))))))))))))
.
2008-05-17 11:33 . 2008-05-17 11:34 370,176 --a------ C:\WINDOWS\system32\efcYRJYR.VIR
2008-05-17 10:56 . 2008-05-17 10:56 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-17 10:49 . 2008-05-17 14:11 <DIR> d-------- C:\SDFix
2008-05-17 08:55 . 2008-05-17 08:55 20 --a------ C:\WINDOWS\system32\20d35834
2008-05-17 07:24 . 2008-05-17 07:24 115,776 --a------ C:\WINDOWS\system32\xgmomcvk.VIR
2008-05-12 20:11 . 2008-05-17 13:41 211 --a------ C:\WINDOWS\wininit.ini
2008-05-12 19:58 . 2008-05-12 19:59 124,416 --a------ C:\WINDOWS\system32\ryeugwvs.dll
2008-05-12 18:56 . 2008-05-17 14:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-12 18:56 . 2008-05-17 14:24 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-12 18:33 . 2008-05-12 18:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-12 18:33 . 2008-05-12 18:33 2,570 --a------ C:\WINDOWS\unins000.dat
2008-05-12 08:01 . 2008-05-12 08:01 134,656 --a------ C:\WINDOWS\system32\occbctrb.dll
2008-05-12 08:01 . 2008-05-12 08:01 2,048 --a------ C:\WINDOWS\system32\xmmuuatf.VIR
2008-05-12 07:57 . 2008-05-17 12:01 109,807 --a------ C:\WINDOWS\BM23e07926.xml
2008-05-12 07:50 . 2008-05-12 07:50 52,736 --------- C:\WINDOWS\system32\opnooOfF.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 19:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-08 11:58 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AdobeUM
2008-04-17 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
.
------- Sigcheck -------
2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\ip6fw.sys
2003-06-30 16:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\system32\drivers\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-17_11.34.14.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 09:27:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-17 12:26:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 08:56:27 5,349,376 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-05-17 11:54:39 4,984,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-05-17 08:56:27 12,288 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-05-17 11:54:39 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{382CA4F5-CD60-4BEC-8299-6C808211574D}]
C:\WINDOWS\System32\efcBrRJY.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4dcbdaf1-7016-4f67-a652-80b80fed5e87}]
C:\WINDOWS\System32\vymmqwdc.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6162CD4C-F1D1-4275-9E91-1171C00CBA44}]
C:\WINDOWS\System32\ddcCVNfg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78C22FBA-9797-4E5F-BC39-1FB9AC58B7E5}]
C:\WINDOWS\System32\msdtctmd.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
2008-05-12 07:50 52736 --------- C:\WINDOWS\System32\opnooOfF.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regstr"="C:\WINDOWS\System32\strlogcon.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AS00_Gear311T"="D:\NETGEAR\WG311TSU\Utility\Gear311T.exe" [2003-12-04 16:13 450560]
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 12:55 262401]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe]
"20d34aba"="C:\WINDOWS\System32\joarnrdq.dll" [ ]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2003-11-06 20:23 77824]
"BM23e07926"="C:\WINDOWS\System32\mabahiax.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\System32\opnooOfF.dll [2008-05-12 07:50 52736]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnooOfF]
opnooOfF.dll 2008-05-12 07:50 52736 C:\WINDOWS\system32\opnooOfF.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 16:18 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2001-11-20 05:07 196608 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 15:08 1511453 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-11-06 20:23 77824 D:\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-06-20 12:53 1056768 C:\Programme\VIA\RAID\raid_tool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"updateMgr"=D:\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1
"winshost.exe"=C:\WINDOWS\System32\winshost.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"QuickTime Task"="D:\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-17 12:55]
R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 01:07]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-17 12:55]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-07-10 11:35]
R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\System32\AWINDIS5.SYS [2002-04-11 17:43]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\Berni\LOKALE~1\Temp\gUSBSTOi.sys []
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2003-04-02 14:00]
S3 NETGEAR_WG311T_SERVICE;NETGEAR WG311T Wireless Adapter Service;C:\WINDOWS\System32\DRIVERS\wg311tn5.sys [2003-10-08 00:23]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\System32\Drivers\StMp3Rec.sys [2003-07-28 18:47]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-17 14:30:11
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\opnooOfF.dll
.
------------------------ Other Running Processes ------------------------
.
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDANTSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Microsoft Office\Office\OSA.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-17 14:33:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-17 12:33:53
ComboFix2.txt 2008-05-17 09:56:40
ComboFix3.txt 2008-05-17 09:35:48
13 Verzeichnis(se), 416,520,192 Bytes frei
16 Verzeichnis(se), 405,854,208 Bytes frei
152

Geändert von Sunny (17.05.2008 um 15:07 Uhr)

