Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen - Noch ein Fall!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.05.2008, 16:25   #1
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon27

TR/Crypt.XPACK.Gen - Noch ein Fall!



Hallo!

Heute hat mir ein Freund den Rechner seiner Tochter vorbeigebracht, weil
AntiVir Arlam schlaegt. Ist ne Menge Zeuch installiert, von deren Existenz
ich nicht mal wusste - was man als Teen halt so braucht.
Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.
Hat jemand ein paar Tipps, wie ich das Ding wieder halbwegs sauber bekomme
und wieder mit halbwegs gutem Gewissen zurueck geben kann?

Hier das Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:49, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe
C:\Programme\DNT\SimHID\SimHID.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
c:\programme\gemeinsame dateien\installshield\updateservice\isuspm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
C:\Dokumente und Einstellungen\Jacky\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
R3 - URLSearchHook: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O2 - BHO: (no name) - {0E7898A6-81BA-4094-A620-AE77DB37C8D5} - C:\WINDOWS\system32\hgGxUklJ.dll (file missing)
O2 - BHO: {609b4c25-01b5-e779-80d4-04433b75cb96} - {69bc57b3-3440-4d08-977e-5b1052c4b906} - C:\WINDOWS\system32\sfhfcewy.dll (file missing)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [HotbarOE] C:\Programme\Hotbar\bin\10.0.368.0\OEAddOn.exe
O4 - HKLM\..\Run: [HotbarSA] "C:\Programme\Hotbar\bin\10.0.368.0\HotbarSA.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\ldlgatht.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WeatherDPA] "C:\Programme\Hotbar\bin\10.0.368.0\Weather.exe" -auto
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\DNT\SimHID\SimHID.exe
O4 - Global Startup: Tenda TWL541U.lnk = C:\Programme\Tenda\TWL541U\Mrv8000x.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.bigfishgames.com/online/chainz2/mjolauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O20 - Winlogon Notify: jkkKecyx - C:\WINDOWS\SYSTEM32\jkkKecyx.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 10544 bytes


Vielen Dank!

Alt 24.05.2008, 17:48   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon32

TR/Crypt.XPACK.Gen - Noch ein Fall!



Zitat:
Grundsaetzlich bin ich ja immer fuer Format C: und Neuinstallation, aber
dass soll auf keinen Fall passieren.
Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?

C:\WINDOWS\SYSTEM32\jkkKecyx.dll
C:\WINDOWS\system32\ldlgatht.dll


Werte diese Dateien bei Virustotal.com aus und poste die Ergebnisse. Danach sehen wir weiter.
__________________

__________________

Alt 24.05.2008, 20:31   #3
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



Zitat:
Zitat von root24 Beitrag anzeigen
Warum nicht? Was spricht dafür, daß zwingend bereinigt werden muß?
Toechterchen muss unbedingt ihre "lebenswichtigen" Kommunikationstools
mit ihren Einstellungen behalten.

Also let's go...

Zitat:
Datei ldlgatht.VIR000 empfangen 2008.05.24 20:20:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/32 (65.63%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.24 TR/Monder.DU
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.24 Win32:Monder-V
AVG 7.5.0.516 2008.05.24 Generic10.XOJ
BitDefender 7.2 2008.05.24 Trojan.Vundo.ELY
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV None 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 Suspicious File
eTrust-Vet 31.4.5817 2008.05.23 Win32/Vundo!generic
Ewido 4.0 2008.05.24 -
F-Prot 4.4.4.56 2008.05.23 W32/Virtumonde.R.gen!Eldorado
F-Secure 6.70.13260.0 2008.05.23 Vundo.gen177
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 Trojan.Win32.Monder.du
Ikarus T3.1.1.26.0 2008.05.24 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.05.24 Trojan.Win32.Monder.du
McAfee 5302 2008.05.23 Vundo.gen.c
Microsoft 1.3520 2008.05.24 Trojan:Win32/Vundo.FBP
NOD32v2 3128 2008.05.23 Win32/Adware.Virtumonde
Norman 5.80.02 2008.05.23 W32/Virtumonde.VLQ
Panda 9.0.0.4 2008.05.24 -
Prevx1 V2 2008.05.24 Cloaked Malware
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 Troj/Virtum-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 Trojan.Vundo
TheHacker 6.2.92.318 2008.05.23 Trojan/Monder.du
VBA32 3.12.6.6 2008.05.24 Trojan.Win32.Monder.du
VirusBuster 4.3.26:9 2008.05.24 -
Webwasher-Gateway 6.6.2 2008.05.24 Trojan.Monder.DU
weitere Informationen
File size: 92224 bytes
MD5...: 129546aba5149302553b3e08fd44dd52
SHA1..: 14cc2390da97d13228bd3031823a130926224196
SHA256: 4e703c85d6ca1978a3302200412d9eedf82bc7a16e61b54284457d2bc119fd1a
SHA512: 74f9c9b2466ba0030d5194bc2e94842795c996656207ec711064205ea2750644
72dfc44be064d59cc6e630dcec07cf6a41fdc223d09c7503ae6af071622ccc73
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100068c6
timedatestamp.....: 0xd335b799L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x5c00 7.77 79670fbfaccbfc5d85e71c897f292422
.data 0x19000 0x10000 0x10000 7.99 a9adeeba3309de5bbb43abf3f1125f51
.rdata 0x29000 0x1000 0x400 6.38 85027e8bed4ac884a25228835906ba3b
.idata 0x2a000 0x1000 0x400 0.77 8d4f4f05d98bec0aacc67b269e791438

