Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.08.2008, 16:32   #1
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Also keine ahnung wie ich den bekommen habe , aber ich hab laut meinem antivirenprogramm antivir 2 trojaner :

Bericht von AntiVir:
"Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temp\xrun.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\pac.txt
[FUND] Ist das Trojanische Pferd TR/Dldr.VB.VPG
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!"

beide waren beim nächsten check wieder da, obwohl ich sie gelöscht hatte. ich habe immoment probleme mit popups und empfohlenen virenscanns von VirusRemover2008. hängt bestimmt damit zusammen .

hier noch ein Logfile von HijackThis:

"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:58, on 28.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [d8b2224d] rundll32.exe "C:\WINDOWS\system32\qtiimpjr.dll",b
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219358572014
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: hbqpdg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4786 bytes"

Ich hoffe ihr könnt mir helfen. hab im internet schon diverse programme gesucht , wie zB Spyhunter , welche mir aber nicht helfen wollten ohne das ich geld für eine vollversion zahle... mfg Eric

Alt 28.08.2008, 18:39   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Cool

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\qtiimpjr.dll
hbqpdg.dll
         
Die zweite Datei mußt Du ausfindig machen (Windows-Suchfunktion, Dateisuche).

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 28.08.2008, 20:43   #3
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Vielen Dank für die Mühe. Habe gleich mal alle Punkte abgearbeitet :

Punkt 1 : erledigt


Punkt 2 :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.28 -
AntiVir 7.8.1.23 2008.08.28 -
Authentium 5.1.0.4 2008.08.28 -
Avast 4.8.1195.0 2008.08.28 -
AVG 8.0.0.161 2008.08.28 -
BitDefender 7.2 2008.08.28 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.28 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 Suspicious File
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 W32/Virtumonde.AC.gen!Eldorado
F-Secure 7.60.13501.0 2008.08.28 -
Fortinet 3.14.0.0 2008.08.28 -
GData 19 2008.08.28 -
Ikarus T3.1.1.34.0 2008.08.28 Trojan.Win32.Vundo.C
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 -
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3397 2008.08.28 -
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.28 Fraudulent Security Program
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
VBA32 3.12.8.4 2008.08.28 -
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 Virus.Win32.FileInfector.gen!86 (suspicious)
weitere Informationen
File size: 82944 bytes
MD5...: ab71cc4532fb570b6e18bb5d5921aa09
SHA1..: cba84c2fe92acc27cb00c2d35505ba753c09e615
SHA256: b4530650a19b3fcf5195625b570100d07119920b6957b1e5ca3792ce93e05dba
SHA512: e4c5a80de3f9b9502a46c4ebfe8bf8edbb8005d7557c4ae16089e709b47c3152
698f704aeb195e15b2deb9780f1ae2313d40d18115a1c7b018c139a7f8ee829b
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10026578
timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.63 40e0f4f5eb9b98410451b662450be7ed
.rdata 0x2000 0x1000 0x200 7.54 19b10ca1af733513cbdc739daabd5f58
.data 0x3000 0x1000 0x200 7.57 625304abe49671a300299712df44fe42
.text 0x4000 0x22000 0x11a00 8.00 f060837aa21b19a2246723fb3e78635c
.pdata 0x26000 0x1000 0x1000 5.27 97100a2c9138d0b733869bcadf328a81
.rsrc 0x27000 0x1000 0x400 1.74 ec9f83b8a278178a5446e35b2748be2f

( 3 imports )
> USER32.dll: EnumDisplaySettingsA
> KERNEL32.dll: CreateFileA, ExitProcess
> comdlg32.dll: ChooseColorA

( 0 exports )