Alt 17.05.2008, 15:10   #2
Sunny
Administrator
> Competence Manager
 

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hallo und






Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:
ATTFilter
C:\WINDOWS\system32\drivers\ip6fw.sys C:\WINDOWS\system32\efcYRJYR.VIR C:\WINDOWS\system32\xgmomcvk.VIR C:\WINDOWS\system32\ryeugwvs.dll C:\WINDOWS\system32\xmmuuatf.VIR C:\WINDOWS\BM23e07926.xml C:\WINDOWS\system32\opnooOfF.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________

__________________

Alt 19.05.2008, 00:39   #3
RobKll
 
TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hallo Sunny,
danke für deine rasche Antwort. Bin hier neu im Forum und habe angenommen, dass ich mit einer Email benachrichtigt werden, wenn ich eine Antwort im Forum bekomme. Wahrscheinlich hab ich nicht die richtigen Einstellungen gewählt. Sorry, daher hat jetzt meine Antwort so lange gedauert.
In der Zwischenzeit meldet bei mir der AntiVir Guard immer wieder neu befallene Dateien, meist in C:\windows\system32 aber auch in C:\Dokumente und Einstellungen\...

Ich habe deshalb nochmals ComboFix.exe laufen lassen und bekommen nun folgende Logdatei:
ComboFix 08-05-15.3 - **** 2008-05-19 0:23:59.5 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\pvlfragt.ini
C:\WINDOWS\system32\wxHkSvut.ini
C:\WINDOWS\system32\wxHkSvut.ini2
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-18 bis 2008-05-18 ))))))))))))))))))))))))))))))
.
2008-05-18 17:00 . 2008-05-18 17:00 116,224 --a------ C:\WINDOWS\system32\tgarflvp.VIR
2008-05-18 16:57 . 2008-05-18 16:57 133,632 --a------ C:\WINDOWS\system32\cphfvfpo.dll
2008-05-18 15:45 . 2008-05-18 15:45 371,712 --a------ C:\WINDOWS\system32\tuvSkHxw.dll
2008-05-17 10:56 . 2008-05-17 10:56 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-17 10:49 . 2008-05-17 14:11 <DIR> d-------- C:\SDFix
2008-05-17 08:55 . 2008-05-17 08:55 20 --a------ C:\WINDOWS\system32\20d35834
2008-05-12 20:11 . 2008-05-17 13:41 211 --a------ C:\WINDOWS\wininit.ini
2008-05-12 19:58 . 2008-05-12 19:59 124,416 --a------ C:\WINDOWS\system32\ryeugwvs.dll
2008-05-12 18:56 . 2008-05-19 00:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-12 18:56 . 2008-05-19 00:25 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-12 18:33 . 2008-05-12 18:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-12 18:33 . 2008-05-12 18:33 2,570 --a------ C:\WINDOWS\unins000.dat
2008-05-12 08:01 . 2008-05-12 08:01 134,656 --a------ C:\WINDOWS\system32\occbctrb.dll
2008-05-12 07:57 . 2008-05-17 12:01 109,807 --a------ C:\WINDOWS\BM23e07926.xml
2008-05-12 07:50 . 2008-05-12 07:50 52,736 --------- C:\WINDOWS\system32\opnooOfF.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 19:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-08 11:58 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\AdobeUM
2008-04-17 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
.
------- Sigcheck -------
2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\ip6fw.sys
2003-06-30 16:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\system32\drivers\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-17_11.34.14.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 09:27:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-18 22:28:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 08:56:27 5,349,376 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-05-17 11:54:39 4,984,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-05-17 08:56:27 12,288 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-05-17 11:54:39 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21A42511-D986-4268-B996-EFF93F94D223}]
2008-05-19 00:34 371712 --a------ C:\WINDOWS\System32\opnkJdBt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{382CA4F5-CD60-4BEC-8299-6C808211574D}]
C:\WINDOWS\System32\efcBrRJY.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6162CD4C-F1D1-4275-9E91-1171C00CBA44}]
C:\WINDOWS\System32\ddcCVNfg.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78C22FBA-9797-4E5F-BC39-1FB9AC58B7E5}]
C:\WINDOWS\System32\msdtctmd.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6B77664-7F36-4942-B296-E3CCB712C706}]
2008-05-18 15:45 371712 --a------ C:\WINDOWS\System32\tuvSkHxw.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eefdaf4b-d4ce-4e98-b450-ec57fe80755b}]
2008-05-18 16:57 133632 --a------ C:\WINDOWS\System32\cphfvfpo.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
2008-05-12 07:50 52736 --------- C:\WINDOWS\System32\opnooOfF.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regstr"="C:\WINDOWS\System32\strlogcon.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AS00_Gear311T"="D:\NETGEAR\WG311TSU\Utility\Gear311T.exe" [2003-12-04 16:13 450560]
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 12:55 262401]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe]
"FinePrint Dispatcher"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp3.exe" [1999-07-09 12:08 219648]
"20d34aba"="C:\WINDOWS\System32\tgarflvp.dll" [ ]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2003-11-06 20:23 77824]
"BM23e07926"="C:\WINDOWS\System32\mabahiax.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\System32\opnooOfF.dll [2008-05-12 07:50 52736]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnooOfF]
opnooOfF.dll 2008-05-12 07:50 52736 C:\WINDOWS\system32\opnooOfF.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\opnkJdBt
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 D:\CloneCD\ElbyCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 16:18 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2001-11-20 05:07 196608 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2002-07-10 11:32 1048576 D:\Ahead\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 15:08 1511453 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-11-06 20:23 77824 D:\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-06-20 12:53 1056768 C:\Programme\VIA\RAID\raid_tool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"updateMgr"=D:\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1
"winshost.exe"=C:\WINDOWS\System32\winshost.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"QuickTime Task"="D:\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-17 12:55]
R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 01:07]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-17 12:55]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-07-10 11:35]
R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\System32\AWINDIS5.SYS [2002-04-11 17:43]
R3 NETGEAR_WG311T_SERVICE;NETGEAR WG311T Wireless Adapter Service;C:\WINDOWS\System32\DRIVERS\wg311tn5.sys [2003-10-08 00:23]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\****\LOKALE~1\Temp\gUSBSTOi.sys []
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2003-04-02 14:00]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\System32\Drivers\StMp3Rec.sys [2003-07-28 18:47]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-19 00:29:24
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\opnooOfF.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\System32\opnkJdBt.dll
.
------------------------ Other Running Processes ------------------------
.
I:\Programme\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDANTSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 0:35:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 22:35:30
ComboFix2.txt 2008-05-18 13:46:25
ComboFix3.txt 2008-05-17 12:49:14
ComboFix4.txt 2008-05-17 09:56:40
ComboFix5.txt 2008-05-17 09:35:48
13 Verzeichnis(se), 408,625,152 Bytes frei
16 Verzeichnis(se), 400,900,096 Bytes frei
161


