Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.07.2008, 14:53   #1
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Hey!
Hab mich auch mal hier angemeldet weil ich folgendes Problem habe.
In der Partition D wird ein Virus Namens miloulonnouk.exe gemeldet.
Der Pfad lautet dann D:/miloulonnouk.exe!
Ich bin ratlos und schon am verzweifeln!
Bitte helft mir schnell!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:27, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\toudo.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lummap] C:\WINDOWS\system32\toudo.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Canon BJ Memory Card Manager (prncubyu5eyha) - Unknown owner - C:\WINDOWS\system32\seroozel.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6746 bytes

Alt 16.07.2008, 14:59   #2
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Halli hallo Splace


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
D:\miloulonnouk.exe
C:\WINDOWS\system32\seroozel.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.
__________________

__________________

Alt 16.07.2008, 15:10   #3
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Die Datei wurde bereits analysiert:
MD5: ed1afc8fe8edfcdc20393024703f0db4
First received: 2008.07.11 03:15:55 (CET)
Datum 2008.07.16 00:34:13 (CET) [<1D]
Ergebnisse 9/33
Permalink: analisis/1a8d63cf1383f3e96a16abaec0e0589a
__________________

Alt 16.07.2008, 15:12   #4
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.

2. Brauchen wir die Ergebnisse (liste aller AntiViren Engines und deren Ergebnisse)

3. Lasse die Datei bitte nocheinmal analysieren.

[EDIT] Die Ergbnisse sind allerdings so schon recht Besorgnis erregend..
Trenne den Rechner bitte unverzüglich vom Netz und kommuniziere nur noch über Wechseldatenträge mit dem www.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 16.07.2008, 15:13   #5
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - Win32:Rootkit-gen
AVG - - SHeur.BVWR
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Rootkit-gen
Ikarus - - Backdoor.Win32.Oderoor.D
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Malicious Software
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - WORM_SHEUR.APH
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
weitere Informationen
MD5: ed1afc8fe8edfcdc20393024703f0db4
SHA1: 9225001ade6ca01291a8c8828941d8473886c86a
SHA256: 6128313ab895c3a79829c9b7902000237698dc5d382ef1f9679ddd05469db8d2
SHA512: 9ff322b60d004c52ca13f00c39d67f61bd529a9695381ea0966f3bc4814e7c7d5cac70a257f015c3219b5c823efaa32484470d0fdda2babcdd68500001cda99c


Alt 16.07.2008, 15:16   #6
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Zitat:
1. Es ist nicht ersichtlich welche der Dateien untersucht wurde.
Die Ergebnisse der ersten Datei bracuhst du nimmer posten. Hab ich mit mitlerweile selber rausgekramt..

Wir machen schonmal weiter:

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!



Systembereinigung
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Beende alle anderen Arbeiten am PC und speichere alle offenen Projekte.
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!

  • Unter File -> Database Update ->Start drücken.
  • Unter AVZPM -> Install extended monitoring driver drücken.
  • Unter AVZGuard -> Enable AVZGuard drücken dieser verhindert alle anderen Arbeiten am PC!

  • Im Hauptfenster oben sind verschiedene Reiter. Im Linken kannst du die Search Range einstellen. Mache hier bitte Haken vor alle deine Festplatten.
  • Im Reiter daneben kannst du die File Types einstellen. Wähle hier bitte All files.
  • Im Reiter ganz rechts kannst du die Search parameters einstellen. Schiebe den Regler der Heuristic Analysis bitte nach ganz oben und setzte den Haken bei Extended analysis. Alles weitere bleibt wie es ist!
  • Dann setzte rechts im Hauptfenster unter Actions den Haken bei Perform healing und danach unbedingt auch den Haken bei Copy deletet files to "infected" Folder. Sonst werden keine Backups erstellt!
Die letzten Einstellungen werden nochmal in folgendem Bild zusammengefasst. Gleiche sie bitte genau mit deinen Einstellungen ab!
  • Nun starte den Scan bitte durch Drücken des Start Buttons.

  • Nachdem der Scan beendet ist klicke auf den Disketten Speicher-Button und speichere das log im AVZ Ordner auf dem Desktop.
    Danach klicke auf die Brille darunter. Es öffnet sich ein Fenster bei dem unten rechts bitte auf Save as CSV klickst und die Datei ebenfalls im AVZ Ordner abspeicherst.
  • Die beiden logs hänge bitte an deinen nächsten Post an.

