Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.05.2008, 16:09   #1
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Hi zusammen!
Ich habe mich nun über die letzten Paar Tage ein wenig über meinen Plagegeist schlau gemacht und gemerkt, dass die von Antivir doch so freundliche Warnung, die bei jedem Start des PC's, dass ich ein TR/Crypt.XPACK.Gen trojaner besitze keinerlei Aussagekraft besitzt. Der Drecksack sitzt in der /System32/xxx.dll und lässt sich nicht löschen.
Seit ich das Teil habe kann ich nur noch über Proxies surfen...
hier das HJT-log

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
D:\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
F:\WINDOWS\System32\CTsvcCDA.EXE
D:\Maya 6 ple\docs\wrapper.exe
F:\WINDOWS\System32\svchost.exe
D:\Maya 6 ple\docs\jre\bin\java.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\SOUNDMAN.EXE
D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\Rundll32.exe
D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\txtuser.exe
D:\Firefox\firefox.exe
F:\Programme\Internet Explorer\iexplore.exe
D:\Adobe\Reader 8.0\Reader\AcroRd32.exe
F:\WINDOWS\explorer.exe
D:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.93.29.4 view.atdmt.com
O1 - Hosts: 69.93.29.4 rad.msn.com
O3 - Toolbar: Get Anonymous - {8892C699-6978-4DD9-8EB2-951C93DB4F62} - D:\GetAnonymous 2.1 Professional\IEToolBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ClamWin] "K:\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [f0a09522] rundll32.exe "F:\WINDOWS\system32\vsstdsyt.dll",b
O4 - HKLM\..\Run: [000000af] rundll32.exe "F:\WINDOWS\system32\rqhuywcq.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM93c288e0] Rundll32.exe "F:\WINDOWS\system32\pmmnacbb.dll",s
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [LDM] D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Brockhaus-Direktsuche.lnk = Z:\Brockhaus\pgbmm.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - AppInit_DLLs: e1.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Alias Wavefront Help Server (AWHelpServer) - Unknown owner - D:\Maya5.0\docs\Wrapper.exe (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Maya 6 PLE Documentation Server (mple6docserver) - Unknown owner - D:\Maya 6 ple\docs\wrapper.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - F:\Programme\WinPcap\rpcapd.exe



über eure Unterstützung bin ich undnedlich dankbar, da ich eigentlich das Internet für meine Arbeit dringend brauche und mit einer Bandbreite von einigen KB/s über einen Proxy ist das nicht so machbar...

Alt 19.05.2008, 16:34   #2
Vista_User
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Hallo,

das ist sehr verdächtig:

O1 - Hosts: 69.93.29.4 view.atdmt.com
O1 - Hosts: 69.93.29.4 rad.msn.com
O20 - AppInit_DLLs: e1.dll


Ich würde mal sagen: Mit fixen ist es nicht getan, warte bitte auf unsere Experten, wie Sunny und undoreal.

VG
Vista_User
__________________


Alt 19.05.2008, 16:39   #3
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



danke schonmal für die schnelle antwort! bei hijackthis.de wird bei der automatischen analyse empfolen die einträge zu fixen (aber ich glaube du hast recht, besser mal auf die Kings warten )
peace
__________________

Alt 19.05.2008, 16:42   #4
Vista_User
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Mit fixen wird nicht immer das Problem gelöst.

Alt 19.05.2008, 17:19   #5
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Du hast einen Wurm namens -> W32/Stratio-BG im System, daher sollten wir nun etwas tiefer im System suchen:




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
F:\WINDOWS\system32\txtuser.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter (z.B. Tea-Timer von Spybot), sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.05.2008, 17:57   #6
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Hm das war ja mal ein gewaltiger schuss in den ofen...
nachdem combofix durchgelaufen ist und das system ein reboot gestartet hat hängt sich das dialogfenster von combofix auf und das derweil automatisch gebootete antivir zeigt plötzlich anstatt eine befallene Datei 15 an...was nun?
ah und virustotal hat nichts gefunden

das neue HJT logfile:

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
D:\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
F:\WINDOWS\System32\CTsvcCDA.EXE
D:\Maya 6 ple\docs\wrapper.exe
F:\WINDOWS\System32\svchost.exe
D:\Maya 6 ple\docs\jre\bin\java.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\wscntfy.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\SOUNDMAN.EXE
D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
F:\WINDOWS\system32\Rundll32.exe
D:\ICQ6ICQ6\ICQ.exe
D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\txtuser.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\taskmgr.exe
D:\Firefox\firefox.exe
D:\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =ht*p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Get Anonymous - {8892C699-6978-4DD9-8EB2-951C93DB4F62} - D:\GetAnonymous 2.1 Professional\IEToolBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ClamWin] "K:\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [f0a09522] rundll32.exe "F:\WINDOWS\system32\vsstdsyt.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM93c288e0] Rundll32.exe "F:\WINDOWS\system32\pmmnacbb.dll",s
O4 - HKCU\..\Run: [ICQ] "D:\ICQ6ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [LDM] D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Brockhaus-Direktsuche.lnk = Z:\Brockhaus\pgbmm.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - ht*p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h*tp://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} - h*tp://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - ht*p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h*tp://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h*tp://xtraz.icq.com/xtraz/activex/MISBH.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Alias Wavefront Help Server (AWHelpServer) - Unknown owner - D:\Maya5.0\docs\Wrapper.exe (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Maya 6 PLE Documentation Server (mple6docserver) - Unknown owner - D:\Maya 6 ple\docs\wrapper.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - F:\Programme\WinPcap\rpcapd.exe