Die Ergebnisse von virustotal sind:

---
Datei nrlvcmgv.dll empfangen 2008.05.18 12:29:19 (CET)
Ergebnis: 7/33 (21.21%)
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Vundo.gen179
FileAdvisor - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - Vundo.gen179
Panda - - Suspicious file
Prevx1 - - Malicious Software
Rising - - -
Sophos - - Troj/Virtum-Gen
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen (suspicious)
weitere Informationen
MD5: 97d8d011a07746fce7be7b3a01de6099
SHA1: 534f334fd4e6e874cdff95a7b1730b9942d9927f
SHA256: e251b757670f88292bd9283d421db137446094856960537b235e39d040f920d0
SHA512: 1a5a1e90ea968498330f6d51d9899a39fbd386c14f3375cd335ae8a5a10b6272d11376468c57199d234b08d06c3c757fd2cc012d319a2926e3b586456bd98a29
---
Datei tuvSkHxw.dll empfangen 2008.05.19 01:13:55 (CET)
Ergebnis: 5/32 (15.63%)
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.18 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.18 Vundo.gen179
Fortinet 3.14.0.0 2008.05.18 -
GData 2.0.7306.1023 2008.05.18 -
Ikarus T3.1.1.26.0 2008.05.18 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 Vundo.gen179
Panda 9.0.0.4 2008.05.18 Suspicious file
Prevx1 V2 2008.05.19 Malicious Software
Rising 20.44.62.00 2008.05.18 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 -
TheHacker 6.2.92.312 2008.05.18 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.18 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 371712 bytes
MD5...: 07c19a949054b1e220fee961b304ee06
SHA1..: 9b6511f30c40e968cc763c2cbb0ef4b39ea71a04
SHA256: 7a78ecf692888181d3621a1182ea2f0bca5c88351a59de526a7186129348f602
SHA512: 148bd50a0cb3e3482d5abdfc79cef19c8221cb40e8ea1b8ef4178008e13696c2
323526b131c75346446b80a995bee0bf15df1636cfe1574b5371fee008a28142
---
Datei ryeugwvs.dll empfangen 2008.05.19 01:19:49 (CET)
Ergebnis: 3/32 (9.38%)
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 Suspicious file
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 124416 bytes
MD5...: 22e93cf9f6a2105e2731dc352c54e420
SHA1..: 9948fa44c6028fcd227b2b82b2dd83f9cbcd6a2e
SHA256: b96fd82c9689b3e0231d11013d60e3b5e4d09a48bd65204ad3e44b883dd5f645
SHA512: f09a156d1f2b3a600d4debf1cb2778fb48937c213e73f1b8fa8fc8de148dadfa
0db4e8d6ebfd2e3c210db5f63a461cda2e952022ea92075cf5cae10592504ad7
---
Datei occbctrb.dll empfangen 2008.05.19 01:24:00 (CET)
Ergebnis: 6/32 (18.75%)
AhnLab-V3 2008.5.16.0 2008.05.18 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.18 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.18 Vundo.gen179
Fortinet 3.14.0.0 2008.05.18 -
GData 2.0.7306.1023 2008.05.18 -
Ikarus T3.1.1.26.0 2008.05.19 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 Vundo.gen179
Panda 9.0.0.4 2008.05.18 Spyware/Virtumonde
Prevx1 V2 2008.05.19 Cloaked Malware
Rising 20.44.62.00 2008.05.18 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 -
TheHacker 6.2.92.312 2008.05.18 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.18 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 134656 bytes