Prevx info: VOGMDJVB.DLL - Prevx









Weiter zu punkt 2 :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.28 -
AntiVir 7.8.1.23 2008.08.28 -
Authentium 5.1.0.4 2008.08.28 -
Avast 4.8.1195.0 2008.08.28 -
AVG 8.0.0.161 2008.08.28 -
BitDefender 7.2 2008.08.28 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.28 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 Suspicious File
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 -
F-Secure 7.60.13501.0 2008.08.28 -
Fortinet 3.14.0.0 2008.08.28 -
GData 19 2008.08.28 -
Ikarus T3.1.1.34.0 2008.08.28 Trojan.Win32.Vundo.C
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 -
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3397 2008.08.28 -
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.28 Cloaked Malware
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
VBA32 3.12.8.4 2008.08.28 -
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 Virus.Win32.FileInfector.gen!86 (suspicious)
weitere Informationen
File size: 115712 bytes
MD5...: e083431a0858cd4b5cf6ab553f81c79f
SHA1..: 07145e65d643f8e35eaf65e9ee37b6ccbf4e5660
SHA256: a7a4ecd2d88fd20bd02ca881a02d205f2a8199bdc13739f27f84197a9988f0b2
SHA512: a121223ad1d43ef49dbd6ef789a6ae42945f0e6576bb269b2d1ea3d86592de41
a3bd7d19b9311e95bc2208ebf5b9cdb388338b8cddf57e4ebaffb6c60e3756c8
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1003a578
timedatestamp.....: 0x48126730 (Fri Apr 25 23:20:16 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1000 0x200 7.58 7d959d25d41c1c53226132d352dfc50f
.rdata 0x2000 0x1000 0x200 7.65 76514c61a9276dbea9b896d1351f5685
.data 0x3000 0x1000 0x200 7.60 6014c662d8378ec189df75513ce2ed6b
.text 0x4000 0x36000 0x19a00 8.00 73f4c4099b377ffb02c70f4e6aef64fb
.pdata 0x3a000 0x1000 0x1000 5.28 2d20f99960302ed160c20bbffdb44d29
.rsrc 0x3b000 0x1000 0x400 1.80 b3d0cb0da0ee3a6605f3e6f0e2d2b4e5

( 3 imports )
> USER32.dll: EnumDisplaySettingsA
> KERNEL32.dll: CreateFileA, ExitProcess
> comdlg32.dll: ChooseColorA

( 0 exports )

Prevx info: KRNPMRAB.DLL - Prevx
















Punkt 3 :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
















Punkt 4 :

Blacklight : hat nichts gefunden

Malwarebytes Antimalware :

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1092
Windows 5.1.2600 Service Pack 3

20:14:32 28.08.2008
mbam-log-08-28-2008 (20-14-32).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 58102
Laufzeit: 15 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\iaajmvtf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yayaBRkK.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hbqpdg.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\xodimz.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hgGwVPHW.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{776f8f87-4d65-437a-ade5-947cb3955eb5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{776f8f87-4d65-437a-ade5-947cb3955eb5} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5d1868a-d9e5-4432-a457-b47226ead6fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c5d1868a-d9e5-4432-a457-b47226ead6fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{aea4de5e-37ed-4a91-a883-6d8953a84614} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggwvphw (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d8b2224d (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmdb8111d1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{aea4de5e-37ed-4a91-a883-6d8953a84614} (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayabrkk -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yayabrkk -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\xodimz.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\yayaBRkK.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\KkRBayay.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KkRBayay.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iaajmvtf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ftvmjaai.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qtiimpjr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rjpmiitq.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hbqpdg.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JOE4X24\kb65666[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JOE4X24\kb767887[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QCI3PN4G\kb456456[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\omfpfkvo.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdxxcier.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jyjyeguo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ngdiaroc.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgGwVPHW.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wvUoOHxx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdb8111d1.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMdb8111d1.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LordEricVI\Lokale Einstellungen\Temp\winvsnet.exe (Rogue.Installer) -> Quarantined and deleted successfully.












Punkt 5:

ComboFix Log:

"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2008-05-16 14:01 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-06-19 16:48 851968]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 81920 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\LordEricVI\Startmen\Programme\Autostart\
Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 11:03:08 663552]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hlds.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hl.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Dokumente und Einstellungen\\LordEricVI\\Desktop\\wtvClient.exe"=

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = google.de/

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 20:34:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 20:34:46
ComboFix-quarantined-files.txt 2008-08-28 18:34:45

Pre-Run: 10 Verzeichnis(se), 102,299,910,144 Bytes frei
Post-Run: 12 Verzeichnis(se), 102,435,856,384 Bytes frei

167 --- E O F --- 2008-08-27 12:09:44



Punkt 6 : File-Upload.net - listing.txt
__________________

Alt 28.08.2008, 21:10   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Cool

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Ok soweit. Die Logs solltest Du aber eigentlich mit Codetags umschlossen posten.
Das Combofix-Log erscheint mir etwas kurz, da fehlt doch was am Anfang - prüf das mal und reich es nach.