Geändert von zijon (19.05.2008 um 18:05 Uhr)

Alt 19.05.2008, 18:06   #7
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Deaktiviere dein Antivir komplett(!), also auch raus aus dem Autostart und starte das Combofix nochmal...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.05.2008, 18:15   #8
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Zitat:
Zitat von [GC]Sunny Beitrag anzeigen
Deaktiviere dein Antivir komplett(!), also auch raus aus dem Autostart und starte das Combofix nochmal...
ich habe aber schon erwähnt, dass es seit combofix deutlich schlimmer geworden ist, oder? trau der sache gerade nicht so
außerdem finde ich gerade die option des automatischen startups im antivir nicht...stell mich geade bisschen blöd an, ist mir bewusst, machs aber nicht absichtlich

edit: habs ausgeschaltet und lass nochmal laufen (wünscht mir glück)

Geändert von zijon (19.05.2008 um 18:38 Uhr)

Alt 19.05.2008, 18:38   #9
myrtille
/// TB-Ausbilder
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Hi,
du kannst den Guard von Antivir deaktivieren, indem du unten links neben der Uhr auf das Regenschirmicon klickst, der oberste Eintrag sollte "Antivr Guard aktivieren" lauten.
Wenn da ein Haken davor ist, dann ist der Guard aktiviert. Deaktivieren kannst du den Guard, indem du auf den Haken klickst.

Wenn der Haken nicht gesetzt ist, dann ist auch der Guard nicht aktiv.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 19.05.2008, 19:36   #10
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



ComboFix 08-05-15.3 - Besitzer 2008-05-19 19:53:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.513 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\jglfdxyk.ini
F:\WINDOWS\system32\qcwyuhqr.ini
F:\WINDOWS\system32\TvEeKnnn.ini
F:\WINDOWS\system32\TvEeKnnn.ini2
.
---- Previous Run -------
.
F:\WINDOWS\cookies.ini
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\drivers\npf.sys
F:\WINDOWS\system32\mcrh.tmp
F:\WINDOWS\system32\packet.dll
F:\WINDOWS\system32\pthreadVC.dll
F:\WINDOWS\system32\qcwyuhqr.ini
F:\WINDOWS\system32\spnsvaku.ini
F:\WINDOWS\system32\tbtpkxxp.ini
F:\WINDOWS\system32\TvEeKnnn.ini
F:\WINDOWS\system32\TvEeKnnn.ini2
F:\WINDOWS\system32\tysdtssv.ini
F:\WINDOWS\system32\wanpacket.dll
F:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.