MD5...: 50a306912b5f1f9dc8cfcffbf072b16c
SHA1..: 1ba1a528e733c964214af339ba96c351c6120a28
SHA256: c4e95f9750f837b64b0913e56918916bb32dc1feebd1f26892bc0892ef6b2d25
SHA512: 764aa931b8e3f6f46c94d734024b47c0c210c2563377d725eee6d689100a2f86
366a2ec85fd4b9584e208b142fb2ba2789f3b6f6badabdea85536ea95fc33c65
---
Datei BM23e07926.xml empfangen 2008.05.19 01:27:00 (CET)
Ergebnis: 1/32 (3.13%)
AhnLab-V3 2008.5.16.0 2008.05.18 -
AntiVir 7.8.0.19 2008.05.18 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 -
BitDefender 7.2 2008.05.18 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.18 -
Fortinet 3.14.0.0 2008.05.18 -
GData 2.0.7306.1023 2008.05.18 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.18 -
Prevx1 V2 2008.05.19 Prevx Database Unreachable
Rising 20.44.62.00 2008.05.18 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 -
TheHacker 6.2.92.312 2008.05.18 -
VBA32 3.12.6.6 2008.05.18 -
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.18 -
weitere Informationen
File size: 109807 bytes
MD5...: 4765e961dcb3cbc7ae607cda5358df7a
SHA1..: 736828f46ec276d3c038bd91bf48bc7b7080b6b5
SHA256: 7c6fbefe76d79ceafbf6331aa246c0af256aeb85359611f828bbf7a96b322b1d
SHA512: dab5949e73afac96cd80813643f516b64421a106647271f3115cb241441a8ef0
d8943845dd7e373da747a8f1c377f5547799f4ca91c7fc86c73617911f8b1b4f
---
Datei opnooOfF.dll empfangen 2008.05.19 01:28:49 (CET)
Ergebnis: 16/32 (50%)
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.18 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.18 -
AVG 7.5.0.516 2008.05.18 Generic10.YAY
BitDefender 7.2 2008.05.18 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.17 Trojan.Packed.142
eSafe 7.0.15.0 2008.05.18 -
eTrust-Vet 31.4.5796 2008.05.16 Win32/Vundo.YT
Ewido 4.0 2008.05.18 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.18 Vundo.gen179
Fortinet 3.14.0.0 2008.05.18 Virtum!tr
GData 2.0.7306.1023 2008.05.18 -
Ikarus T3.1.1.26.0 2008.05.19 Trojan.Win32.Vundo.AF
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5297 2008.05.17 Vundo
Microsoft 1.3408 2008.05.13 Trojan:Win32/Vundo.AF
NOD32v2 3107 2008.05.18 -
Norman 5.80.02 2008.05.16 Vundo.gen179
Panda 9.0.0.4 2008.05.18 Spyware/Virtumonde
Prevx1 V2 2008.05.19 Prevx Database Unreachable
Rising 20.44.62.00 2008.05.18 -
Sophos 4.29.0 2008.05.19 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 Trojan.Vundo
TheHacker 6.2.92.312 2008.05.18 -
VBA32 3.12.6.6 2008.05.18 Trojan.Packed.142
VirusBuster 4.3.26:9 2008.05.18 -
Webwasher-Gateway 6.6.2 2008.05.18 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 52736 bytes
MD5...: 0e3535045706da1af690a904e5325a01
SHA1..: 195e95ce749221786bbc91dddfca810abf3c2698
SHA256: 44f47c465a4328018bb588b584bfc5a043cffd6d80be175c482e62b4555ace53
SHA512: 0161d29cc9a002d46bb97acfea0c5e43ffda3a13b0e4dc53ae56afcecaf0ec8f
8dc9efe78a11618b898d6473f91d34e2777874b53f1e101cfbce9542b66bfb5a