( 1 imports )
> kernel32.dll: SleepEx, TlsAlloc, lstrlenA, ExitProcess

( 0 exports )
Prevx info: 61056511.VIR - Prevx
Zitat:
Die Datei wurde bereits analysiert:
MD5: 22c6b53ad7900203ca7bd688905a8435
First received: 2008.03.25 13:30:50 (CET)
Datum 2008.05.01 06:46:48 (CET) [>23D]
Ergebnisse 20/32
Permalink: analisis/b574b806b7d41729df8ad7933c7aab96
Zitat:
Datei jkkKecyx.dll empfangen 2008.05.01 06:46:48 (CET)
Status: Beendet
Ergebnis: 20/32 (62.50%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Crypt-BJR
AVG - - Generic10.FSO
BitDefender - - Trojan.Vundo.EEN
CAT-QuickHeal - - Trojan.Vundo.bhh
ClamAV - - Trojan.Vundo-2376
DrWeb - - -
eSafe - - -
eTrust-Vet - - Win32/Vundo.VQ
Ewido - - -
F-Prot - - W32/Virtumonde.N.gen!Eldorado
F-Secure - - -
FileAdvisor - - -
Fortinet - - Virtum!tr
Ikarus - - Trojan.Vundo.EEN
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Vundo.gen!F
NOD32v2 - - Win32/Adware.Virtumonde
Norman - - W32/Vundo.BK
Panda - - Generic Trojan
Prevx1 - - SpywareQuake
Rising - - Trojan.Win32.Undef.fft
Sophos - - Troj/Virtum-Gen
Sunbelt - - Virtumonde
Symantec - - -
TheHacker - - -
VBA32 - - Win32.Adware.Virtumonde
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen#ASPack
weitere Informationen
MD5: 22c6b53ad7900203ca7bd688905a8435
SHA1: 98a0dc42c01b65bd35024ddf04aad15dccfd6eed
SHA256: 0569e7b51b3e0120bee62fe1ca0760cb16aac3fd9cf817a78e80cd840adb3010
SHA512: 0b36b10e5baa0d4ae2af0bd2703d5971e7b86298d8c1ad327608865f86ab73261443edafe870742500fd4810180d528a020df16cfaee1ad20e4a30e8cd43a9b8
Gibts ne Chance?
__________________

Alt 24.05.2008, 20:41   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Blinzeln

TR/Crypt.XPACK.Gen - Noch ein Fall!



Probieren wirs mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.05.2008, 04:06   #5
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



OK - abgearbeitet - mit maessigem Erfolg.

Mit CCleaner schien alles gut zu laufen.

Mit ComboFix zunaechst auch.
Nach dem von ComboFix initierten Neustart war zu lesen...

Zitat:
Bereite Logdatei vor - Starte keine Programme.........
AntiVir melde sich schon..TR/Crypt.XPACK.Gen

ComboFix

Zitat:
Fast Fertig - Dieses Bild wird sich in kuerze schliessen...
Bitte warten sie ein paar Sekunden, damit das log geoeffnet wird....
Die anderen "zig-Autostart-Programme" starten natuerlich auch.