2008-05-19 20:00 . 2008-05-19 20:00 294 ---hs---- F:\WINDOWS\system32\jglfdxyk.ini
2008-05-19 19:14 . 2008-05-19 19:14 2,560 --a------ F:\WINDOWS\system32\grjtbyfs.exe
2008-05-19 19:11 . 2008-05-19 19:11 114,688 --a------ F:\WINDOWS\system32\kyxdflgj.dll
2008-05-19 19:09 . 2008-05-19 19:09 124,928 --a------ F:\WINDOWS\system32\orweiwet.dll
2008-05-19 18:52 . 2008-05-19 18:52 294 ---hs---- F:\WINDOWS\system32\xxoutavd.ini
2008-05-19 18:51 . 2008-05-19 18:51 114,688 --a------ F:\WINDOWS\system32\dvatuoxx.dll
2008-05-19 18:47 . 2008-05-19 18:47 29 --a------ F:\WINDOWS\system32\0000fdec
2008-05-19 18:31 . 2008-05-19 18:31 1,024 --ah----- F:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-19 14:51 . 2008-05-19 14:51 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-18 19:26 . 2008-05-18 19:26 117,248 --------- F:\WINDOWS\system32\rqhuywcq.dll
2008-05-18 19:20 . 2008-05-18 19:20 133,120 --a------ F:\WINDOWS\system32\oxybwylu.dll
2008-05-18 19:16 . 2008-05-18 19:16 124,928 --a------ F:\WINDOWS\system32\pmmnacbb.dll
2008-05-16 14:26 . 2008-05-16 14:26 125,952 --a------ F:\WINDOWS\system32\rickjcsr.dll
2008-05-15 14:26 . 2008-05-15 14:26 126,464 --a------ F:\WINDOWS\system32\xtfesiiv.dll
2008-05-15 14:26 . 2008-05-19 18:59 109,825 --a------ F:\WINDOWS\BM93c288e0.xml
2008-05-14 22:10 . 2008-05-14 22:10 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\WNR
2008-05-14 21:14 . 2008-05-14 21:14 369,664 --a------ F:\WINDOWS\system32\nnnKeEvT.dll
2008-05-14 21:12 . 2008-05-14 21:12 32 --a------ F:\WINDOWS\go
2008-05-14 21:09 . 2008-05-14 21:09 58,368 --------- F:\WINDOWS\system32\ljJYSjKA.dll
2008-05-14 20:57 . 2007-07-11 11:11 888,832 --a------ F:\WINDOWS\system32\securenet.dll
2008-05-05 13:45 . 2008-05-12 20:02 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2008-05-05 13:45 . 2008-05-05 13:45 1,409 --a------ F:\WINDOWS\QTFont.for
2008-04-28 18:17 . 2008-04-28 18:17 1,557 --a------ F:\WINDOWS\WinTeX_Toolbars.ini
2008-04-28 18:16 . 2008-04-28 18:17 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\WinTeX
2008-04-28 18:16 . 2008-04-28 18:16 370 --a------ F:\WINDOWS\WTEX_Default.REG
2008-04-28 14:22 . 2008-04-28 14:22 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MiKTeX
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\.clamwin
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\.clamwin
2008-04-21 15:03 . 2008-04-21 15:04 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Equation Wizard
2008-04-20 23:41 . 2008-04-20 23:41 <DIR> d-------- F:\WINDOWS\system32\LogFiles
2 Datei(en) . 263,168 F:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:49 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2008-05-16 13:32 --------- d--h--w F:\Programme\Zero G Registry
2008-05-05 11:57 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-04-20 21:28 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-16 22:58 --------- d-----w F:\Programme\Gemeinsame Dateien\DigiDesign
2008-04-15 16:07 --------- d-----w F:\Programme\VstPlugins
2008-04-15 15:11 74,752 ----a-w F:\WINDOWS\ST6UNST.EXE
2008-03-28 12:00 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PanoramaStudio
2008-03-06 00:19 368,640 ----a-w F:\WINDOWS\system32\ReWire.dll
2008-03-06 00:19 233,472 ----a-w F:\WINDOWS\system32\REX Shared Library.dll
2004-07-18 17:21 36,864 -csha-w F:\Programme\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-05-19_18.48.19.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 16:38:18 2,048 --s-a-w F:\WINDOWS\bootstat.dat
+ 2008-05-19 17:58:48 2,048 --s-a-w F:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12E1DC1A-C778-4C50-9F50-A5F948522EDA}]
2008-05-14 21:14 369664 --a------ F:\WINDOWS\system32\nnnKeEvT.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b20cf428-a804-4e97-8d8f-79d14a454a5f}]
2008-05-18 19:20 133120 --a------ F:\WINDOWS\system32\oxybwylu.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E707216F-6AFF-4BD4-962D-EC5CDBA812A1}]
2008-05-14 21:09 58368 --------- F:\WINDOWS\system32\ljJYSjKA.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"LDM"="D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-05-19 14:05 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"avgnt"="F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 14:50 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 15:54 77824 F:\WINDOWS\SOUNDMAN.EXE]
"VirtualCloneDrive"="D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"ClamWin"="K:\ClamWin\bin\ClamTray.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"f0a09522"="F:\WINDOWS\system32\vsstdsyt.dll" [ ]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2006-02-20 23:44 155648]
"000000af"="F:\WINDOWS\system32\kyxdflgj.dll" [2008-05-19 19:11 114688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"Windows_Protect"="winsystem.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E707216F-6AFF-4BD4-962D-EC5CDBA812A1}"= F:\WINDOWS\system32\ljJYSjKA.dll [2008-05-14 21:09 58368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr]
audmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJYSjKA]
ljJYSjKA.dll 2008-05-14 21:09 58368 F:\WINDOWS\system32\ljJYSjKA.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr]
F:\WINDOWS\System32\samsusrr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I263"= i263_32.drv
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=F:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1 EasyLogin]
D:\1&1 EasyLogin\EasyLogin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 D:\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 16:17 73728 D:\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
D:\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-08 15:03 278528 D:\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 01:58 1667584 F:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 11:50 155648 F:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-02-20 23:44 155648 F:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-08-06 15:33 2502656 D:\Yahoo!\Messenger\ypager.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=F:\WINDOWS\system32\ctfmon.exe
"LDM"=D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FineReader7NewsReaderPro"=D:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
"iTunesHelper"="D:\Itunes\iTunesHelper.exe"
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" -atboottime
"CTHelper"=CTHELPER.EXE
"CTxfiHlp"=CTXFIHLP.EXE
"MsgCenterExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
"Picasa Media Detector"=D:\Picasa2\PicasaMediaDetector.exe
"zBrowser Launcher"=D:\Logitech\iTouch\iTouch.exe
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"D:\\ICQ6ICQ6\\ICQ.exe"=
"F:\\WINDOWS\\system32\\javaw.exe"=
"D:\\Skype\\Skype.exe"=
"D:\\GetAnonymous 2.1 Professional\\GAPro.exe"=

R0 avgntmgr;avgntmgr;F:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 14:50]
R0 ElbyVCD;ElbyVCD;F:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 Pnp680;SiI 680 ATA Controller;F:\WINDOWS\system32\DRIVERS\pnp680.sys [2002-03-15 18:09]
R1 avgntdd;avgntdd;F:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 14:50]
R2 A4SII300;A4SII300;F:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R2 PGPmemlock;PGP secure memory driver;F:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-12-20 06:53]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-06-11 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-06-11 02:00]
S3 AWHelpServer;Alias Wavefront Help Server;D:\Maya5.0\docs\Wrapper.exe []
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);F:\WINDOWS\system32\DRIVERS\fdlubase.sys [2003-06-11 02:00]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;E:\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
S3 mple6docserver;Maya 6 PLE Documentation Server;"D:\Maya 6 ple\docs\wrapper.exe" -s "D:\Maya 6 ple\docs\Wrapper.conf" []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;F:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []
S3 RivaTuner;RivaTuner;D:\RivaTuner\RivaTuner.sys [2003-04-27 22:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 20:00:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


F:\WINDOWS\system32\jglfdxyk.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\system32\Ati2evxx.dll
-> F:\WINDOWS\system32\ljJYSjKA.dll

PROCESS: F:\WINDOWS\explorer.exe
-> F:\WINDOWS\system32\hookmod.dll
-> F:\WINDOWS\system32\kyxdflgj.dll
-> F:\WINDOWS\system32\nnnKeEvT.dll
-> Z:\Brockhaus\KapKey.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\drivers\CDANTSRV.EXE
F:\WINDOWS\system32\CTSVCCDA.EXE
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\rundll32.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\TXTUSER.EXE
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\notepad.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 20:06:34 - machine was rebooted [Besitzer]
ComboFix-quarantined-files.txt 2008-05-19 18:04:52

6 Verzeichnis(se), 221,495,296 Bytes frei
9 Verzeichnis(se), 210,751,488 Bytes frei

234



was sagt ihr dazu?
danke für euer engagement!