Sieht für mich ziemlich schlimm aus. Die *.VIR Dateien habe ich nicht gefunden.
Bedanke mich vorerst für deine Mühen und der Hilfestellung.
RobKll
__________________

Alt 19.05.2008, 05:40   #4
Sunny
Administrator
> Competence Manager
 

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{21A42511-D986-4268-B996-EFF93F94D223}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{382CA4F5-CD60-4BEC-8299-6C808211574D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6162CD4C-F1D1-4275-9E91-1171C00CBA44}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{78C22FBA-9797-4E5F-BC39-1FB9AC58B7E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6B77664-7F36-4942-B296-E3CCB712C706}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eefdaf4b-d4ce-4e98-b450-ec57fe80755b}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BM23e07926"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnooOfF]


FILE::
C:\WINDOWS\system32\tgarflvp.VIR
C:\WINDOWS\system32\cphfvfpo.dll
C:\WINDOWS\system32\tuvSkHxw.dll
C:\WINDOWS\system32\ryeugwvs.dll
C:\WINDOWS\system32\occbctrb.dll
C:\WINDOWS\BM23e07926.xml
C:\WINDOWS\system32\opnooOfF.dll
C:\WINDOWS\System32\opnkJdBt.dll
C:\WINDOWS\System32\efcBrRJY.dll
C:\WINDOWS\System32\ddcCVNfg.dll
C:\WINDOWS\System32\msdtctmd.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann





Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.05.2008, 22:57   #5
RobKll
 
TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hi, [GC]Sunny,

hab nun deine Anweisungen abgearbeitet. Es wurden einige Dateien gefunden und entfernt. Ob ich nun sauber bin, kann ich noch nicht sagen.
Nun zu den Logs:

-----
ComboFix-Logfile:

ComboFix 08-05-15.3 - **** 2008-05-19 22:43:43.7 - NTFSx86
Microsoft Windows XP Home Edition
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.
2008-05-19 01:04 . 2008-05-19 01:04 133,632 --a------ C:\WINDOWS\system32\plxsdggv.dll
2008-05-19 00:44 . 2008-05-19 00:44 133,632 --a------ C:\WINDOWS\system32\jawvxjgf.dll
2008-05-17 10:56 . 2008-05-17 10:56 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-17 10:49 . 2008-05-17 14:11 <DIR> d-------- C:\SDFix
2008-05-17 08:55 . 2008-05-17 08:55 20 --a------ C:\WINDOWS\system32\20d35834
2008-05-12 20:11 . 2008-05-17 13:41 211 --a------ C:\WINDOWS\wininit.ini
2008-05-12 18:56 . 2008-05-19 22:36 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-12 18:56 . 2008-05-19 22:32 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-12 18:33 . 2008-05-12 18:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-12 18:33 . 2008-05-12 18:33 2,570 --a------ C:\WINDOWS\unins000.dat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 19:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-08 11:58 --------- d-----w C:\Dokumente und Einstellungen\Verena\Anwendungsdaten\AdobeUM
2008-04-17 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
.
------- Sigcheck -------
2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\ip6fw.sys
2003-06-30 16:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\system32\drivers\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-17_11.34.14.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 09:27:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-19 20:34:22 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 08:56:27 5,349,376 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-05-17 11:54:39 4,984,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-05-17 08:56:27 12,288 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-05-17 11:54:39 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d2349cfd-57e5-4b00-8140-7cdbf7763f19}]
2008-05-19 01:04 133632 --a------ C:\WINDOWS\System32\plxsdggv.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regstr"="C:\WINDOWS\System32\strlogcon.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AS00_Gear311T"="D:\NETGEAR\WG311TSU\Utility\Gear311T.exe" [2003-12-04 16:13 450560]
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 12:55 262401]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe]
"20d34aba"="C:\WINDOWS\System32\tgarflvp.dll" [ ]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2003-11-06 20:23 77824]
"BM23e07926"="C:\WINDOWS\System32\mabahiax.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 16:18 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2001-11-20 05:07 196608 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2002-07-10 11:32 1048576 D:\Ahead\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 15:08 1511453 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-11-06 20:23 77824 D:\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-06-20 12:53 1056768 C:\Programme\VIA\RAID\raid_tool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"updateMgr"=D:\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1
"winshost.exe"=C:\WINDOWS\System32\winshost.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"QuickTime Task"="D:\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-17 12:55]
R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 01:07]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-17 12:55]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-07-10 11:35]
R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\System32\AWINDIS5.SYS [2002-04-11 17:43]
R3 NETGEAR_WG311T_SERVICE;NETGEAR WG311T Wireless Adapter Service;C:\WINDOWS\System32\DRIVERS\wg311tn5.sys [2003-10-08 00:23]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\****\LOKALE~1\Temp\gUSBSTOi.sys []
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2003-04-02 14:00]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\System32\Drivers\StMp3Rec.sys [2003-07-28 18:47]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-19 22:44:42
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 22:45:48
ComboFix-quarantined-files.txt 2008-05-19 20:45:41
ComboFix2.txt 2008-05-19 20:41:25
ComboFix3.txt 2008-05-18 22:35:44
ComboFix4.txt 2008-05-18 13:46:25
ComboFix5.txt 2008-05-17 12:49:14
13 Verzeichnis(se), 333,670,400 Bytes frei
16 Verzeichnis(se), 323,551,232 Bytes frei
121

