Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen, TR/Vundo.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.06.2008, 14:52   #1
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Hallo,
Mein Anti Virus Programm (AntiVir) hat diese Viren (TR/Crypt.XPACK.Gen, TR/Vundo.Gen) entdeckt, doch es kann sie nicht entfernen. Was kann ich tun?

Danke für die Hilfe

NJ

Alt 15.06.2008, 15:11   #2
Silent sharK
 

TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Hier Lesen: http://www.trojaner-board.de/53844-t...-vundo-ag.html

Dürfte so ziemlich das selbe Problem sein, was man aus deiner aussagekräftigen Erklärung so rauslesen kann :P

Gruß
__________________


Alt 15.06.2008, 18:28   #3
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Frage

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Hi Dark Viruz,
Ich habe diese Programme heruntergeladen und sie wie beschrieben ausgeführt.
Die sonst regelmässigen Virus-Hinweise, die ich vorhin immer bekommen habe, haben aufgehört. Die zwei Dateien in denen die Viren angezeigt wurden befinden sich jedoch immer noch unter "system32". Ist das normal?
Was muss ich jetzt noch machen, damit alles wieder in Ordnung ist? Unten habe ich noch den Ergebnistext einkopiert.

Danke

NJ


ComboFix 08-06-12.2 - Administrator 2008-06-15 16:54:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.472 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM2886223a.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\Fonts\CALIBRIB.TTF
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\eqekxnnl.ini
C:\WINDOWS\system32\khwcetua.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnlmjIX.dll
C:\WINDOWS\system32\vxbeKUtv.ini
C:\WINDOWS\system32\vxbeKUtv.ini2
C:\WINDOWS\system32\XIjmlnmp.ini
C:\WINDOWS\system32\XIjmlnmp.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2008-06-15 16:44 . 2008-06-15 16:44 <DIR> d-------- C:\Programme\CCleaner
2008-06-14 13:14 . 2008-06-14 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-13 21:40 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-13 21:40 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-13 21:40 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-13 21:40 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-13 21:39 . 2008-06-14 01:54 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-13 21:39 . 2008-06-13 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2008-06-13 21:31 . 2008-06-15 16:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-11 18:03 . 2008-06-13 21:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-11 18:03 . 2008-06-13 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 16:02 . 2008-06-11 16:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Programme\Avira
2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-09 21:57 . 2008-06-09 21:57 33,792 --a------ C:\WINDOWS\system32\hgGyxYoN.dll
2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Programme\HiYo
2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo
2008-06-08 13:19 . 2008-06-08 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HiYo
2008-06-04 21:10 . 2008-06-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Vorlagen
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Startmen
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Netzwerkumgebung
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Lokale Einstellungen
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Favoriten
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Eigene Dateien
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Druckumgebung
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Symantec
2008-05-18 17:19 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Family\Anwendungsdaten
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\Family
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmen
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Symantec
2008-05-18 16:44 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Gast

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 15:01 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-06-13 19:31 --------- d-----w C:\Programme\Google
2008-06-10 16:44 --------- d-----w C:\Programme\Aclient
2008-05-20 16:56 --------- d-----w C:\Programme\Microsoft Silverlight
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-04-22 06:34 --------- d-----w C:\Programme\Windows Live
2008-04-22 06:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-05-04 12:04 3,481 ----a-w C:\Dokumente und Einstellungen\Administrator\hotmail.com

.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15070fb8-f75a-41a5-bf99-951d123aee94}]
C:\WINDOWS\system32\tedtqgic.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5BED07E2-12AF-4E55-BACE-0A20F35CB202}]
C:\WINDOWS\system32\vtUKebxv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-29 23:07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AClntUsr"="C:\Programme\Aclient\AClntUsr.EXE" [2008-06-15 17:00 180224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"BLUEWIN_WCM_McciTrayApp"="C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe" [2007-07-09 10:11 914944]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 16:37 344064]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-22 21:42 185896]
"QuickTime Task"="C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Nalin\qttask.exe" [ ]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"Adobe Photo Downloader"="C:\Programme\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"HiYo"="C:\Programme\HiYo\bin\HiYo.exe" [2008-05-21 12:19 143360]
"Windows Controls Center"="winudmr.exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyxYoN]
hgGyxYoN.dll 2008-06-09 21:57 33792 C:\WINDOWS\system32\hgGyxYoN.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Aclient\\AClntUsr.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Nalin\\my stuff\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Red Swoosh
"5000:UDP"= 5000:UDP:Red Swoosh