Zum Abgleich auch ein neues HijackThis Logfile, nimm dazu diese umbenannte hijackthis.exe
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.08.2008, 14:26   #5
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Oh sorry habe das mit den Codetags übersehen. Hier noch der Rest des Combofix-Logs , da ist wirklich was verloren gegangen , ich hoffe das macht es komplett:

Code:
ATTFilter
 ComboFix 08-08-28.02 - LordEricVI 2008-08-28 20:33:02.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.752 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\LordEricVI\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\actskn43.ocx
C:\WINDOWS\system32\MSINET.oca

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-28  ))))))))))))))))))))))))))))))
.

2008-08-28 20:23 . 2008-08-28 20:23	<DIR>	d--------	C:\Programme\CCleaner
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\Malwarebytes
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-28 19:55 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 19:55 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 18:20 . 2008-08-28 18:20	<DIR>	d--------	C:\Programme\Secunia
2008-08-28 16:20 . 2008-08-28 16:20	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-28 15:46 . 2008-08-28 15:46	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-28 15:36 . 2008-08-28 15:36	<DIR>	d--------	C:\WINDOWS\system32\wTR19
2008-08-28 15:36 . 2008-08-28 15:36	<DIR>	d--------	C:\Temp\dax41
2008-08-28 15:36 . 2008-08-28 15:44	425	--a------	C:\WINDOWS\VRM_Free.exe.ini
2008-08-27 22:53 . 2008-08-27 22:53	<DIR>	d--------	C:\Fraps
2008-08-24 19:51 . 2008-08-27 23:17	<DIR>	d--------	C:\Programme\Garena
2008-08-24 19:51 . 2008-08-24 19:51	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\InstallShield
2008-08-23 20:21 . 2008-08-23 20:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-23 20:20 . 2008-08-24 11:29	<DIR>	d--------	C:\Programme\NOS
2008-08-23 20:20 . 2008-08-24 11:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-08-23 08:22 . 1999-12-17 08:13	86,016	--a------	C:\WINDOWS\unvise32.exe
2008-08-23 08:12 . 2008-08-23 08:32	<DIR>	d--------	C:\Programme\Postal2
2008-08-22 17:10 . 2008-08-22 17:10	<DIR>	d--------	C:\Programme\Groove Games
2008-08-22 16:39 . 2008-08-22 16:39	<DIR>	d--------	C:\Programme\DAEMON Tools
2008-08-22 16:38 . 2008-08-22 16:38	685,816	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2008-08-22 13:07 . 2008-08-22 13:07	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-08-22 13:07 . 2008-08-23 11:09	103,736	--a------	C:\WINDOWS\system32\PnkBstrB.exe
2008-08-22 13:07 . 2008-08-22 14:14	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe
2008-08-22 13:07 . 2008-08-23 11:09	22,328	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-22 13:07 . 2008-08-22 13:07	22,328	--a------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\PnkBstrK.sys
2008-08-22 13:06 . 2008-08-22 13:06	311	--a------	C:\WINDOWS\game.ini
2008-08-22 12:42 . 2008-08-22 12:42	<DIR>	d--------	C:\Programme\Activision
2008-08-22 12:39 . 2008-08-22 12:39	<DIR>	d--hs----	C:\WINDOWS\ftpcache
2008-08-22 12:08 . 2008-08-28 20:10	<DIR>	d--------	C:\Programme\Warcraft III
2008-08-22 11:54 . 2008-08-22 12:17	139,264	--a------	C:\WINDOWS\War3Unin.exe
2008-08-22 11:54 . 2008-08-22 12:36	92,198	--a------	C:\WINDOWS\War3Unin.dat
2008-08-22 11:54 . 2008-08-22 12:17	2,829	--a------	C:\WINDOWS\War3Unin.pif
2008-08-22 11:48 . 2008-08-22 11:48	261	--a------	C:\prefs.js
2008-08-22 11:41 . 2008-08-28 15:36	<DIR>	d--------	C:\Temp
2008-08-22 11:41 . 2008-08-22 17:13	<DIR>	d--------	C:\Program Files
2008-08-22 11:40 . 2008-08-26 16:51	<DIR>	d--------	C:\Programme\ICQLite
2008-08-22 11:40 . 2008-08-22 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\McLoad
2008-08-22 11:40 . 2008-08-22 11:40	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\ICQLite
2008-08-22 01:42 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-22 01:41 . 2008-08-22 01:41	<DIR>	d--------	C:\Programme\VideoLAN
2008-08-22 01:41 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-22 01:41 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-22 01:41 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-22 01:34 . 2008-08-22 01:46	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-22 01:34 . 2008-08-22 01:34	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-22 01:34 . 2008-08-22 01:34	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-22 01:22 . 2008-04-14 04:22	1,306,624	---------	C:\WINDOWS\system32\msxml6.dll
2008-08-22 01:11 . 2008-04-14 04:22	21,504	--a------	C:\WINDOWS\system32\hidserv.dll
2008-08-22 01:11 . 2001-08-17 14:59	3,072	--a------	C:\WINDOWS\system32\drivers\audstub.sys
2008-08-22 01:10 . 2008-04-14 04:22	77,312	--a------	C:\WINDOWS\system32\usbui.dll
2008-08-22 01:10 . 2008-04-14 03:52	57,728	--a------	C:\WINDOWS\system32\drivers\redbook.sys
2008-08-22 01:09 . 2008-08-22 00:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Startmenü
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Favoriten
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-08-22 01:09 . 2008-08-28 15:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Startmenü
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Favoriten
2008-08-22 01:09 . 2008-08-22 16:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Dokumente
2008-08-22 01:08 . 2008-08-28 20:27	<DIR>	d--------	C:\WINDOWS\system32\CatRoot2
2008-08-22 01:08 . 2008-08-22 01:09	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-08-22 01:08 . 2008-08-28 19:55	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-08-22 01:01 . 2008-08-27 14:09	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-08-22 01:01 . 2008-08-22 01:01	<DIR>	d--------	C:\Programme\Avira
2008-08-22 01:01 . 2008-08-22 01:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 17:51	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-22 00:03	---------	d-----w	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\vlc
2008-08-21 22:29	---------	d-----w	C:\Programme\Realtek AC97
2008-08-21 22:25	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-21 22:21	155,995	----a-w	C:\WINDOWS\java\Packages\NH35R9Z5.ZIP
2008-08-21 22:17	---------	d-----w	C:\Programme\microsoft frontpage
2008-08-21 22:16	---------	d-----w	C:\Programme\Online-Dienste
2008-08-21 22:15	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:08	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 04:22 1695232]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2008-05-16 14:01 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-06-19 16:48 851968]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 81920 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\LordEricVI\Startmen\Programme\Autostart\
Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 11:03:08 663552]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hlds.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hl.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Dokumente und Einstellungen\\LordEricVI\\Desktop\\wtvClient.exe"=