Logfile-Fenster geht auf und ich starte den Versuch uber den einzigen
Browser (IE) hier das logfile zu posten. Nach kurzer Zeit, warnt der IE vor
Viren und Trojanern und will Software installieren und scannen. Ich "No"

Dann nochmal Neustart und AntiVir sagt wieder "TR/Crypt.XPACK.Gen" und
jetzt auch noch "TR/Vundo.Gen".

Der ComboFix Logfile scheint auch nicht mehr Board-konform ausgegallen zu
sein.

Zitat:
1. Der Text, den Sie eingegeben haben, besteht aus 202776 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen.
Deshalb mal hier mal unkonventionell zu Ansicht:

http://www.gigasoft.biz/combotext.txt


Alt 25.05.2008, 13:59   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon32

TR/Crypt.XPACK.Gen - Noch ein Fall!



Hast Du vor Combofix denn auch Virenscannerwächter temp. deaktiviert? Solltest Du lt. der Anleitung!

Mit combofix alleine kannst Du nicht alles bereinigen, man muß noch manuell alles durchschauen und ggf. noch vorhandene schädliche Dateien löschen. Ich meld mich daher noch wie du da vorgehen solltest.
__________________
--> TR/Crypt.XPACK.Gen - Noch ein Fall!

Alt 25.05.2008, 14:36   #7
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



yepp, AntiVir war deativiert - stand ja in der Anleitung.

Nach dem von ComboFix verursachten Neustart war es natuerlich wieder aktiv.

Auf jeden Fall schonmal Vielen Dank fuer die Muehe die Du Dir machst!!!


Alt 25.05.2008, 14:47   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon32

TR/Crypt.XPACK.Gen - Noch ein Fall!



Okay - werte mal diese Dateien bei Virustotal aus. AntiVir-Wächter davor wieder temp. deaktivieren, damit der nichts beeinflußt:

C:\WINDOWS\system32\mswstr10.dll
C:\WINDOWS\system32\msjint40.dll


Schmeiß auch mal das Norton-Geraffel vom System. Bleib bei AntiVir. Mehrere Virenscanner gleichzeitig sind mehr als ungünstig!

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.06.2008, 12:57   #9
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



Hallo, da bin ich wieder.
Sorry aber ein unfreiwilliger Krankenhausaufenthalt hat mich leider aufgehalten.

Nun moechte ich nochmal einen Versuch starten. Die Kiste stand jetzt die
ganze Zeit unangefasst in der Ecke.

Die beiden dll's habe ich jetzt mal bei Virus-Total hochgeladen und bekam die
Anwort, das sie schonmal anylisiert wurden. Hier die Ergebnisse:
Virustotal. MD5: 8e6d307331625b7b8a846773d36982a2
Virustotal. MD5: 1645928aeda951e72a958bf766cf33d3

Norton deinstallieren und dieses Script starten, wird schwierig - mittlerweile
gehen nach dem Start 60-70 Virenmeldungen von AntiVir auf und legen den
Rechner ziemlich lahm. Die beiden Dateien habe ich jetzt im abgesicherten
Modus runtergeholt.

Gibts noch eine Chance - mittlerweile ist es nur noch sportlicher Ehrgeiz!

Alt 24.06.2008, 16:42   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon32

TR/Crypt.XPACK.Gen - Noch ein Fall!



Von einem Virenscanner solltest Du Dich aber auf jedenfall trennen. Da würde ich definitiv den Norton wegschmeißen, deaktivier AntiVir notfalls solange.

Folge mal bitte meinem DSS-Link in meiner Signatur und beachte die Anweisungen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 25.06.2008, 14:44   #11
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



Hallo,

so Norton ist runter!

Das DSS ergab folgendes:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 25.06.2008, 15:18   #12
Alonzo
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Standard

TR/Crypt.XPACK.Gen - Noch ein Fall!



Sorry, das war micht nicht klar. Ich hoffe, so geht es in Ordnung.