-----
Und das Malwarebytes' -Logfile:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 768
Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 154514
Scan Dauer: 28 minute(s), 5 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM23e07926 (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\system32\ryeugwvs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5CD12F6A-6907-4A0F-B02C-AC4846091568}\RP10\A0000512.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Werde nach einen Reboot nochmals ComboFix und Malwarebytes' Anti-Maleware bemühen, habe jetzt dank deiner Unterstützung wieder Hoffnung geschöpft. Toller Job, den ihr da macht, super. Werde das Ergebnis eines nochmalige Durchlaufs hier reinstellen.

Danke vorerst,
RobKll


Alt 20.05.2008, 01:20   #6
RobKll
 
TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hi Sunny,

sieht schon viel besser aus. ComboFix macht jetzt keinen Reboot. Was soll ich mit C:\WINDOWS\system32\plxsdggv.dll und C:\WINDOWS\system32\jawvxjgf.dll machen, außerdem meldet Windows nach dem Einloggen, dass es C:\WINDOWS\System32\tgarflvp.dll nicht findet. Ich finde es auch nicht. Möchte Windows automatisch starten.

Nun nochmals das ComboFix-Logfile und Scanergebnisse von VirusTotal:

ComboFix 08-05-15.3 - **** 2008-05-20 1:26:33.9 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.
2008-05-20 00:27 . 2008-05-20 00:35 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-19 22:51 . 2008-05-19 22:51 <DIR> d-------- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Malwarebytes
2008-05-19 22:50 . 2008-05-19 22:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-19 22:50 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-19 22:50 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-19 01:04 . 2008-05-19 01:04 133,632 --a------ C:\WINDOWS\system32\plxsdggv.dll
2008-05-19 00:44 . 2008-05-19 00:44 133,632 --a------ C:\WINDOWS\system32\jawvxjgf.dll
2008-05-17 10:56 . 2008-05-17 10:56 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-17 10:49 . 2008-05-17 14:11 <DIR> d-------- C:\SDFix
2008-05-17 08:55 . 2008-05-17 08:55 20 --a------ C:\WINDOWS\system32\20d35834
2008-05-12 20:11 . 2008-05-17 13:41 211 --a------ C:\WINDOWS\wininit.ini
2008-05-12 18:56 . 2008-05-20 00:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-12 18:56 . 2008-05-19 23:23 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-12 18:33 . 2008-05-12 18:29 691,545 --a------ C:\WINDOWS\unins000.exe
2008-05-12 18:33 . 2008-05-12 18:33 2,570 --a------ C:\WINDOWS\unins000.dat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-12 19:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-08 11:58 --------- d-----w C:\Dokumente und Einstellungen\****\Anwendungsdaten\AdobeUM
2008-04-17 15:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
.
------- Sigcheck -------
2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\ip6fw.sys
2003-06-30 16:35 29952 eddca9c72f1e7f2e2e2ab6ad7106c4a5 C:\WINDOWS\system32\drivers\ip6fw.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-17_11.34.14.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-17 09:27:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-19 22:17:45 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-17 08:56:27 5,349,376 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-05-17 11:54:39 4,984,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-05-17 08:56:27 12,288 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-05-17 11:54:39 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d2349cfd-57e5-4b00-8140-7cdbf7763f19}]
2008-05-19 01:04 133632 --a------ C:\WINDOWS\System32\plxsdggv.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Regstr"="C:\WINDOWS\System32\strlogcon.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"AS00_Gear311T"="D:\NETGEAR\WG311TSU\Utility\Gear311T.exe" [2003-12-04 16:13 450560]
"avgnt"="I:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 12:55 262401]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe]
"20d34aba"="C:\WINDOWS\System32\tgarflvp.dll" [ ]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2003-11-06 20:23 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
C:\Dokumente und Einstellungen\****\Startmen\Programme\Autostart\
Office-Start.lnk - D:\Microsoft Office\Office\OSA.EXE [1996-12-14 51984]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-10-05 11:18:29 110592]
Adobe Reader - Schnellstart.lnk - D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll
"MSACM.CEGSM"= mobilev.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2004-05-12 16:18 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2001-11-20 05:07 196608 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2002-07-10 11:32 1048576 D:\Ahead\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 15:08 1511453 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-11-06 20:23 77824 D:\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-06-20 12:53 1056768 C:\Programme\VIA\RAID\raid_tool.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-08-17 12:39 90112 C:\WINDOWS\soundman.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"updateMgr"=D:\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1
"winshost.exe"=C:\WINDOWS\System32\winshost.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HPDJ Taskbar Utility"=C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
"QuickTime Task"="D:\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-17 12:55]
R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 01:07]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-17 12:55]
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-07-10 11:35]
R3 AWINDIS5;AWINDIS5 Protocol Driver;C:\WINDOWS\System32\AWINDIS5.SYS [2002-04-11 17:43]
R3 NETGEAR_WG311T_SERVICE;NETGEAR WG311T Wireless Adapter Service;C:\WINDOWS\System32\DRIVERS\wg311tn5.sys [2003-10-08 00:23]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\****\LOKALE~1\Temp\gUSBSTOi.sys []
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2003-04-02 14:00]
S3 StMp3Rec;Player Recovery Device Control Driver;C:\WINDOWS\System32\Drivers\StMp3Rec.sys [2003-07-28 18:47]
*Newly Created Service* - CATCHME
*Newly Created Service* - NTMSSVC
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 01:28:37
Windows 5.1.2600 Service Pack 1 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 1:29:49
ComboFix-quarantined-files.txt 2008-05-19 23:29:35
ComboFix2.txt 2008-05-19 22:06:09
ComboFix3.txt 2008-05-19 20:45:49
ComboFix4.txt 2008-05-19 20:41:25
ComboFix5.txt 2008-05-18 22:35:44
13 Verzeichnis(se), 327,122,944 Bytes frei
16 Verzeichnis(se), 316,934,144 Bytes frei
126