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = google.de/

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 20:34:10
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-28 20:34:46
ComboFix-quarantined-files.txt  2008-08-28 18:34:45

Pre-Run: 10 Verzeichnis(se), 102,299,910,144 Bytes frei
Post-Run: 12 Verzeichnis(se), 102,435,856,384 Bytes frei

167	--- E O F ---	2008-08-27 12:09:44
         



und hier das neue HijackThis Logfile:

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:40, on 29.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\LordEricVI\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219358572014
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4201 bytes
         

hoffe das hilft weiter.


Alt 29.08.2008, 14:50   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Icon32

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Hijackthis sieht schonmal ok aus.
BTW: Benutzt Du immer noch den Internet Explorer?

Im CF-Log hab ich einige Sachen entdeckt, neue Vorgehensweise:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])
2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
DirLook::
C:\WINDOWS\system32\wTR19
C:\Temp\dax41

Collect::
C:\WINDOWS\VRM_Free.exe.ini
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
--> HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)

Alt 29.08.2008, 18:24   #7
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Also ich wurde nicht aufgerufen einen neustart zu machen ?.? hab deswegen auch vorerst keinen gemacht . hier jedenfalls die Log Datei :

Code:
ATTFilter
 ComboFix 08-08-28.02 - LordEricVI 2008-08-29 18:18:33.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.731 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\LordEricVI\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\LordEricVI\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\VRM_Free.exe.ini

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-28 bis 2008-08-29  ))))))))))))))))))))))))))))))
.