Zitat:
Deckard's System Scanner v20071014.68
Run by Jacky on 2008-06-25 14:32:52
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
16: 2008-06-25 12:32:58 UTC - RP210 - Deckard's System Scanner Restore Point
15: 2008-06-25 12:24:51 UTC - RP209 - Software Distribution Service 3.0
14: 2008-06-22 11:12:03 UTC - RP208 - Software Distribution Service 3.0
13: 2008-06-22 11:06:15 UTC - RP207 - Software Distribution Service 3.0
12: 2008-05-25 01:12:44 UTC - RP206 - Software Distribution Service 3.0


-- First Restore Point --
1: 2008-05-25 00:55:59 UTC - RP195 - Uniblue RegistryBooster


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Jacky.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:02, on 25.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\USB Disk Win98 Driver\Res.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\DNT\SimHID\SimHID.exe
C:\Programme\Tenda\TWL541U\Mrv8000x.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Jacky\Desktop\dss.exe
C:\DOKUME~1\Jacky\Desktop\Jacky.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
R3 - URLSearchHook: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O2 - BHO: (no name) - {547994C0-7E9B-43D6-AC14-1403C8D638D6} - C:\WINDOWS\system32\xxyxvwUm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {646517fc-0150-fd7a-6a24-550646877b6f} - {f6b77864-6055-42a6-a7df-0510cf715646} - C:\WINDOWS\system32\facarnsq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\5225\toolbaru.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\tprpbfne.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: SimHID.lnk = C:\Programme\DNT\SimHID\SimHID.exe
O4 - Global Startup: Tenda TWL541U.lnk = C:\Programme\Tenda\TWL541U\Mrv8000x.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - h**p://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - h**p://www.bigfishgames.com/online/chainz2/mjolauncher.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://w*w.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69236993-D90D-407B-8F6B-AA4712DD722C}: NameServer = 192.168.6.1
O20 - Winlogon Notify: jkkKecyx - jkkKecyx.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8776 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil(c)>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows (R) 2000 DDK driver>
R3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys
R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>
R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

S3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>
S3 BTNetFilter (Bluetooth Network Filter) - c:\windows\system32\drivers\btnetfilter.sys
S3 MRV6X32U (Vista 32-bits Native WiFi Driver - USB) - c:\windows\system32\drivers\mrvw23b.sys <Not Verified; Tenda, Inc; Device driver for Tenda 802.11 NIC>
S3 MRVW225 (Tenda TWL541U Wireless LAN Dirver for Windows XP) - c:\windows\system32\drivers\mrvw225.sys <Not Verified; Tenda, Inc; Tenda TWL541U Cilent Adapter-USB>
S3 UIUSys (Conexant Setup API) - c:\windows\system32\drivers\uiusys.sys <Not Verified; Tenda, Inc; TEM5630P>
S3 USB28xxBGA (USB 2881 Device) - c:\windows\system32\drivers\embda.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>
S3 USB28xxOEM (USB 28xx OEM Filter) - c:\windows\system32\drivers\emoem.sys <Not Verified; eMPIA Technology, Inc.; USB 28xx Device>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 CLCapSvc (CyberLink Background Capture Service (CBCS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clcapsvc.exe" <Not Verified; ; CLCapSvc Module>
R2 CLSched (CyberLink Task Scheduler (CTS)) - "c:\programme\cyberlink\powercinema\kernel\tv\clsched.exe" <Not Verified; ; CLSched Module>
R2 CyberLink Media Library Service - "c:\programme\cyberlink\shared files\clml_ntservice\clmlserver.exe" <Not Verified; Cyberlink; Cyberlink Media Library Server>
R3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

S2 BlueSoleil Hid Service - c:\programme\ivt corporation\bluesoleil\btntservice.exe (file missing)
S3 gusvc (Google Updater Service) - "c:\programme\google\common\google updater\googleupdaterservice.exe" (file missing)


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: PCI-Kommunikationscontroller (einfach)
Device ID: PCI\VEN_E159&DEV_0001&SUBSYS_00038086&REV_00\3&13C0B0C5&0&48
Manufacturer:
Name: PCI-Kommunikationscontroller (einfach)
PNP Device ID: PCI\VEN_E159&DEV_0001&SUBSYS_00038086&REV_00\3&13C0B0C5&0&48
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Audiocontroller für Multimedia
Device ID: PCI\VEN_1106&DEV_3059&SUBSYS_A2371297&REV_50\3&13C0B0C5&0&8D
Manufacturer:
Name: Audiocontroller für Multimedia
PNP Device ID: PCI\VEN_1106&DEV_3059&SUBSYS_A2371297&REV_50\3&13C0B0C5&0&8D
Service:


-- Files created between 2008-05-25 and 2008-06-25 -----------------------------

2008-05-25 03:04:59 105024 --a------ C:\WINDOWS\system32\facarnsq.dll
2008-05-25 03:04:55 94784 --a------ C:\WINDOWS\system32\tprpbfne.dll
2008-05-25 02:56:47 2624 --a------ C:\WINDOWS\system32\bnutlamn.exe
2008-05-25 02:56:39 102464 --a------ C:\WINDOWS\system32\nowhqelq.dll
2008-05-25 02:55:49 330931 --ahs---- C:\WINDOWS\system32\mUwvxyxx.ini2
2008-05-25 02:55:46 316128 --a------ C:\WINDOWS\system32\xxyxvwUm.dll
2008-05-25 02:22:54 0 d-------- C:\cmdcons
2008-05-25 02:21:05 68096 --a------ C:\WINDOWS\zip.exe
2008-05-25 02:21:05 49152 --a------ C:\WINDOWS\VFind.exe
2008-05-25 02:21:05 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-05-25 02:21:05 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-05-25 02:21:05 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-05-25 02:21:05 98816 --a------ C:\WINDOWS\sed.exe
2008-05-25 02:21:05 80412 --a------ C:\WINDOWS\grep.exe
2008-05-25 02:21:05 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-05-25 02:12:02 0 d-------- C:\Programme\CCleaner


-- Find3M Report ---------------------------------------------------------------

2008-06-25 14:28:45 440764 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-25 14:28:45 85738 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-25 14:25:33 0 d-------- C:\Programme\Norton Security Scan
2008-06-25 14:25:28 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-25 14:23:53 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-05-14 21:36:56 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-14 21:32:24 0 d-------- C:\Programme\BearShare Applications
2008-05-14 21:31:19 0 d-------- C:\Programme\Azureus


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{547994C0-7E9B-43D6-AC14-1403C8D638D6}]
25.05.2008 02:55 316128 --a------ C:\WINDOWS\system32\xxyxvwUm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
C:\WINDOWS\system32\jkkKecyx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f6b77864-6055-42a6-a7df-0510cf715646}]
25.05.2008 03:04 105024 --a------ C:\WINDOWS\system32\facarnsq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [27.07.2004 16:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [27.07.2004 16:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [12.07.2007 04:00]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [23.03.2007 13:20]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [14.05.2007 10:27]
"USB Storage Toolbox"="C:\Programme\USB Disk Win98 Driver\Res.EXE" [14.09.2005 20:44]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [14.05.2008 20:07]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [16.03.2007 11:45]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [25.07.2007 01:33]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [20.06.2005 05:32]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16]
"988c834f"="C:\WINDOWS\system32\tprpbfne.dll" [25.05.2008 03:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 14:00]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 12:34]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Nokia.PCSync"=C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [17.08.2007 22:57:56]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
SimHID.lnk - C:\Programme\DNT\SimHID\SimHID.exe [25.08.2007 23:42:15]
Tenda TWL541U.lnk - C:\Programme\Tenda\TWL541U\Mrv8000x.exe [06.10.2007 00:30:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\jkkKecyx.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKecyx]
jkkKecyx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\xxyxvwUm.dll




-- End of Deckard's System Scanner: finished at 2008-06-25 14:35:04 ------------

Alt 26.06.2008, 19:29   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
TR/Crypt.XPACK.Gen - Noch ein Fall! - Icon32

TR/Crypt.XPACK.Gen - Noch ein Fall!