S2 RedSwooshService;RedSwooshService;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2002-09-09 20:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
RedSwooshService REG_MULTI_SZ RedSwooshService

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6fe00dd-0cfd-11dc-bb48-00038a000015}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 17:01:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo\Data\HiYo_20080615170233406.log 0 bytes
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo\Data\msnmsgr_20080615170233781.log 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Aclient\ACLIENT.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 17:05:49 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-06-15 15:05:44

19 Verzeichnis(se), 133,291,393,024 Bytes frei
22 Verzeichnis(se), 134,331,588,608 Bytes frei

170 --- E O F --- 2008-06-15 14:02:20
__________________

Alt 15.06.2008, 18:38   #4
Silent sharK
 

TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Befinden sich die Viren noch auf deinem Rechner?
Wenn ja, gib mal bitte den Pfad an & lasse sie mal bei VirusTotal überprüfen; sicherheitshalber.

gruß

Alt 15.06.2008, 18:50   #5
BataAlexander
> MalwareDB
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Dark Viruz: Wende bitte Combofix nicht an, wenn Du Dich damit nicht auskennst. Ist nicht böse gemeint.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Collect::
C:\WINDOWS\system32\hgGyxYoN.dll
C:\WINDOWS\system32\tedtqgic.dll
C:\WINDOWS\system32\vtUKebxv.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15070fb8-f75a-41a5-bf99-951d123aee94}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5BED07E2-12AF-4E55-BACE-0A20F35CB202}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Controls Center"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyxYoN]
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Geändert von BataAlexander (15.06.2008 um 18:57 Uhr)

Alt 15.06.2008, 18:53   #6
Silent sharK
 

TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Ich versteh deine Ärgernis BataAlexander, hab ihm nur den Link gegeben, wo das gleiche Problem beschrieben wird x,x Tut mir Leid.
gruß

Alt 15.06.2008, 18:55   #7
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Ich benutze zwei verschiedene Programme.

1. Avira Antivir

2. Spyware Doctor (auch die Kostenlose Version)

Beide Programme finden immer noch Viren.

Antivir hat den Pfad so angegeben:

C:WINDOWS/system32\hgGyxYoN.dll

TR/Crypt.XPACK.Gen


und den zweiten

C:WINDOWS/system32\pmnlmjIX.dll

TR/Vundo.Gen

Den zweiten zeigt es mir jetzt aber nicht mehr an. Ich weiss nicht ob du dass gemeint hast. Ich probiere diese Seite mal aus.

Danke
NJ

Alt 15.06.2008, 19:16   #8
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Hier den Text:

ComboFix 08-06-12.2 - Administrator 2008-06-15 20:05:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.534 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hgGyxYoN.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-15 bis 2008-06-15 ))))))))))))))))))))))))))))))
.

2008-06-15 16:44 . 2008-06-15 16:44 <DIR> d-------- C:\Programme\CCleaner
2008-06-14 13:14 . 2008-06-14 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-06-13 21:40 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-06-13 21:40 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-06-13 21:40 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-06-13 21:40 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-06-13 21:39 . 2008-06-15 18:04 <DIR> d-------- C:\Programme\Spyware Doctor
2008-06-13 21:39 . 2008-06-13 21:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Tools
2008-06-13 21:31 . 2008-06-15 18:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-11 18:03 . 2008-06-13 21:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-06-11 18:03 . 2008-06-13 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 17:24 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 16:02 . 2008-06-11 16:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Programme\Avira
2008-06-10 19:30 . 2008-06-10 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Programme\HiYo
2008-06-08 13:20 . 2008-06-08 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HiYo
2008-06-08 13:19 . 2008-06-08 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HiYo
2008-06-04 21:10 . 2008-06-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Vorlagen
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Startmenü
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Netzwerkumgebung
2008-05-18 17:19 . 2008-06-15 20:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Lokale Einstellungen
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Favoriten
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> dr------- C:\Dokumente und Einstellungen\Family\Eigene Dateien
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Family\Druckumgebung
2008-05-18 17:19 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Family\Anwendungsdaten\Symantec
2008-05-18 17:19 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Family\Anwendungsdaten
2008-05-18 17:19 . 2008-05-18 17:19 <DIR> d-------- C:\Dokumente und Einstellungen\Family
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Vorlagen
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Startmenü
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Netzwerkumgebung
2008-05-18 16:44 . 2008-06-15 20:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Favoriten
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> dr------- C:\Dokumente und Einstellungen\Gast\Eigene Dateien
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d--h----- C:\Dokumente und Einstellungen\Gast\Druckumgebung
2008-05-18 16:44 . 2006-09-15 11:56 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Symantec
2008-05-18 16:44 . 2008-06-13 21:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten
2008-05-18 16:44 . 2008-05-18 16:44 <DIR> d-------- C:\Dokumente und Einstellungen\Gast

