Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2008, 14:27   #1
Aranel
 
TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Beitrag

TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen



Hallo verehrte Trojaner-Jäger,
ich habe mir über eine USB-Verbindung mit meiner Digitalkamera - die ich vorher in einem Internetcafé angeschlossen hatte - einige Trojaner eingefangen.

Negative Auswirkungen kann ich derzeit nicht erkennen. Die einzige Abnormalität, die mir auffällt: Ein Explorer-Fenster mit meinen „Eigenen Dateien“ öffnet sich unmittelbar nach Systemstart.

Mein System: Windows XP Service Pack 3 (Windows Firewall + Avira AntiVir)

Direkt nach Anschluss der Kamera hat AntiVir den folgenden Trojaner erkannt und in die Quarantäne verschoben:

TR.Crypt.XPACK.Gen
In: C:/Windows/System32/ckvo0.dll

Im Laufe eines ausführlichen Tests hat AntiVir zwei weitere Trojaner erkannt und entsprechende Dateien in die Quarantäne verschoben:

Code:
ATTFilter
C:\WINDOWS\system32\EXPLORER.EXE
    [FUND]      Ist das Trojanische Pferd TR/Agent.VB.H.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ffc8ff.qua' verschoben!
C:\2.CMD
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2c906.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122260.exe
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf93.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122261.EXE
    [FUND]      Ist das Trojanische Pferd TR/Agent.VB.H.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf95.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122262.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf98.qua' verschoben!
C:\WINDOWS\system32\ckvo0.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925d3ca.qua' verschoben!
D:\2.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912d43f.qua' verschoben!
D:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122264.cmd
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0d603.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122263.dll
    [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0ffe2.qua' verschoben!
         
Ich habe dann – aufgrund verschiedener anderer Threads hier im Forum – Malwarebytes’ Anti-Malware durchlaufen lassen:

Code:
ATTFilter
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
         
Die Systemwiederherstellungsdateien habe ich – wie in einem anderen Post beschrieben – gelöscht, da er dort ja auch was gefunden hat.

Nun zeigen mir sowohl AntiVir als auch Anti-Malware „0“ infizierte Objekte an. Bedeutet das nun, alles ist wieder clean? Muss ich weitere Sicherheitsmaßnahmen ergreifen (Passwörter ändern usw.)?

Zur Auswertung füge ich noch den HijackThis Report-Datei an:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:16:24, on 25.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - 
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201960301375
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6182 bytes
         
Vielen Dank für eure Hilfe!
Aranel

Alt 25.08.2008, 16:49   #2
undoreal
/// AVZ-Toolkit Guru
 
TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Standard

TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen



Hallo Aranel.

Die Speicherkarte der Kammera solltest du formatieren!

Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.
__________________

__________________

Alt 25.08.2008, 17:39   #3
Aranel
 
TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Beitrag

AVZ-Sysinfo



Hallo Undoreal,

vielen Dank für deine Hilfe. Ich habe alles getan, was du beschrieben hast. Leider habe ich AntiVir nicht gänzlich geschlossen bekommen - Lediglich deaktiviert und per Str+Alt+Entf - Prozess beenden - Nicht der eleganteste Weg, aber ich hoffe das ist OK soweit...

Nachfolgend der Link:

http://rapidshare.com/files/140013955/avz_sysinfo.zip

Viele Grüße,
Aranel
__________________

Alt 25.08.2008, 17:49   #4
undoreal
/// AVZ-Toolkit Guru
 
TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Standard

TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen



Fixe mit HijackThis folgende Einträge:
Zitat:
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
Führe danach folgendes Skript mit AVZ aus (File -> Custom Skript):
Code:
ATTFilter
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelBHO('{619D670F-B735-4da7-AC6D-F3BD358E325E}');
 QuarantineFile('C:\WINDOWS\system32\drivers\GDTdiIcpt.sys','');
 QuarantineFile('C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe','');
 QuarantineFile('c:\programme\gemeinsame dateien\real\update_ob\realsched.exe','');
 BC_DeleteFile('wsctf.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
         



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 25.08.2008, 18:37   #5
Aranel
 
TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Beitrag

ComboFix-Report



Hallo undoreal!

Nachfolgend der ComboFix-Report:

Code:
ATTFilter
ComboFix 08-08-24.03 - Mustermann 2008-08-25 18:28:09.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.252 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system\oeminfo.ini
D:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-25 bis 2008-08-25  ))))))))))))))))))))))))))))))
.