Alt 19.05.2008, 19:53   #11
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
F:\WINDOWS\system32\hookmod.dll
Z:\Brockhaus\KapKey.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12E1DC1A-C778-4C50-9F50-A5F948522EDA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b20cf428-a804-4e97-8d8f-79d14a454a5f}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E707216F-6AFF-4BD4-962D-EC5CDBA812A1}]
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{E707216F-6AFF-4BD4-962D-EC5CDBA812A1}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJYSjKA]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\samsusrr]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"f0a09522"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"000000af"=-


FILE::
F:\WINDOWS\system32\jglfdxyk.ini
F:\WINDOWS\system32\grjtbyfs.exe
F:\WINDOWS\system32\kyxdflgj.dll
F:\WINDOWS\system32\orweiwet.dll
F:\WINDOWS\system32\xxoutavd.ini
F:\WINDOWS\system32\dvatuoxx.dll
F:\WINDOWS\system32\0000fdec
F:\WINDOWS\system32\rqhuywcq.dll
F:\WINDOWS\system32\oxybwylu.dll
F:\WINDOWS\system32\pmmnacbb.dll
F:\WINDOWS\system32\rickjcsr.dll
F:\WINDOWS\system32\xtfesiiv.dll
F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\go
F:\WINDOWS\system32\ljJYSjKA.dll
F:\WINDOWS\system32\nnnKeEvT.dll
F:\WINDOWS\system32\vsstdsyt.dll
F:\WINDOWS\System32\samsusrr.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Geändert von Sunny (19.05.2008 um 20:00 Uhr)

Alt 19.05.2008, 21:03   #12
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



hookmod.dll


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.19 -
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 -
Panda 9.0.0.4 2008.05.19 -
Prevx1 V2 2008.05.19 -
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 -
weitere Informationen
File size: 77824 bytes
MD5...: b8cd32a1c61516a103c05eef8c82fb8c
SHA1..: b7cbd0ac0ec57f5f378c42e79079fa6ead2d8f46
SHA256: e3955bf291ac2ca80c8817ec5eb69a18732fb00f12aae92e0dac6c2d6dc897e1
SHA512: 06e068cdcc1f6450bc80a464f86e6cc9e1b235ad570d66e6b52677a56d5486f8
48677271ae2bac62936488ca5915962c92bedcbf63a01c45172f66d7833a11e3
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100032e6
timedatestamp.....: 0x3d34312f (Tue Jul 16 14:43:59 2002)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x79d0 0x8000 6.47 e6ca627823c6cf33c72ad9066269c80f
.rdata 0x9000 0x11b5 0x2000 3.56 6b5739ce65f7384c996ffbdce7dbfc94
.data 0xb000 0x537c 0x4000 1.57 0c599f313b723cc9b58272a12baf5ce5
.hmsh 0x11000 0xe0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x12000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x13000 0x1086 0x2000 2.62 fef7358400924bf123f3dd3ea4a80562

( 3 imports )
> KERNEL32.dll: GetThreadPriority, GetCurrentThread, SetFilePointer, CreateFileA, SetThreadPriority, GetCurrentThreadId, WaitForSingleObject, LocalFree, FormatMessageA, GetProcAddress, DeviceIoControl, ReleaseMutex, WideCharToMultiByte, lstrlenA, GetCurrentProcessId, CreateMutexA, GetLastError, OpenMutexA, OutputDebugStringA, CloseHandle, GetModuleHandleA, WriteFile, GetWindowsDirectoryA, GetVersion, GetVersionExA, HeapDestroy, RtlUnwind, LCMapStringW, GetStringTypeW, LCMapStringA, GetCommandLineA, GetModuleFileNameA, ExitProcess, TerminateProcess, GetCurrentProcess, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, HeapAlloc, HeapCreate, VirtualFree, HeapFree, InterlockedDecrement, InterlockedIncrement, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapReAlloc, VirtualAlloc, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeA, LoadLibraryA
> USER32.dll: CallNextHookEx, SendMessageA, GetWindowThreadProcessId, GetDesktopWindow, FindWindowA, TabbedTextOutA, DrawTextExA, DrawTextA, UnhookWindowsHookEx, TabbedTextOutW, SetWindowsHookExA, IsWindow, MapWindowPoints, GetClientRect, WindowFromDC, GetCursorPos
> GDI32.dll: ExtTextOutA, TextOutA, TextOutW, ExtTextOutW, BitBlt, StretchBlt, GetTextExtentExPointA, GetCurrentPositionEx, GetTextAlign, GetTextExtentPoint32A, GetDCOrgEx, GetViewportOrgEx