2008-08-28 20:23 . 2008-08-28 20:23	<DIR>	d--------	C:\Programme\CCleaner
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\Malwarebytes
2008-08-28 19:55 . 2008-08-28 19:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-28 19:55 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 19:55 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 18:20 . 2008-08-28 18:20	<DIR>	d--------	C:\Programme\Secunia
2008-08-28 16:20 . 2008-08-28 16:20	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-28 15:46 . 2008-08-28 15:46	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-08-28 15:36 . 2008-08-28 15:36	<DIR>	d--------	C:\WINDOWS\system32\wTR19
2008-08-28 15:36 . 2008-08-28 15:36	<DIR>	d--------	C:\Temp\dax41
2008-08-27 22:53 . 2008-08-27 22:53	<DIR>	d--------	C:\Fraps
2008-08-24 19:51 . 2008-08-27 23:17	<DIR>	d--------	C:\Programme\Garena
2008-08-24 19:51 . 2008-08-24 19:51	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\InstallShield
2008-08-23 20:21 . 2008-08-23 20:21	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-23 20:20 . 2008-08-24 11:29	<DIR>	d--------	C:\Programme\NOS
2008-08-23 20:20 . 2008-08-24 11:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-08-23 08:22 . 1999-12-17 08:13	86,016	--a------	C:\WINDOWS\unvise32.exe
2008-08-23 08:12 . 2008-08-23 08:32	<DIR>	d--------	C:\Programme\Postal2
2008-08-22 17:10 . 2008-08-22 17:10	<DIR>	d--------	C:\Programme\Groove Games
2008-08-22 16:39 . 2008-08-22 16:39	<DIR>	d--------	C:\Programme\DAEMON Tools
2008-08-22 16:38 . 2008-08-22 16:38	685,816	--a------	C:\WINDOWS\system32\drivers\sptd.sys
2008-08-22 13:07 . 2008-08-22 13:07	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-08-22 13:07 . 2008-08-23 11:09	103,736	--a------	C:\WINDOWS\system32\PnkBstrB.exe
2008-08-22 13:07 . 2008-08-22 14:14	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe
2008-08-22 13:07 . 2008-08-23 11:09	22,328	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-22 13:07 . 2008-08-22 13:07	22,328	--a------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\PnkBstrK.sys
2008-08-22 13:06 . 2008-08-22 13:06	311	--a------	C:\WINDOWS\game.ini
2008-08-22 12:42 . 2008-08-22 12:42	<DIR>	d--------	C:\Programme\Activision
2008-08-22 12:39 . 2008-08-22 12:39	<DIR>	d--hs----	C:\WINDOWS\ftpcache
2008-08-22 12:08 . 2008-08-29 16:34	<DIR>	d--------	C:\Programme\Warcraft III
2008-08-22 11:54 . 2008-08-22 12:17	139,264	--a------	C:\WINDOWS\War3Unin.exe
2008-08-22 11:54 . 2008-08-22 12:36	92,198	--a------	C:\WINDOWS\War3Unin.dat
2008-08-22 11:54 . 2008-08-22 12:17	2,829	--a------	C:\WINDOWS\War3Unin.pif
2008-08-22 11:48 . 2008-08-22 11:48	261	--a------	C:\prefs.js
2008-08-22 11:41 . 2008-08-28 15:36	<DIR>	d--------	C:\Temp
2008-08-22 11:41 . 2008-08-22 17:13	<DIR>	d--------	C:\Program Files
2008-08-22 11:40 . 2008-08-26 16:51	<DIR>	d--------	C:\Programme\ICQLite
2008-08-22 11:40 . 2008-08-22 11:48	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\McLoad
2008-08-22 11:40 . 2008-08-22 11:40	<DIR>	d--------	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\ICQLite
2008-08-22 01:42 . 2008-06-14 19:32	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-22 01:41 . 2008-08-22 01:41	<DIR>	d--------	C:\Programme\VideoLAN
2008-08-22 01:41 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-22 01:41 . 2008-05-01 16:34	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-22 01:41 . 2008-05-08 16:02	203,136	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys
2008-08-22 01:34 . 2008-08-22 01:46	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-08-22 01:34 . 2008-08-22 01:34	<DIR>	d--------	C:\WINDOWS\system32\de
2008-08-22 01:34 . 2008-08-22 01:34	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-08-22 01:22 . 2008-04-14 04:22	1,306,624	---------	C:\WINDOWS\system32\msxml6.dll
2008-08-22 01:11 . 2008-04-14 04:22	21,504	--a------	C:\WINDOWS\system32\hidserv.dll
2008-08-22 01:11 . 2001-08-17 14:59	3,072	--a------	C:\WINDOWS\system32\drivers\audstub.sys
2008-08-22 01:10 . 2008-04-14 04:22	77,312	--a------	C:\WINDOWS\system32\usbui.dll
2008-08-22 01:10 . 2008-04-14 03:52	57,728	--a------	C:\WINDOWS\system32\drivers\redbook.sys
2008-08-22 01:09 . 2008-08-22 00:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Startmenü
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Favoriten
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--h-----	C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-08-22 01:09 . 2008-08-28 15:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Startmenü
2008-08-22 01:09 . 2008-08-22 01:09	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Favoriten
2008-08-22 01:09 . 2008-08-22 16:49	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Dokumente
2008-08-22 01:08 . 2008-08-29 14:28	<DIR>	d--------	C:\WINDOWS\system32\CatRoot2
2008-08-22 01:08 . 2008-08-22 01:09	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-08-22 01:08 . 2008-08-28 19:55	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-08-22 01:01 . 2008-08-27 14:09	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-08-22 01:01 . 2008-08-22 01:01	<DIR>	d--------	C:\Programme\Avira
2008-08-22 01:01 . 2008-08-22 01:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 17:51	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-22 00:03	---------	d-----w	C:\Dokumente und Einstellungen\LordEricVI\Anwendungsdaten\vlc
2008-08-21 22:29	---------	d-----w	C:\Programme\Realtek AC97
2008-08-21 22:25	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-21 22:21	155,995	----a-w	C:\WINDOWS\java\Packages\NH35R9Z5.ZIP
2008-08-21 22:17	---------	d-----w	C:\Programme\microsoft frontpage
2008-08-21 22:16	---------	d-----w	C:\Programme\Online-Dienste
2008-08-21 22:15	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:08	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-07 20:26	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:42	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Temp\dax41 ----


