Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/CryptXPACK.Gen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.08.2008, 11:11   #1
ac-demic
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



Hallo Virenjäger :-)

Habe hier ein Problem mit dem oben genannten Virus. Manchmal kommt vom AV-Guard nach Systemstart eine Meldung, dass es da ist, bearbeite ich ihn aber irgendwie, erscheint er 1-2 Sekunden später erneut.

Manchmal gibt es sogar zwei von den Dingern. Die scheinen so mächtig zu sein, dass sie sogar mein System blockieren, d.h. ehe ich mit den AV-Guard nicht wenigstens einen von den beiden weggeklickt habe (wohlbemerkt erscheinen die auch nach 2 Sekunden erneut), führt mein Rechner keine meiner Anweisungen aus.

Das Ding steckt in:
C:\WINDOWS\system\fccdeFuS.dll

Mein HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:02, on 31.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/aoe/article/aofenicknamerequired?StopLoginReturnCookie=true
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {2935C200-7E7D-4257-B9D4-EE75BAA206C9} - C:\WINDOWS\system32\xxyXNGvv.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: {b83fff69-528a-9198-1214-a6dface885b7} - {7b588eca-fd6a-4121-8919-a82596fff38b} - C:\WINDOWS\system32\vfhfob.dll (file missing)
O2 - BHO: (no name) - {A3336E94-35E3-46A1-805A-FAEF8D115FF7} - C:\WINDOWS\system32\fccdeFuS.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\faceback.exe 61A847B5BBF72810329B385575FA01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BM5b90d581] Rundll32.exe "C:\WINDOWS\system32\iegaawgl.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SfKg6wIPu] C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Microsoft\Windows\ljbgf.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/chuzzle/popcaploader_v6.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/zuma/oberongamesloader.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: xxyXNGvv - xxyXNGvv.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 5591 bytes

____________

Ich hab versucht, die empfindlichen Daten aus dem Hijack zu anonymisieren, wenn noch andere private Dinge drin stehen, bitte ich die Mods, die auch noch rauszunehmen :-)

Danke

Alt 31.08.2008, 11:34   #2
DJINNI
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



..mach eine Datensicherung und setzt neu auf, nach der Formatierung.
danach update dein Windows auf SP3 und deinen IE auf 7.
erstell/brenn dir, für die Zukunft ein Image
und bedenke dein Surfverhalten?
..währe mein Tipp dazu.
__________________


Alt 31.08.2008, 12:32   #3
undoreal
/// AVZ-Toolkit Guru
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



Halli hallo ac-demic

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Installation des aktuellen ServicePacks:.
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista

Deinstalliere bitte AdAware!

Kofiguriere AntiVir aggressiv.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\fccdeFuS.dll
C:\WINDOWS\faceback.exe
C:\WINDOWS\system32\iegaawgl.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________
__________________

Alt 04.09.2008, 12:20   #4
ac-demic
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



Zitat:
Zitat von undoreal Beitrag anzeigen
Halli hallo ac-demic

Danke für die rasche Antwort. Es sind ein paar Probleme aufgetreten:

_______________________
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
    Ich hab es durchgejagt, aber bin auf drei problematische Programme gestoßen, die ich auch nicht deinstallieren konnte:
    - Emule (alte Version, schon längst nicht mehr in Verwendung)
    - WinZip (Update unmöglich)
    - Java (alte Version, aktuellere liegt bereits vor)


  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
    Erledigt


  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
    Wie geht das?


  • Windows Update -> Der Frischmacher.
    .
    Scheitert. Beim Update erscheint eine Fehlermeldung, dass eine Seite nicht aufgerufen werden konnte. Aber es wurde eine Installation durchgeführt. Wie kann ich meine Version manuell prüfen? Automatische Updates lassen sich zwar auf eine bestimmte Zeit festsetze, allerdings wird da nichts runtergeladen und der Rechenr gibt an, dass die automatischen Updates deaktiviert wären...