( 20 exports )
HM_destroy, HM_grab, HM_init, HM_patch, HM_patch_single, HM_patch_single_ex, HM_start, HM_stop, HM_unpatch, HM_unpatch_single, h_BitBlt, h_DrawTextA, h_DrawTextExA, h_ExtTextOutA, h_ExtTextOutW, h_StretchBlt, h_TabbedTextOutA, h_TabbedTextOutW, h_TextOutA, h_TextOutW




kapkey.dll
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.20.0 2008.05.19 -
AntiVir 7.8.0.19 2008.05.19 -
Authentium 5.1.0.4 2008.05.18 -
Avast 4.8.1195.0 2008.05.19 -
AVG 7.5.0.516 2008.05.19 -
BitDefender 7.2 2008.05.19 -
CAT-QuickHeal 9.50 2008.05.19 -
ClamAV 0.92.1 2008.05.19 -
DrWeb 4.44.0.09170 2008.05.19 -
eSafe 7.0.15.0 2008.05.19 -
eTrust-Vet 31.4.5796 2008.05.16 -
Ewido 4.0 2008.05.19 -
F-Prot 4.4.2.54 2008.05.14 -
F-Secure 6.70.13260.0 2008.05.19 -
Fortinet 3.14.0.0 2008.05.19 -
GData 2.0.7306.1023 2008.05.19 -
Ikarus T3.1.1.26.0 2008.05.19 -
Kaspersky 7.0.0.125 2008.05.19 -
McAfee 5298 2008.05.19 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3110 2008.05.19 -
Norman 5.80.02 2008.05.19 -
Panda 9.0.0.4 2008.05.19 -
Prevx1 V2 2008.05.19 -
Rising 20.45.02.00 2008.05.19 -
Sophos 4.29.0 2008.05.19 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.19 -
TheHacker 6.2.92.313 2008.05.19 -
VBA32 3.12.6.6 2008.05.19 -
VirusBuster 4.3.26:9 2008.05.19 -
Webwasher-Gateway 6.6.2 2008.05.19 -
weitere Informationen
File size: 32768 bytes
MD5...: 75318c8af3be5aedf82d4c9b13a121a5
SHA1..: 175a59948bd6fb76b1fd32636b5ae4af2b4d39ff
SHA256: ff11db1a9c2864ceb755404a1b4839e65fe341c4e23c48b36176eb4fd8018fa3
SHA512: b5cebbdcf1e6dbe8edde99bd315d32dc7be47b8519414a87772ea835db563045
0190f299a001e0aa3e60f06f790a8e3f4e1a7a874ed7d180128ebb70b205dfad
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012a9
timedatestamp.....: 0x3858bffd (Thu Dec 16 10:33:33 1999)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2c76 0x3000 6.27 61f104a6efca6c64817a2a2fc6e8918a
.rdata 0x4000 0x926 0x1000 3.57 08be53563cbd82b1cca7776a7e87c253
.data 0x5000 0x8e0 0x1000 0.64 af79723058a12b8282cce53131f02c48
.kksh 0x6000 0x10 0x1000 0.00 808dcb6ca11839e5be58a8fcfbf7a93d
.reloc 0x7000 0x4d4 0x1000 2.31 c2a3cd8ffbab4a7a8528c90dc8fb29d5

( 2 imports )
> USER32.dll: CallNextHookEx, GetAsyncKeyState, PostMessageA, SetWindowsHookExA, UnhookWindowsHookEx, IsWindow
> KERNEL32.dll: WideCharToMultiByte, GetEnvironmentStrings, RtlUnwind, GetStringTypeW, LCMapStringW, LCMapStringA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetStringTypeA, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, VirtualAlloc, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar

( 3 exports )
KapEnableKeyFn, KapKeyInit, KapKeyTerm

Alt 19.05.2008, 21:22   #13
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



ComboFix 08-05-15.3 - Besitzer 2008-05-19 22:07:24.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.446 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\go
F:\WINDOWS\system32\0000fdec
F:\WINDOWS\system32\dvatuoxx.dll
F:\WINDOWS\system32\grjtbyfs.exe
F:\WINDOWS\system32\jglfdxyk.ini
F:\WINDOWS\system32\kyxdflgj.dll
F:\WINDOWS\system32\ljJYSjKA.dll
F:\WINDOWS\system32\nnnKeEvT.dll
F:\WINDOWS\system32\orweiwet.dll
F:\WINDOWS\system32\oxybwylu.dll
F:\WINDOWS\system32\pmmnacbb.dll
F:\WINDOWS\system32\rickjcsr.dll
F:\WINDOWS\system32\rqhuywcq.dll
F:\WINDOWS\System32\samsusrr.dll
F:\WINDOWS\system32\vsstdsyt.dll
F:\WINDOWS\system32\xtfesiiv.dll
F:\WINDOWS\system32\xxoutavd.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\go
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\0000fdec
F:\WINDOWS\system32\dvatuoxx.dll
F:\WINDOWS\system32\grjtbyfs.exe
F:\WINDOWS\system32\jglfdxyk.ini
F:\WINDOWS\system32\kyxdflgj.dll
F:\WINDOWS\system32\ljJYSjKA.dll
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\system32\nnnKeEvT.dll
F:\WINDOWS\system32\orweiwet.dll
F:\WINDOWS\system32\oxybwylu.dll
F:\WINDOWS\system32\pmmnacbb.dll
F:\WINDOWS\system32\rickjcsr.dll
F:\WINDOWS\system32\rqhuywcq.dll
F:\WINDOWS\system32\TvEeKnnn.ini
F:\WINDOWS\system32\TvEeKnnn.ini2
F:\WINDOWS\system32\xtfesiiv.dll
F:\WINDOWS\system32\xxoutavd.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.