--------
und von VirusTotal:


Datei plxsdggv.dll empfangen 2008.05.20 01:38:46 (CET)
Ergebnis: 11/32 (34.38%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.19 -
Avast 4.8.1195.0 2008.05.19 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.19 Generic10.AACW
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.20 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.20 Vundo.gen179
Fortinet 3.14.0.0 2008.05.20 Virtum!tr
GData 2.0.7306.1023 2008.05.20 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.20 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.20 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 Vundo.gen179
Panda 9.0.0.4 2008.05.19 Suspicious file
Prevx1 V2 2008.05.20 Cloaked Malware
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.20 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.20 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 133632 bytes
MD5...: 97d8d011a07746fce7be7b3a01de6099
SHA1..: 534f334fd4e6e874cdff95a7b1730b9942d9927f
SHA256: e251b757670f88292bd9283d421db137446094856960537b235e39d040f920d0
SHA512: 1a5a1e90ea968498330f6d51d9899a39fbd386c14f3375cd335ae8a5a10b6272
d11376468c57199d234b08d06c3c757fd2cc012d319a2926e3b586456bd98a29


---
Datei jawvxjgf.dll empfangen 2008.05.20 01:57:30 (CET)
Ergebnis: 11/32 (34.38%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.19 -
Avast 4.8.1195.0 2008.05.19 Win32:Vundo@dll
AVG 7.5.0.516 2008.05.19 Generic10.AACW
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.20 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.20 Vundo.gen179
Fortinet 3.14.0.0 2008.05.20 Virtum!tr
GData 2.0.7306.1023 2008.05.20 Win32:Vundo
Ikarus T3.1.1.26.0 2008.05.20 Trojan.Win32.Vundo.H
Kaspersky 7.0.0.125 2008.05.20 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 Vundo.gen179
Panda 9.0.0.4 2008.05.20 Suspicious file
Prevx1 V2 2008.05.20 Cloaked Malware
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.20 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.20 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 133632 bytes
MD5...: 97d8d011a07746fce7be7b3a01de6099
SHA1..: 534f334fd4e6e874cdff95a7b1730b9942d9927f
SHA256: e251b757670f88292bd9283d421db137446094856960537b235e39d040f920d0
SHA512: 1a5a1e90ea968498330f6d51d9899a39fbd386c14f3375cd335ae8a5a10b6272
d11376468c57199d234b08d06c3c757fd2cc012d319a2926e3b586456bd98a29
----
Datei 20d35834 empfangen 2008.05.20 01:59:54 (CET)
Ergebnis: 0/32 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.19 -
Avast 4.8.1195.0 2008.05.19 -
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.20 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.20 -
Fortinet 3.14.0.0 2008.05.20 -
GData 2.0.7306.1023 2008.05.20 -
Ikarus T3.1.1.26.0 2008.05.20 -
Kaspersky 7.0.0.125 2008.05.20 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 -
Panda 9.0.0.4 2008.05.20 -
Prevx1 V2 2008.05.20 -
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.20 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.20 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 -
weitere Informationen
File size: 20 bytes
MD5...: 2dcc1b1b9f4ab491ef7224d0d5e3e5e1
SHA1..: a6a8057b5440e3fd83e63336792d5ab85a0e471c
SHA256: cab83227a514fe3bd14c2127f98bcebd2cd8500289d250feb711cd48948e58e4
SHA512: a733e2889a791d3e74f9dc85f6c99c5306e6478d2cbcc8f8fceb3750ca638c9e
63fc2aa185b9ab09cea002d33e6eef5be5efb83c790abd3d8c0cd260575e63fb