---- Directory of C:\WINDOWS\system32\wTR19 ----

2008-08-28 07:12	32768	--a------	C:\WINDOWS\system32\wTR19\wTR191065.exe 


(((((((((((((((((((((((((((((   snapshot@2008-08-28_20.34.33.09   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-25 02:32:44	218,496	----a-r	C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe
+ 2008-08-28 18:52:42	74,649	----a-w	C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 04:22 1695232]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 17:09 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2008-05-16 14:01 86016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-06-19 16:48 851968]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 09:00 81920 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\LordEricVI\Startmen\Programme\Autostart\
Secunia PSI (RC3).lnk - C:\Programme\Secunia\PSI (RC3)\psi.exe [2008-06-16 11:03:08 663552]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hlds.exe"=
"E:\\Dateien\\Spiele\\Spiele\\cs 1.5 mit wc3 mod an Hannes (192.168.0.1)\\hl.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Dokumente und Einstellungen\\LordEricVI\\Desktop\\wtvClient.exe"=

S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 10:31]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 18:19:45
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-29 18:20:11
ComboFix-quarantined-files.txt  2008-08-29 16:20:09
ComboFix2.txt  2008-08-28 18:34:47

Pre-Run: 10 Verzeichnis(se), 102,275,538,944 Bytes frei
Post-Run: 11 Verzeichnis(se), 102,409,400,320 Bytes frei

168	--- E O F ---	2008-08-27 12:09:44
         
und was ist schlimm am internet explorer? ist der unsicher ?

Alt 29.08.2008, 18:36   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Icon32

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Die Logdatei ist so erstellt worden, wie ich es wollte. Diese Datei

C:\WINDOWS\system32\wTR19\wTR191065.exe

interessiert mich besonders, werte sie bei Virustotal.com aus und poste die Ergebnisse.

Zitat:
und was ist schlimm am internet explorer? ist der unsicher ?
Der IE ist das Hauptangriffsziel im Web, da immer noch ein großer Teil der Userschaft mit dem Schweinebrowser surft - leider ist der IE nicht der allersicherste (schon wg ActiveX) und rel. stark mit Windows verstrickt - daher würde ich Dir auf jeden Fall zu einem sichereren Browser wie z.B. Firefox oder Opera raten.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2008, 11:33   #9
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



So das Virustotal Ergebniss:

Code:
ATTFilter
 Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.8.29.0 2008.08.29 - 
AntiVir 7.8.1.23 2008.08.29 HEUR/Malware 
Authentium 5.1.0.4 2008.08.30 - 
Avast 4.8.1195.0 2008.08.29 - 
AVG 8.0.0.161 2008.08.29 - 
BitDefender 7.2 2008.08.30 Trojan.Downloader.JKGI 
CAT-QuickHeal 9.50 2008.08.29 - 
ClamAV 0.93.1 2008.08.30 - 
DrWeb 4.44.0.09170 2008.08.29 Trojan.DownLoader.56730 
eSafe 7.0.17.0 2008.08.28 - 
eTrust-Vet 31.6.6057 2008.08.29 - 
Ewido 4.0 2008.08.29 - 
F-Prot 4.4.4.56 2008.08.29 - 
F-Secure 7.60.13501.0 2008.08.30 - 
Fortinet 3.14.0.0 2008.08.30 - 
GData 19 2008.08.30 - 
Ikarus T3.1.1.34.0 2008.08.30 - 
K7AntiVirus 7.10.432 2008.08.29 - 
Kaspersky 7.0.0.125 2008.08.30 - 
McAfee 5373 2008.08.29 Generic Downloader.s 
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/VB.AAF 
NOD32v2 3401 2008.08.30 a variant of Win32/TrojanDownloader.VB.AWJ 
Norman 5.80.02 2008.08.29 - 
Panda 9.0.0.4 2008.08.29 - 
PCTools 4.4.2.0 2008.08.29 Trojan-Downloader.VB.AWJ 
Prevx1 V2 2008.08.30 - 
Rising 20.59.51.00 2008.08.30 - 
Sophos 4.33.0 2008.08.30 - 
Sunbelt 3.1.1592.1 2008.08.30 - 
Symantec 10 2008.08.30 Downloader 
TheHacker 6.3.0.6.068 2008.08.30 - 
TrendMicro 8.700.0.1004 2008.08.29 - 
VBA32 3.12.8.4 2008.08.29 - 
ViRobot 2008.8.29.1355 2008.08.29 - 
VirusBuster 4.5.11.0 2008.08.29 - 
Webwasher-Gateway 6.6.2 2008.08.29 Heuristic.Malware 
weitere Informationen 
File size: 32768 bytes 
MD5...: 26f755e89e2d300324d373dc9f36d7d8 
SHA1..: 400af351445d9362f23bfd81bd75a0f21d4cb3ff 
SHA256: cd79bb9cf698b498594b6dca91ffc4d376c95bab37a38ad9ced31f2a9340aa33 
SHA512: aeff49bacccb4b7142a07115bea17ad769854bb1ad622880ad62d7ab17e597e1
ebdc257beacac082cd64e77cd8bec0134c4641a808110bb0c7fd787f2beb4e8e 
PEiD..: - 
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (96.9%)
Generic Win/DOS Executable (1.5%)
DOS Executable Generic (1.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4013a0
timedatestamp.....: 0x48b633c1 (Thu Aug 28 05:12:33 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x43bc 0x5000 4.97 5cdd148f6a1244789ca889b649ccaf48
.data 0x6000 0xa0c 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x8c4 0x1000 1.88 982112d0c9059846f65eaddb11f85847

( 1 imports ) 
> MSVBVM60.DLL: _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaAryMove, __vbaStrVarMove, __vbaLenBstr, __vbaFreeVarList, _adj_fdiv_m64, _adj_fprem1, __vbaStrCat, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryDestruct, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, __vbaVarIndexLoad, _CIsin, -, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaStrCmp, __vbaVarTstEq, __vbaPutOwner3, __vbaI2I4, __vbaObjVar, _adj_fpatan, __vbaLateIdCallLd, EVENT_SINK_Release, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaStrVarVal, __vbaVarCat, __vbaI2Var, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, -, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaVarSetVar, __vbaLateMemCall, __vbaVarDup, __vbaVarCopy, __vbaVarLateMemCallLd, __vbaVarSetObjAddref, _CIatan, __vbaStrMove, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )
         

Alt 30.08.2008, 11:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Blinzeln

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
folders to delete:
C:\WINDOWS\system32\wTR19
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.08.2008, 17:37   #11
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



So:

Code:
ATTFilter
 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\system32\wTR19" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Alt 06.09.2008, 13:48   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Cool

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Hallo,

ich hab Deinen Strang wieder fast vergessen.
Wie ist denn mittlerweile das Systemverhalten? Hat sich in den Tagen was verändert zum Positivem/Negativem?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.09.2008, 14:42   #13
EricXII
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Standard

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



also probleme habe ich eig keine mehr im moment... danke dafür^^
wie kann ich denn solche probleme in zukunft verhindern (abgesehen von AntiVir und Firewall )
welche einstellungen sollte ich zB bei meinem browser auswählen (cookies, sicherheit etc)?