Da ist noch einiges:

Code:
ATTFilter
O2 - BHO: (no name) - {547994C0-7E9B-43D6-AC14-1403C8D638D6} - C:\WINDOWS\system32\xxyxvwUm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\jkkKecyx.dll (file missing)
O2 - BHO: {646517fc-0150-fd7a-6a24-550646877b6f} - {f6b77864-6055-42a6-a7df-0510cf715646} - C:\WINDOWS\system32\facarnsq.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O3 - Toolbar: (no name) - {fb7d98cb-b228-4ecb-acac-e7101156338e} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [988c834f] rundll32.exe "C:\WINDOWS\system32\tprpbfne.dll",b
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - Winlogon Notify: jkkKecyx - jkkKecyx.dll (file missing)
         
Ist mit HijackThis zufixen.
Besorg Dir dann den Avenger und gehe nach dieser Anleitung vor aber benutze dieses Text:

Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\xxyxvwUm.dll
C:\WINDOWS\system32\jkkKecyx.dll
C:\WINDOWS\system32\facarnsq.dll
C:\WINDOWS\system32\tprpbfne.dll

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{547994C0-7E9B-43D6-AC14-1403C8D638D6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f6b77864-6055-42a6-a7df-0510cf715646}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKecyx

registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 988c834f
HKLM\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks | {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
         
Rechner rebooten, Avenger Logfile posten. Danach auch ein neues mit HijackThis erstellen, wenn Du die oben erwähnten Einträge gefixt hast.

Schau auch mal mit dem Registry-Editor (regedit.exe) nach diesem Eintrag:

Code:
ATTFilter
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\xxyxvwUm.dll
         
"Authentication Packages" sollte als Wert nur msv1_0 haben und nicht das Geraffel noch dahinter (stammt von Malware!).

Code:
ATTFilter
2008-05-14 21:32:24 0 d-------- C:\Programme\BearShare Applications
2008-05-14 21:31:19 0 d-------- C:\Programme\Azureus
         
Sei Dir bewußt, daß man sich mit solchen Programmen schnell Viren auf den Rechner einhandelt. Also besser drauf verzichten.

Denk noch ans filelisting!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu TR/Crypt.XPACK.Gen - Noch ein Fall!
adobe, avira, bho, compare, desktop, downloader, einstellungen, explorer, format, google, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, log, microsoft, photoshop, picasa, programme, rundll, software, solution, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, urlsearchhook, usb, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen - Noch ein Fall!


  1. Windows 7: Fundmeldung TR/Crypt.XPACK.Gen8 - Befall noch vorhanden?
    Log-Analyse und Auswertung - 04.03.2014 (7)
  2. Trojaner eingefangen: TR/Crypt-XPACK.Gen und noch mehr?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2013 (17)
  3. Noch ein Fall von Computerkriminalität des Criminal Intelligence Service Einheit 5.2
    Log-Analyse und Auswertung - 05.08.2012 (4)
  4. Ein neuer Fall von TR\Crypt.XPACK.Gen.3
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (43)
  5. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  6. Und noch ein Fall von BKA Virus oder Trojaner
    Log-Analyse und Auswertung - 08.02.2012 (27)
  7. Aus Sicherheitsgründen wurde Ihr System blockiert und noch ein fall
    Plagegeister aller Art und deren Bekämpfung - 08.02.2012 (6)
  8. 2. Fall - Ordner auf USB-Stick werden nur noch als Verknüpfung angezeigt
    Plagegeister aller Art und deren Bekämpfung - 02.12.2011 (1)
  9. Und noch BundespolzeiTrojaner opfer - jedoch spezieller Fall!
    Plagegeister aller Art und deren Bekämpfung - 15.08.2011 (3)
  10. TR/Crypt.XPACK.Gen2 auch noch nach Malwarescan aktiv
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (36)
  11. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  12. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (4)
  13. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  14. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  15. malware -> system security... nu auch noch tr crypt.xpack.gen /hijackthis log
    Log-Analyse und Auswertung - 13.06.2009 (2)
  16. TR/Crypt.XPACK.Gen - Trojan auch nach formatierung noch da
    Mülltonne - 19.08.2008 (0)
  17. Problem mit TR/Crypt.XPACK.Gen - lässt sich weder löschen noch sonstiges
    Log-Analyse und Auswertung - 01.04.2008 (6)

Zum Thema TR/Crypt.XPACK.Gen - Noch ein Fall! - Hallo! Heute hat mir ein Freund den Rechner seiner Tochter vorbeigebracht, weil AntiVir Arlam schlaegt. Ist ne Menge Zeuch installiert, von deren Existenz ich nicht mal wusste - was man - TR/Crypt.XPACK.Gen - Noch ein Fall!...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen - Noch ein Fall! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.