  • Installation des aktuellen ServicePacks:.
    Erledigt


  • Vernünftige Ordneransicht -> Einstellungen.
    .
    Erledigt


  • Abschalten unnötiger Dienste:Erledigt



    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
    Der Link funktioniert bei mir nicht richtig. Meine firewall wird ähnlich den Updates als aktiviert angezeigt, aber ab und erscheint die Meldung, sie wäre nicht aktiv. Ich gehe mal davon aus, dass sie inaktiv geschalten ist...


  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
    Erledigt. Aber was passiert, wenn ich die Dienste doch wieder benötige?


  • Räume mit cCleaner auf; Punkte 1&2.
    .

Deinstalliere bitte AdAware!

Erledigt

Kofiguriere AntiVir aggressiv.




_____________________


Dateien Online überprüfen lassen:
xxxxxxxxxx

Geändert von ac-demic (04.09.2008 um 13:18 Uhr)

Alt 04.09.2008, 14:01   #5
ac-demic
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



So, bis auf die rot genannten Punkte habe ich oben nun alles erfüllt. Probleme traten auf:

1. Sicherheitscenter sieht Gefährdung, da Firewall abgeschalten und Updates abgeschalten. Aber diese beiden Dinge sind eigentlich aktiviert...

2. Secunia PSI findet die drei oben genannten Dateien noch und erklärt sie als unsicher.

3. Ich weiß nicht, wie ich meine Treiber aktualisieren kann

_____________________________________

Analyse von fccdeFuS.dll:
Code:
ATTFilter
AhnLab-V3	2008.9.4.2	2008.09.04	-
AntiVir	7.8.1.28	2008.09.04	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.09.03	-
Avast	4.8.1195.0	2008.09.04	Win32:Trojan-gen {Other}
AVG	8.0.0.161	2008.09.04	Generic11.PTC
BitDefender	7.2	2008.09.04	-
CAT-QuickHeal	9.50	2008.09.02	-
ClamAV	0.93.1	2008.09.04	-
DrWeb	4.44.0.09170	2008.09.04	Trojan.Virtumod.based.23
eSafe	7.0.17.0	2008.09.03	-
eTrust-Vet	31.6.6069	2008.09.04	Win32/VundoCryptorL!Generic
Ewido	4.0	2008.09.03	-
F-Prot	4.4.4.56	2008.09.03	-
F-Secure	8.0.14332.0	2008.09.04	Trojan.Win32.Monder.kqo
Fortinet	3.14.0.0	2008.09.03	W32/Monder.KQO!tr
GData	19	2008.09.04	Trojan.Win32.Monder.kqo
Ikarus	T3.1.1.34.0	2008.09.04	Win32.Rigel.6468
K7AntiVirus	7.10.439	2008.09.03	-
Kaspersky	7.0.0.125	2008.09.04	Trojan.Win32.Monder.kqo
McAfee	5376	2008.09.03	-
Microsoft	1.3903	2008.09.04	Trojan:Win32/Vundo.AY
NOD32v2	3414	2008.09.04	-
Norman	5.80.02	2008.09.04	-
Panda	9.0.0.4	2008.09.03	Suspicious file
PCTools	4.4.2.0	2008.09.03	-
Prevx1	V2	2008.09.04	Fraudulent Security Program
Rising	20.60.31.00	2008.09.04	Trojan.PSW.Win32.GameOL.pxn
Sophos	4.33.0	2008.09.04	Sus/Behav-278
Sunbelt	3.1.1582.1	2008.09.02	-
Symantec	10	2008.09.04	-
TheHacker	6.3.0.8.072	2008.09.04	-
TrendMicro	8.700.0.1004	2008.09.04	-
VBA32	3.12.8.4	2008.09.03	-
ViRobot	2008.9.4.1363	2008.09.04	-
VirusBuster	4.5.11.0	2008.09.03	-
Webwasher-Gateway	6.6.2	2008.09.04	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 249856 bytes
MD5...: 29fb58ce44cebadfe2c988352f13462d
SHA1..: 118a5b607e4e607b05d9009ddc63207ac09e1c36
SHA256: 6cae1db6bda5b97420aaf1638e953802f8f580e1d9a552831e9b42c27135713b
SHA512: 461583e07104befe6c4ef5b4af3468a82b96ed65788c81968c32d67da6e036db
7fbd1c1855642f07c8958451358d7169575138a05e3f5321e12d0925482c0095
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.5%)
Clipper DOS Executable (14.7%)
Generic Win/DOS Executable (14.6%)
DOS Executable Generic (14.6%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x23ed5 0x23800 8.00 26e3b2c91470d809b46e8423ce60696a
.data 0x25000 0xa0e 0x400 2.95 f971a1e305e772fec697b8e59965f940
.rdata 0x26000 0x7daf3 0x19000 8.00 18270fde7872cf402855e2a7e2e04734