Alt 09.09.2008, 18:36   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Cool

HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)



Zitat:
Zitat von EricXII Beitrag anzeigen
wie kann ich denn solche probleme in zukunft verhindern (abgesehen von AntiVir und Firewall )
Im Groben:
  • Software ständig aktuell halten, v.a. Windows!
  • unsichere Programme wie Internet Explorer und Outlook Express nicht verwenden
  • skeptisch sein, nicht alles anklicken, vertraue nicht blind allein dem Virenscanner!
  • regelmäßig ein Backup durchführen
  • mit eingeschränkten Rechten surfen - ist zwar anfangs unter Windows eine Umgewöhnung, aber machbar
Ausführlicher wird alles hier beschrieben.

Zitat:
welche einstellungen sollte ich zB bei meinem browser auswählen (cookies, sicherheit etc)?
Ich würde Dir einen aktuellen Firefox empfehlen, dazu die Erweiterungen noscript und Adblock+.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)
adobe, antivirus, avgnt, avgnt.exe, avira, crypt.xpack.gen, drivers, einstellungen, enigma, geld, hijack, hijackthis, hkus\s-1-5-18, hängt, internet, internet explorer, keine ahnung, logfile, popups, problem, programm, rundll, scan, security, security suite, software, system, temp, tr/crypt.xpack.ge, trojaner, warnung, windows, windows xp, windows xp sp3, windows\system32\drivers, xp sp3



Ähnliche Themen: HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)


  1. TR/Crypt.XPACK.Gen - Problem
    Log-Analyse und Auswertung - 04.04.2012 (32)
  2. Problem mit ein Trojaner TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 03.03.2011 (56)
  3. TR/Crypt.XPACK.Gen Problem
    Plagegeister aller Art und deren Bekämpfung - 20.02.2011 (5)
  4. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  5. Habe/Hatte 2 Trojaner: TR/Crypt.XPACK.Gen UND TR/Dldr.WMA.Wimad.X....HILFE!!!
    Plagegeister aller Art und deren Bekämpfung - 22.09.2009 (20)
  6. Habe 2 Viren (TR.Redol.C, TR/Crypt.XPACK.Gen) bitte helft mir
    Plagegeister aller Art und deren Bekämpfung - 05.09.2009 (5)
  7. HILFE! Habe TR/Dropper.Gen und TR/Crypt.Xpack.Gen was soll ich tun?
    Log-Analyse und Auswertung - 14.08.2009 (1)
  8. Problem mit TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.03.2009 (9)
  9. TR/Crypt.XPACK.Gen TROJANER - "Rest"problem
    Plagegeister aller Art und deren Bekämpfung - 27.12.2008 (9)
  10. Problem mit Trojaner. (Crypt.XPACK.Gen)
    Mülltonne - 16.12.2008 (0)
  11. TR/Crypt.XPACK.Gen Problem
    Log-Analyse und Auswertung - 04.12.2008 (0)
  12. Habe mir einen Virus eingefangen-TR/Crypt.XPACK.Gen-WER KANN HELFEN
    Plagegeister aller Art und deren Bekämpfung - 12.09.2008 (2)
  13. Problem mit dem Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 14.07.2008 (6)
  14. Hilfe habe: VundO.gen & Crypt.XPack.gen drauf bitte mal Log-Flie checken.danke.
    Mülltonne - 04.07.2008 (0)
  15. Problem mit TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (4)
  16. TR/Crypt.XPACK.GEN: Problem!
    Mülltonne - 30.09.2007 (0)
  17. Habe TR/Crypt.XPACK.Gen und Problem mit eScan
    Plagegeister aller Art und deren Bekämpfung - 01.02.2007 (2)

Zum Thema HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) - Also keine ahnung wie ich den bekommen habe , aber ich hab laut meinem antivirenprogramm antivir 2 trojaner : Bericht von AntiVir: "Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] - HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?)...
Archiv
Du betrachtest: HAbe ein Problem mit Crypt.XPACK.Gen Trojaner (VirusRemover2008?) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.