2008-05-19 22:14 . 2008-05-19 22:14 294 ---hs---- F:\WINDOWS\system32\nfxqeeaf.ini
2008-05-19 22:13 . 2008-05-19 22:14 109,803 --a------ F:\WINDOWS\BM93c288e0.xml
2008-05-19 22:13 . 2008-05-19 22:13 22 --a------ F:\WINDOWS\pskt.ini
2008-05-19 21:30 . 2008-05-19 21:30 2,560 --a------ F:\WINDOWS\system32\lcplfkjd.exe
2008-05-19 21:27 . 2008-05-19 21:27 114,688 --a------ F:\WINDOWS\system32\faeeqxfn.dll
2008-05-19 21:26 . 2008-05-19 21:26 124,928 --a------ F:\WINDOWS\system32\raepitpw.dll
2008-05-19 18:31 . 2008-05-19 18:31 1,024 --ah----- F:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-19 14:51 . 2008-05-19 14:51 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 22:10 . 2008-05-14 22:10 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\WNR
2008-05-14 20:57 . 2007-07-11 11:11 888,832 --a------ F:\WINDOWS\system32\securenet.dll
2008-05-05 13:45 . 2008-05-12 20:02 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2008-05-05 13:45 . 2008-05-05 13:45 1,409 --a------ F:\WINDOWS\QTFont.for
2008-04-28 18:17 . 2008-04-28 18:17 1,557 --a------ F:\WINDOWS\WinTeX_Toolbars.ini
2008-04-28 18:16 . 2008-04-28 18:17 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\WinTeX
2008-04-28 18:16 . 2008-04-28 18:16 370 --a------ F:\WINDOWS\WTEX_Default.REG
2008-04-28 14:22 . 2008-04-28 14:22 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MiKTeX
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\.clamwin
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\.clamwin
2008-04-21 15:03 . 2008-04-21 15:04 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Equation Wizard
2008-04-20 23:41 . 2008-04-20 23:41 <DIR> d-------- F:\WINDOWS\system32\LogFiles
2 Datei(en) . 263,168 F:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 12:49 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2008-05-16 13:32 --------- d--h--w F:\Programme\Zero G Registry
2008-05-05 11:57 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-04-20 21:28 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-16 22:58 --------- d-----w F:\Programme\Gemeinsame Dateien\DigiDesign
2008-04-15 16:07 --------- d-----w F:\Programme\VstPlugins
2008-04-15 15:11 74,752 ----a-w F:\WINDOWS\ST6UNST.EXE
2008-03-28 12:00 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PanoramaStudio
2004-07-18 17:21 36,864 -csha-w F:\Programme\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-05-19_18.48.19.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 16:38:18 2,048 --s-a-w F:\WINDOWS\bootstat.dat
+ 2008-05-19 20:12:52 2,048 --s-a-w F:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"LDM"="D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-05-19 14:05 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"avgnt"="F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 14:50 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 15:54 77824 F:\WINDOWS\SOUNDMAN.EXE]
"VirtualCloneDrive"="D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"ClamWin"="K:\ClamWin\bin\ClamTray.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"f0a09522"="F:\WINDOWS\system32\vsstdsyt.dll" [ ]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2006-02-20 23:44 155648]
"000000af"="F:\WINDOWS\system32\faeeqxfn.dll" [2008-05-19 21:27 114688]
"BM93c288e0"="F:\WINDOWS\system32\raepitpw.dll" [2008-05-19 21:26 124928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"Windows_Protect"="winsystem.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr]
audmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I263"= i263_32.drv
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=F:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1 EasyLogin]
D:\1&1 EasyLogin\EasyLogin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 D:\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 16:17 73728 D:\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
D:\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-08 15:03 278528 D:\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 01:58 1667584 F:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 11:50 155648 F:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-02-20 23:44 155648 F:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-08-06 15:33 2502656 D:\Yahoo!\Messenger\ypager.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=F:\WINDOWS\system32\ctfmon.exe
"LDM"=D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FineReader7NewsReaderPro"=D:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
"iTunesHelper"="D:\Itunes\iTunesHelper.exe"
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" -atboottime
"CTHelper"=CTHELPER.EXE
"CTxfiHlp"=CTXFIHLP.EXE
"MsgCenterExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
"Picasa Media Detector"=D:\Picasa2\PicasaMediaDetector.exe
"zBrowser Launcher"=D:\Logitech\iTouch\iTouch.exe
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"D:\\ICQ6ICQ6\\ICQ.exe"=
"F:\\WINDOWS\\system32\\javaw.exe"=
"D:\\Skype\\Skype.exe"=
"D:\\GetAnonymous 2.1 Professional\\GAPro.exe"=

R0 avgntmgr;avgntmgr;F:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 14:50]
R0 ElbyVCD;ElbyVCD;F:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 Pnp680;SiI 680 ATA Controller;F:\WINDOWS\system32\DRIVERS\pnp680.sys [2002-03-15 18:09]
R1 avgntdd;avgntdd;F:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 14:50]
R2 A4SII300;A4SII300;F:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R2 PGPmemlock;PGP secure memory driver;F:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-12-20 06:53]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-06-11 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-06-11 02:00]
S3 AWHelpServer;Alias Wavefront Help Server;D:\Maya5.0\docs\Wrapper.exe []
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);F:\WINDOWS\system32\DRIVERS\fdlubase.sys [2003-06-11 02:00]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;E:\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
S3 mple6docserver;Maya 6 PLE Documentation Server;"D:\Maya 6 ple\docs\wrapper.exe" -s "D:\Maya 6 ple\docs\Wrapper.conf" []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;F:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []
S3 RivaTuner;RivaTuner;D:\RivaTuner\RivaTuner.sys [2003-04-27 22:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 22:13:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\system32\Ati2evxx.dll