-------------------
Malewarebytes meldet nur mehr:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 768
Scan Art: Schnell Scan
Objekte gescannt: 37083
Scan Dauer: 4 minute(s), 9 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
(Keine Malware Objekte gefunden)


.. allerdings auch nachdem es "MS Juan (Malware.Trace)" erfolgreich gelöscht hat wird es erneut nach einem Quickscan gemeldet.

Kann es sein, dass nur durch einen Reboot eine erneute Infizierung eintritt. Es finden sich immer anders benannter infizierter DLLs in system32?

Danke nochmals für deine rasche Hilfe.

RobKll

Alt 20.05.2008, 16:18   #7
Sunny
Administrator
> Competence Manager
 

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Ich habe beim ersten Script einiges übersehen, daher nochmal:



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d2349cfd-57e5-4b00-8140-7cdbf7763f19}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"20d34aba"=-

FILE::
C:\WINDOWS\system32\plxsdggv.dll
C:\WINDOWS\system32\jawvxjgf.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann




Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 20.05.2008, 19:39   #8
RobKll
 
TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Hallo Sunny,

Yippee, sieht super aus. Keine Bescherden mehr von den diversen Scanner. Nur Malwarebytes' Anti-Malware meldet wieder:

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Trotz mehrfacher Durchläufe kommt diese Meldung immer wieder. Schlimm ?

Ansonst vielen herzlichen Dank für deine Unterstützung. Ihr macht hier einen wirklich tollen Job.

RobKll

Alt 20.05.2008, 19:47   #9
Sunny
Administrator
> Competence Manager
 

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Standard

TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.



Soweit wie ich darüber informiert bin ist dieser Eintrag normal, auch wenn er als schlecht bewertet wird.

Na denn (FFN), viel Spass noch ...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.
askbar, avg, avgnt, avgnt.exe, browser, ctfmon.exe, desktop, drivers, einstellungen, email, entfernen, explorer, helper, heulen, hijack, hijackthis, hijackthis logfile, home, logfile, malware, netgear, programmstart, rundll, service pack 1, sigcheck, svchost.exe, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, windows, windows xp, windows\system32\drivers



Ähnliche Themen: TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc.


  1. Probleme mit TR/Vundo und TR/crypt.Xpack
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (16)
  2. TR/Crypt.XPACK.Gen und TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2009 (1)
  3. Vundo.Gen & Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (16)
  4. Virtumondo :<
    Plagegeister aller Art und deren Bekämpfung - 09.11.2008 (7)
  5. Vundo / TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (11)
  6. Vundo und crypt.XPACK.gen
    Log-Analyse und Auswertung - 11.09.2008 (6)
  7. TR/Crypt.XPACK.Gen und Vundo.Gen
    Log-Analyse und Auswertung - 06.09.2008 (8)
  8. TR/Vundo.Gen und TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 31.08.2008 (2)
  9. Hilfe bei TR/Vundo und TR/Crypt.XPACK
    Log-Analyse und Auswertung - 25.08.2008 (5)
  10. TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  11. TR/Crypt.XPACK.Gen & TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (26)
  12. Bin auch befallen von Vundo.Gen+XPACK.Gen
    Log-Analyse und Auswertung - 11.08.2008 (2)
  13. Hilfe ! *tr/vundo.gen und tr/crypt.xpack.gen*
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (3)
  14. TR/Crypt.XPACK.Gen, TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (13)
  15. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  16. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  17. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)

Zum Thema TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. - Hi, habe seit einigen Tagen massive Probleme mit Trojaner. AntiVir meldet bei jedem Programmstart oft mehrfach TR/Crypt.XPACK.Gen Befall, manchmal auch TR/Vundo.Gen Befall. SPYBOT&Destroy findet Vitumondo bzw. Virtumondo.dll. Bei mehrfache Scanläufe - TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc....
Archiv
Du betrachtest: TR/Cryo.XPACK.Gen,TR/Vundo.Gen, Virtumondo etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.