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-15 18:01 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-15 15:15 --------- d-----w C:\Programme\Aclient
2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-06-13 19:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-06-13 19:31 --------- d-----w C:\Programme\Google
2008-05-20 16:56 --------- d-----w C:\Programme\Microsoft Silverlight
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-05-06 20:19 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 06:34 --------- d-----w C:\Programme\Windows Live
2008-04-22 06:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2007-05-04 12:04 3,481 ----a-w C:\Dokumente und Einstellungen\Administrator\hotmail.com
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-29 23:07 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AClntUsr"="C:\Programme\Aclient\AClntUsr.EXE" [2008-06-15 17:15 180224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"BLUEWIN_WCM_McciTrayApp"="C:\Programme\BLUEWIN\WLAN Assistant\McciTrayApp.exe" [2007-07-09 10:11 914944]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 16:37 344064]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-22 21:42 185896]
"QuickTime Task"="C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Nalin\qttask.exe" [ ]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"Adobe Photo Downloader"="C:\Programme\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"HiYo"="C:\Programme\HiYo\bin\HiYo.exe" [2008-05-21 12:19 143360]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Aclient\\AClntUsr.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Eigene Dateien\\Nalin\\my stuff\\Programme\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9420:TCP"= 9420:TCP:Red Swoosh
"5000:UDP"= 5000:UDP:Red Swoosh

S2 RedSwooshService;RedSwooshService;C:\WINDOWS\System32\svchost.exe [2004-08-04 04:00]
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2002-09-09 20:53]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
RedSwooshService REG_MULTI_SZ RedSwooshService

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6fe00dd-0cfd-11dc-bb48-00038a000015}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 20:07:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-15 20:08:41
ComboFix-quarantined-files.txt 2008-06-15 18:08:12
ComboFix2.txt 2008-06-15 15:05:50

19 Verzeichnis(se), 134,271,111,168 Bytes frei
22 Verzeichnis(se), 134,262,923,264 Bytes frei

148 --- E O F --- 2008-06-15 14:02:20

Alt 15.06.2008, 19:37   #9
Silent sharK
 

TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Habe mal im Avira-Forum gelesen, das die Endung .Gen ein Fehlalarm sein kann, muss aber nicht.
Deshalb mal Avira zuschicken lassen oder bei VirusTotal - Free Online Virus and Malware Scan checken lassen.

Alt 15.06.2008, 23:07   #10
BataAlexander
> MalwareDB
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Dark Viruz: die Dateien sind gelöscht.
nalinjoel: Lass diese Datei bei VirusTotal - Free Online Virus and Malware Scan scannen und poste das Ergebnis hier (incl. MD5/SHA1)
Zitat:
C:\Dokumente und Einstellungen\Administrator\hotmail.com
Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 16.06.2008, 15:02   #11
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Hallo,
Ich finde den zweiten Virus nun auch nicht mehr. Ich danke Euch vielmals für die Hilfe und die Geduld. Ihr habt ja sicherlich schon gemerkt das der Computer nicht zu meinem Fachgebiet gehört.

Muss ich noch irgendetwas tun, ausser dass Combofix zu löschen?