PROCESS: F:\WINDOWS\explorer.exe
-> F:\WINDOWS\system32\faeeqxfn.dll
-> F:\WINDOWS\system32\hookmod.dll
-> F:\WINDOWS\system32\raepitpw.dll
-> Z:\Brockhaus\KapKey.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\drivers\CDANTSRV.EXE
F:\WINDOWS\system32\CTSVCCDA.EXE
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\rundll32.exe
F:\WINDOWS\system32\rundll32.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\TXTUSER.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 22:19:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-19 20:19:13
ComboFix2.txt 2008-05-19 18:06:36

6 Verzeichnis(se), 195,805,184 Bytes frei
8 Verzeichnis(se), 185,245,696 Bytes frei

224

Alt 20.05.2008, 16:29   #14
Sunny
Administrator
> Competence Manager
 

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Icon26

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"f0a09522"=-
"000000af"=-
"BM93c288e0"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows_Protect"=-

FILE::
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\lcplfkjd.exe
F:\WINDOWS\system32\faeeqxfn.dll
F:\WINDOWS\system32\raepitpw.dll
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.05.2008, 14:36   #15
zijon
 
TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Standard

TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich



combofix
ComboFix 08-05-15.3 - Besitzer 2008-05-21 1:34:41.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.486 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\faeeqxfn.dll
F:\WINDOWS\system32\lcplfkjd.exe
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\system32\raepitpw.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\BM93c288e0.xml
F:\WINDOWS\pskt.ini
F:\WINDOWS\system32\faeeqxfn.dll
F:\WINDOWS\system32\lcplfkjd.exe
F:\WINDOWS\system32\nfxqeeaf.ini
F:\WINDOWS\system32\raepitpw.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-19 18:31 . 2008-05-19 18:31 1,024 --ah----- F:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
2008-05-19 14:51 . 2008-05-19 14:51 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-14 22:10 . 2008-05-14 22:10 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\WNR
2008-05-14 20:57 . 2007-07-11 11:11 888,832 --a------ F:\WINDOWS\system32\securenet.dll
2008-05-05 13:45 . 2008-05-12 20:02 54,156 --ah----- F:\WINDOWS\QTFont.qfn
2008-05-05 13:45 . 2008-05-05 13:45 1,409 --a------ F:\WINDOWS\QTFont.for
2008-04-28 18:17 . 2008-04-28 18:17 1,557 --a------ F:\WINDOWS\WinTeX_Toolbars.ini
2008-04-28 18:16 . 2008-04-28 18:17 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\WinTeX
2008-04-28 18:16 . 2008-04-28 18:16 370 --a------ F:\WINDOWS\WTEX_Default.REG
2008-04-28 14:22 . 2008-04-28 14:22 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MiKTeX
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\.clamwin
2008-04-21 16:35 . 2008-04-21 16:35 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\.clamwin
2008-04-21 15:03 . 2008-04-21 15:04 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Equation Wizard
2008-04-20 23:41 . 2008-04-20 23:41 <DIR> d-------- F:\WINDOWS\system32\LogFiles
2 Datei(en) . 263,168 F:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 23:31 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-05-19 12:49 --------- d-----w F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-18 17:24 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2008-05-16 13:32 --------- d--h--w F:\Programme\Zero G Registry
2008-05-05 11:57 --------- d-----w F:\Programme\Gemeinsame Dateien\Adobe
2008-04-20 21:28 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-16 22:58 --------- d-----w F:\Programme\Gemeinsame Dateien\DigiDesign
2008-04-15 16:07 --------- d-----w F:\Programme\VstPlugins
2008-04-15 15:11 74,752 ----a-w F:\WINDOWS\ST6UNST.EXE
2008-03-28 12:00 --------- d-----w F:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PanoramaStudio
2004-07-18 17:21 36,864 -csha-w F:\Programme\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-05-19_18.48.19.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 16:38:18 2,048 --s-a-w F:\WINDOWS\bootstat.dat
+ 2008-05-20 23:38:39 2,048 --s-a-w F:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="D:\ICQ6ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"LDM"="D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2004-05-19 14:05 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"avgnt"="F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 14:50 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-12-01 15:54 77824 F:\WINDOWS\SOUNDMAN.EXE]
"VirtualCloneDrive"="D:\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 15:21 94208]
"ClamWin"="K:\ClamWin\bin\ClamTray.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2006-02-20 23:44 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr]
audmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I263"= i263_32.drv
"SENTINEL"= snti386.dll

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=F:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1&1 EasyLogin]
D:\1&1 EasyLogin\EasyLogin.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
--a------ 2002-11-02 08:33 45056 D:\CloneCD\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2002-12-02 16:17 73728 D:\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
D:\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-02-08 15:03 278528 D:\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-08-04 01:58 1667584 F:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a--c--- 2001-07-09 11:50 155648 F:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-02-20 23:44 155648 F:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start WingMan Profiler]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2004-08-06 15:33 2502656 D:\Yahoo!\Messenger\ypager.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=F:\WINDOWS\system32\ctfmon.exe
"LDM"=D:\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FineReader7NewsReaderPro"=D:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
"iTunesHelper"="D:\Itunes\iTunesHelper.exe"
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" -atboottime
"CTHelper"=CTHELPER.EXE
"CTxfiHlp"=CTXFIHLP.EXE
"MsgCenterExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
"Picasa Media Detector"=D:\Picasa2\PicasaMediaDetector.exe
"zBrowser Launcher"=D:\Logitech\iTouch\iTouch.exe
"TkBellExe"="F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"D:\\ICQ6ICQ6\\ICQ.exe"=
"F:\\WINDOWS\\system32\\javaw.exe"=
"D:\\GetAnonymous 2.1 Professional\\GAPro.exe"=
"D:\\Skype\\Skype.exe"=