  • Deaktiviere den AVZGuard: Im Hauptfenster unter AVZGuard -> Disable AVZGuard.
__________________
--> Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen

Alt 16.07.2008, 15:25   #7
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



07/16/08 15:20:20 [Info]: BlackLight Engine 1.0.70 initialized
07/16/08 15:20:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/16/08 15:20:21 [Note]: 7019 4
07/16/08 15:20:21 [Note]: 7005 0
07/16/08 15:20:24 [Note]: 7006 0
07/16/08 15:20:24 [Note]: 7011 1768
07/16/08 15:20:24 [Note]: 7035 0
07/16/08 15:20:24 [Note]: 7026 0
07/16/08 15:20:25 [Note]: 7026 0
07/16/08 15:20:29 [Note]: FSRAW library version 1.7.1024
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:23:19 [Note]: 2000 1012
07/16/08 15:24:16 [Note]: 7007 0

Alt 16.07.2008, 19:16   #8
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



HILLLLLLFEE?
ich bin am verzweifeln der virus nervt

Alt 16.07.2008, 20:43   #9
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Magst du uns die beiden AVZ logs posten?!

Dann können wir deinem HilfeRuf umgehend Folge leisten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.07.2008, 12:42   #10
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Hier mein AVZ Log
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 17.07.2008 12:10:35
Database loaded: signatures - 176618, NN profile(s) - 2, microprograms of healing - 56, signature database released 16.07.2008 18:11
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71502
Heuristic analyzer mode: Maximum heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: Disabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.4 Searching for masking processes and drivers
Searching for masking processes and drivers - complete
Driver loaded successfully
1.5 Checking of IRP handlers
\FileSystem\ntfs[IRP_MJ_CREATE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_WRITE] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823D71E8 -> hook not defined
\FileSystem\ntfs[IRP_MJ_PNP] = 823D71E8 -> hook not defined
Checking - complete
2. Scanning memory
Number of processes found: 35
Analyzer: process under analysis is 1492 C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Loads RASAPI DLL - may use dialing ?
Analyzer: process under analysis is 1904 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1912 C:\Programme\ScanSoft\OmniPageSE\opware32.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1920 C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 1940 C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
[ES]:Registered in autoruns !!
Analyzer: process under analysis is 260 C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
[ES]:Contains network functionality
[ES]:Application has no visible windows
Analyzer: process under analysis is 328 C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
[ES]:Contains network functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Analyzer: process under analysis is 1612 c:\programme\avira\antivir personaledition classic\avcenter.exe
[ES]:Contains network functionality
Analyzer: process under analysis is 2420 C:\Programme\WinRAR\WinRAR.exe
[ES]:Contains network functionality
Number of modules loaded: 386
Scanning memory - complete
3. Scanning disks
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Direct reading C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Messages.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\331105721\Owner.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ\Application.mdb
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\cert8.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\formhistory.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\history.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\key3.db
Direct reading C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\urlclassifier2.sqlite
Direct reading C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_001_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_002_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_003_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\u56nsnvw.default\Cache\_CACHE_MAP_
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\Besitzer\ntuser.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading C:\WINDOWS\microsoft.exe
Direct reading C:\WINDOWS\SchedLgU.Txt
Direct reading C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading C:\WINDOWS\system32\config\default
Direct reading C:\WINDOWS\system32\config\ODiag.evt
Direct reading C:\WINDOWS\system32\config\OSession.evt
Direct reading C:\WINDOWS\system32\config\SAM
Direct reading C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading C:\WINDOWS\system32\config\SECURITY
Direct reading C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading C:\WINDOWS\system32\config\system
Direct reading C:\WINDOWS\system32\drivers\sptd.sys
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA
Direct reading C:\WINDOWS\WindowsUpdate.log
Direct reading D:\miloulonnouk.exe
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll --> Suspicion for Keylogger or Trojan DLL
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Behavioural analysis
1. Reacts to events: keyboard, mouse, all events
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll>>> Neural net: file with probability 50,00% like a typical keyboard/mouse events interceptor
File quarantined succesfully (C:\Programme\ScanSoft\OmniPageSE\ophook32.dll)
Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
>>> D:\autorun.inf HSC: suspicion for hidden autorun (high degree of probability)
File quarantined succesfully (D:\autorun.inf)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]
Quarantine file: failed (error), attempt of direct disk reading (D:\miloulonnouk.exe)
Quarantine file (direct disk reading) "%S" - successful
File quarantined succesfully (D:\miloulonnouk.exe)
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\ShellExecute]
>>> D:\miloulonnouk.exe HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\shell\open\command]
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun are allowed
>> Autorun from network drives are allowed
>> Removable media autorun are allowed
Checking - complete
Files scanned: 136671, extracted from archives: 84803, malicious software found 0, suspicions - 0
Scanning finished at 17.07.2008 12:39:10
Time of scanning: 00:28:36
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

Helf mir bitte

Alt 17.07.2008, 12:52   #11
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Wenn wir dir ordentlich helfen sollen so musst du schon genau mitarbeiten.