Gruss
NJ

Hier sende ich das Ergebnis:

Datei hotmail.com empfangen 2008.06.16 15:49:52 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.13.1 2008.06.16 -
AntiVir 7.8.0.55 2008.06.16 -
Authentium 5.1.0.4 2008.06.16 -
Avast 4.8.1195.0 2008.06.15 -
AVG 7.5.0.516 2008.06.16 -
BitDefender 7.2 2008.06.16 -
CAT-QuickHeal 9.50 2008.06.14 -
ClamAV 0.93.1 2008.06.16 -
DrWeb 4.44.0.09170 2008.06.16 -
eSafe 7.0.15.0 2008.06.15 -
eTrust-Vet 31.6.5878 2008.06.16 -
Ewido 4.0 2008.06.16 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.16 -
Fortinet 3.14.0.0 2008.06.16 -
GData 2.0.7306.1023 2008.06.16 -
Ikarus T3.1.1.26.0 2008.06.16 -
Kaspersky 7.0.0.125 2008.06.16 -
McAfee 5317 2008.06.13 -
Microsoft 1.3604 2008.06.16 -
NOD32v2 3190 2008.06.16 -
Norman 5.80.02 2008.06.16 -
Panda 9.0.0.4 2008.06.15 -
Rising 20.49.02.00 2008.06.16 -
Sophos 4.30.0 2008.06.16 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.16 -
TheHacker 6.2.92.351 2008.06.16 -
TrendMicro 8.700.0.1004 2008.06.16 -
VBA32 3.12.6.7 2008.06.16 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.16 -
weitere Informationen
File size: 3481 bytes
MD5...: f0a478d43821d316611281eac0776fb9
SHA1..: 913cda5afa2eef167e441cdf571f9be58491ffce
SHA256: 7f52c074a2a9e66bf6272c61a28a2403eb30268cc0a09300b6be2d012741a665
SHA512: 9c56be55790d2296222b4eb3c77099f4c1b79a037f8eec3bfb56333d05467862
9f5e3ded8c4e84b70ac0204872944a60f3a586ec3ed1dbda83534d5c9806974d
PEiD..: -
PEInfo: -

Alt 16.06.2008, 18:19   #12
BataAlexander
> MalwareDB
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Erstelle bitte noch ein neues HijackThis Logfile.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 16.06.2008, 21:05   #13
nalinjoel
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



So, habe ich noch etwas zu tun? Es scheint ganz so als wäre mein PC von der Seuche befreit! Ich danke Euch nochmals vielmal!

Gruss
NJ


Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 17.06.2008, 01:13   #14
BataAlexander
> MalwareDB
 
TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Standard

TR/Crypt.XPACK.Gen, TR/Vundo.Gen



Ok sieht alles gut aus. Du solltest bald auf das Service Pack 3 updaten. Vorher fertige aber ein Backup Deiner persönlichen Daten / des Systems an!
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu TR/Crypt.XPACK.Gen, TR/Vundo.Gen
anti, antivir, entdeck, entdeckt, entferne, programm, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/vundo.gen, viren, virus



Ähnliche Themen: TR/Crypt.XPACK.Gen, TR/Vundo.Gen


  1. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  2. Probleme mit TR/Vundo und TR/crypt.Xpack
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (16)
  3. TR/Crypt.XPACK.Gen und TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2009 (1)
  4. Vundo.Gen & Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (16)
  5. Vundo / TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (11)
  6. Vundo und crypt.XPACK.gen
    Log-Analyse und Auswertung - 11.09.2008 (6)
  7. TR/Crypt.XPACK.Gen und Vundo.Gen
    Log-Analyse und Auswertung - 06.09.2008 (8)
  8. TR/Vundo.Gen und TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 31.08.2008 (2)
  9. Hilfe bei TR/Vundo und TR/Crypt.XPACK
    Log-Analyse und Auswertung - 25.08.2008 (5)
  10. TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (4)
  11. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)
  12. TR/Crypt.XPACK.Gen & TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (26)
  13. Hilfe ! *tr/vundo.gen und tr/crypt.xpack.gen*
    Plagegeister aller Art und deren Bekämpfung - 16.07.2008 (3)
  14. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  15. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  16. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  17. Vundo.Gen + Crypt.XPACK.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (36)

Zum Thema TR/Crypt.XPACK.Gen, TR/Vundo.Gen - Hallo, Mein Anti Virus Programm (AntiVir) hat diese Viren (TR/Crypt.XPACK.Gen, TR/Vundo.Gen) entdeckt, doch es kann sie nicht entfernen. Was kann ich tun? Danke für die Hilfe NJ - TR/Crypt.XPACK.Gen, TR/Vundo.Gen...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen, TR/Vundo.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.