R0 avgntmgr;avgntmgr;F:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 14:50]
R0 ElbyVCD;ElbyVCD;F:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R0 Pnp680;SiI 680 ATA Controller;F:\WINDOWS\system32\DRIVERS\pnp680.sys [2002-03-15 18:09]
R1 avgntdd;avgntdd;F:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 14:50]
R2 A4SII300;A4SII300;F:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R2 PGPmemlock;PGP secure memory driver;F:\WINDOWS\system32\drivers\PGPmemlock.sys [1999-12-20 06:53]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2003-06-11 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;F:\WINDOWS\system32\DRIVERS\avmndsl.sys [2003-06-11 02:00]
S3 AWHelpServer;Alias Wavefront Help Server;D:\Maya5.0\docs\Wrapper.exe []
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);F:\WINDOWS\system32\DRIVERS\fdlubase.sys [2003-06-11 02:00]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;E:\samplitude7_pro\mxasio.sys [2002-04-16 13:10]
S3 mple6docserver;Maya 6 PLE Documentation Server;"D:\Maya 6 ple\docs\wrapper.exe" -s "D:\Maya 6 ple\docs\Wrapper.conf" []
S3 NETFWDSL;AVM FRITZ!web DSL PPP;F:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []
S3 RivaTuner;RivaTuner;D:\RivaTuner\RivaTuner.sys [2003-04-27 22:00]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://w*w.gmer.net
Rootkit scan 2008-05-21 01:39:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\system32\Ati2evxx.dll

PROCESS: F:\WINDOWS\explorer.exe
-> F:\WINDOWS\system32\hookmod.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\drivers\CDANTSRV.EXE
F:\WINDOWS\system32\CTSVCCDA.EXE
F:\WINDOWS\system32\ati2evxx.exe
F:\WINDOWS\system32\wscntfy.exe
Z:\Brockhaus\pgbmm.exe
F:\WINDOWS\system32\TXTUSER.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-21 1:44:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-20 23:44:39
ComboFix2.txt 2008-05-19 20:19:57
ComboFix3.txt 2008-05-19 18:06:36

6 Verzeichnis(se), 191,508,480 Bytes frei
8 Verzeichnis(se), 182,312,960 Bytes frei

184



Anti Malware

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 772

Scan Art: Komplett Scan (D:\|E:\|F:\|G:\|Z:\|)
Objekte gescannt: 524736
Scan Dauer: 2 hour(s), 5 minute(s), 43 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
F:\QooBox\Quarantine\F\WINDOWS\system32\dvatuoxx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\QooBox\Quarantine\F\WINDOWS\system32\faeeqxfn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\QooBox\Quarantine\F\WINDOWS\system32\kyxdflgj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP258\A0049916.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP260\A0050083.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP260\A0050086.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{5AAEBC11-95E7-45EE-9737-C88483B24BCB}\RP262\A0050202.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
Z:\Toontrack\EZDrummer\EZX_Nashville\Sounds\SnareTop\SD13_01_DS_FH_L_S08.wav (Trojan.Clicker) -> Quarantined and deleted successfully.
Z:\°\Proxy tools pak\Hide.IP.Platinum.v2.8.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.


hab ich es nun überstadnen?
ich bin wirklich unglaublich dankbar für eure Hilfe!

Antwort

Themen zu TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich
ad-aware, adobe, anonymous, antivir, appinit_dlls, avira, computer, ctfmon.exe, desktop, dringend, drivers, explorer, file, firefox, help, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, object, programme, rundll, server, software, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, urlsearchhook, warnung, windows, windows\system32\drivers



Ähnliche Themen: TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich


  1. Kaum Filme möglich, Links o. I-net Seiten dreimal anclicken, schlechte Funktion
    Plagegeister aller Art und deren Bekämpfung - 14.04.2015 (15)
  2. Notebook reagiert verzögert und hängt sich auf, scrollen ist kaum möglich - sehr langsam
    Plagegeister aller Art und deren Bekämpfung - 29.06.2014 (7)
  3. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  4. Massiver Virenbefall auf Laptop, Starten kaum mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 22.09.2013 (3)
  5. Notebook spielt verrückt - Kein Internetverbindung mehr möglich - lässt sich kaum noch bedienen
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (11)
  6. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  7. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  8. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  9. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  10. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  11. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  12. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  13. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  14. Internet sehr langsam, kaum ein Download mehr möglich / Log file speichern geht nicht
    Log-Analyse und Auswertung - 30.05.2010 (0)
  15. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  16. Arbeiten kaum noch möglich!!!!
    Log-Analyse und Auswertung - 24.10.2007 (9)
  17. PC<--ruckelt<--sehr langsam<--Arbeiten kaum mehr möglich. Bitte um Hilfe
    Alles rund um Windows - 17.10.2006 (4)

Zum Thema TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich - Hi zusammen! Ich habe mich nun über die letzten Paar Tage ein wenig über meinen Plagegeist schlau gemacht und gemerkt, dass die von Antivir doch so freundliche Warnung, die bei - TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.