2008-08-25 16:39 . 2008-08-25 16:39	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 16:39 . 2008-08-25 16:39	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-25 14:34 . 2008-08-25 15:11	<DIR>	d--------	C:\WINDOWS\BDOSCAN8
2008-08-25 11:26 . 2008-08-25 11:26	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-25 11:04 . 2008-08-25 11:04	<DIR>	d--------	C:\Programme\CCleaner
2008-08-25 11:00 . 2008-08-25 11:00	<DIR>	d--------	C:\Programme\Java
2008-08-25 11:00 . 2008-06-10 02:32	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl
2008-08-25 10:59 . 2008-08-25 10:59	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Java
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-25 09:56	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 09:56 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 08:58 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-25 08:58 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-23 12:28 . 2008-08-23 12:36	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-23 12:28 . 2008-08-25 11:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-23 12:07 . 2008-08-23 12:07	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-23 12:07 . 2008-08-25 09:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-23 11:26 . 2008-08-23 11:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\MSNInstaller
2008-08-01 11:21 . 2008-08-23 09:44	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-01 11:19 . 2008-08-23 10:19	<DIR>	d--------	C:\Programme\Google

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 11:25	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-23 09:25	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-23 09:20	---------	d-----w	C:\Programme\DivX
2008-08-23 08:14	---------	d-----w	C:\Programme\EPSON
2008-07-29 08:43	7,680	----a-w	C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43	149,120	----a-w	C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-26 14:37	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Skype
2008-07-26 14:25	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\skypePM
2008-07-20 14:58	---------	d-----w	C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Academic Software Zurich
2008-07-20 14:10	---------	d-----w	C:\Programme\Citavi
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-04-28 07:43	0	----a-w	C:\Programme\Citavi.txt
2008-02-10 16:26	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-12-26 17:10	5	----a-w	C:\Dokumente und Einstellungen\Mustermann\getfile.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 10:44 909312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 08:56 266497]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-17 14:54 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 08:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-01-08 19:54 65536 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 10:43]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2006-01-12 23:35]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 02:18]
S3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-28 00:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dd93564-70e5-11dd-b2ba-00030d2a64ee}]
\Shell\AutoRun\command - F:\2.cmd
\Shell\explore\Command - F:\2.cmd
\Shell\open\Command - F:\2.cmd

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-NWEReboot - (no file)


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\vspm7v4b.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.tagesschau.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 18:30:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-08-25 18:31:04
ComboFix-quarantined-files.txt  2008-08-25 16:31:01

Pre-Run: 9 Verzeichnis(se), 20,698,787,840 Bytes frei
Post-Run: 12 Verzeichnis(se), 20,777,791,488 Bytes frei

120	--- E O F ---	2008-08-25 07:17:21
         
Vielen Dank für die bisherige Hilfestellung,
Aranel


Antwort

Themen zu TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen
adobe, anschluss, antivir, auswertung, avira, bho, download, excel, firefox, firewall, helper, hijack.system.hidden, hijackthis, hkus\s-1-5-18, hotkey, internet explorer, microsoft, mozilla, mozilla firefox, namen, object, programme, quara, software, system volume information, windows, windows xp, windows xp sp3, xp sp3, ändern, öffnet



Ähnliche Themen: TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen


  1. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  2. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  3. Probleme mit TR/Vundo und TR/crypt.Xpack
    Plagegeister aller Art und deren Bekämpfung - 18.01.2009 (16)
  4. TR/Crypt.XPACK.Gen und TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.01.2009 (1)
  5. Vundo.Gen & Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (16)
  6. Vundo / TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (11)
  7. Vundo und crypt.XPACK.gen
    Log-Analyse und Auswertung - 11.09.2008 (6)
  8. TR/Crypt.XPACK.Gen und Vundo.Gen
    Log-Analyse und Auswertung - 06.09.2008 (8)
  9. TR/Vundo.Gen und TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 31.08.2008 (2)
  10. Hilfe bei TR/Vundo und TR/Crypt.XPACK
    Log-Analyse und Auswertung - 26.08.2008 (5)
  11. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)
  12. TR/Crypt.XPACK.Gen & TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.08.2008 (26)
  13. TR/Crypt.XPACK.Gen, TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2008 (13)
  14. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  15. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  16. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  17. Vundo.Gen + Crypt.XPACK.Gen Befall
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (36)

Zum Thema TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen - Hallo verehrte Trojaner-Jäger, ich habe mir über eine USB-Verbindung mit meiner Digitalkamera - die ich vorher in einem Internetcafé angeschlossen hatte - einige Trojaner eingefangen. Negative Auswirkungen kann ich derzeit - TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen...
Archiv
Du betrachtest: TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.