Das zweite log von dem in der Anleitung die Rede ist fehlt noch..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.07.2008, 13:47   #12
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Der zweite Log

C:\WINDOWS\microsoft.exe2Suspicion for Backdoor.Win32.Bifrose.bgn ( 13B41305 082AFDD6 002C070D 002BE912 29053)
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll5Suspicion for Keylogger or Trojan DLL
D:\autorun.inf3 HSC: suspicion for hidden autorun (high degree of probability)
D:\miloulonnouk.exe3 HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open]
Jetzt kannst du mir helfen oder???

Alt 17.07.2008, 15:40   #13
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



kannste mir i-wad sagn wad ich gegn den virus tun kann????

Alt 17.07.2008, 15:47   #14
undoreal
/// AVZ-Toolkit Guru
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Nun mal immer langsam. Wir opfern hier unsere Freizeit und alle Löschungen wollen wohl überlegt sein oder?!
Gedrängelt wird nicht!

Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

Dort markiere den Eintrag
Zitat:
C:\Programme\ScanSoft\OmniPageSE\ophook32.dll 5 Suspicion for Keylogger or Trojan DLL
uind lasse ihn wieder herstellen. Es ist normal, dass er danach trotzdem noch in der Quarantäne angezeigt wird!




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 17.07.2008, 16:00   #15
Splace
 
Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Standard

Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen



Wechsel bitte in die AVZ Quarantäne (File -> Quarantine...)

in File Quarantine Folder View?
da sind keine!

Antwort

Themen zu Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen
adobe, antivir, antivirus, avira, bho, brauche hilfe, browser, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, mozilla, mozilla firefox, problem, rundll, senden, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, trojaner tr/crypt.xpack.gen, urlsearchhook, virus, windows, windows xp



Ähnliche Themen: Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen


  1. Trojaner TR/Crypt.XPack.Gen2 Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (3)
  2. Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (22)
  3. Hilfe!!! TR/Crypt.XPACK.Gen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.10.2009 (8)
  4. Brauche Hilfe bei dem Trojaner TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.10.2009 (23)
  5. Habe/Hatte 2 Trojaner: TR/Crypt.XPACK.Gen UND TR/Dldr.WMA.Wimad.X....HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 22.09.2009 (20)
  6. Trojaner TR/Crypt.XPACK.Gen -Hilfe gesucht-
    Log-Analyse und Auswertung - 19.09.2009 (2)
  7. TR\Crypt.XPACK.Gen Brauche dringend hilfe!
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (5)
  8. TR/Crypt.XPACK.Gen & TR/Rootkit. Gen & HTML/Fake Alert.njh Trojaner - Brauche Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2009 (1)
  9. TR/Crypt XPACK.Gen >Brauche Hilfe!!
    Plagegeister aller Art und deren Bekämpfung - 03.04.2009 (3)
  10. TR/Crypt.XPACK.Gen und anderes Zeugs - hab HJT-Log und brauche Hilfe
    Log-Analyse und Auswertung - 29.03.2009 (1)
  11. HILFE! Trojaner: TR/Crypt.XPACK.Gen!
    Plagegeister aller Art und deren Bekämpfung - 15.02.2009 (1)
  12. Hilfe! Trojaner TR\Crypt.XPACK.Gen! Wie bekomm ich den weg?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (0)
  13. Hilfe bei Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 12.08.2008 (3)
  14. Brauche Hilfe bei beseitigung von TR/Crypt.XPACK.Gen!!!!!
    Plagegeister aller Art und deren Bekämpfung - 12.08.2008 (5)
  15. Wo ist HIER der Fehler? Brauche Hilfe wegen Trojaner!
    Log-Analyse und Auswertung - 07.05.2006 (7)
  16. Brauche Hilfe wegen regexpress.exe
    Log-Analyse und Auswertung - 29.10.2004 (3)
  17. Brauche Hilfe wegen Y3K
    Archiv - 19.01.2003 (26)

Zum Thema Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen - Hey! Hab mich auch mal hier angemeldet weil ich folgendes Problem habe. In der Partition D wird ein Virus Namens miloulonnouk.exe gemeldet. Der Pfad lautet dann D:/miloulonnouk.exe! Ich bin ratlos - Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: Brauche Hilfe wegen Trojaner TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.