( 2 imports ) 
> user32.dll: DrawIcon, EnableScrollBar, EnableWindow, EndDeferWindowPos, DestroyWindow, LoadCursorFromFileA, OffsetRect, ShowCursor, DestroyCaret, CreateCursor, CloseWindow, IsCharUpperA, CharUpperA
> KERNEL32.dll: LocalAlloc, GetSystemTimeAsFileTime, EnterCriticalSection, lstrcpyA

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=10C02B3100E9B24FD080031C17A99400E67EB476
         
Analyse von Faceback:
Nicht mehr vorhanden, hab ich vor kurzem entfernen können.

Analyse von iegaawgl.dll:
Auch nicht mehr vorhanden

Analyse von mshyvi.dll:
Code:
ATTFilter
AhnLab-V3	2008.9.4.2	2008.09.04	-
AntiVir	7.8.1.28	2008.09.04	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.09.03	-
Avast	4.8.1195.0	2008.09.04	-
AVG	8.0.0.161	2008.09.04	-
BitDefender	7.2	2008.09.04	-
CAT-QuickHeal	9.50	2008.09.02	-
ClamAV	0.93.1	2008.09.04	-
DrWeb	4.44.0.09170	2008.09.04	-
eSafe	7.0.17.0	2008.09.03	Suspicious File
eTrust-Vet	31.6.6069	2008.09.04	-
Ewido	4.0	2008.09.03	-
F-Prot	4.4.4.56	2008.09.03	-
F-Secure	8.0.14332.0	2008.09.04	-
Fortinet	3.14.0.0	2008.09.03	-
GData	19	2008.09.04	Trojan.Win32.Monder.gen
Ikarus	T3.1.1.34.0	2008.09.04	Win32.Rigel.6468
K7AntiVirus	7.10.439	2008.09.03	-
Kaspersky	7.0.0.125	2008.09.04	Trojan.Win32.Monder.gen
McAfee	5376	2008.09.03	-
Microsoft	1.3903	2008.09.04	-
NOD32v2	3414	2008.09.04	-
Norman	5.80.02	2008.09.04	-
Panda	9.0.0.4	2008.09.03	-
PCTools	4.4.2.0	2008.09.03	-
Prevx1	V2	2008.09.04	Cloaked Malware
Rising	20.60.31.00	2008.09.04	Packer.Win32.Agent.v
Sophos	4.33.0	2008.09.04	Sus/Behav-278
Sunbelt	3.1.1582.1	2008.09.02	-
Symantec	10	2008.09.04	-
TheHacker	6.3.0.8.072	2008.09.04	-
TrendMicro	8.700.0.1004	2008.09.04	PAK_Generic.001
VBA32	3.12.8.4	2008.09.03	-
ViRobot	2008.9.4.1363	2008.09.04	-
VirusBuster	4.5.11.0	2008.09.03	-
Webwasher-Gateway	6.6.2	2008.09.04	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 108544 bytes
MD5...: 4c6f76a0babc32d15f2d087c1b85815f
SHA1..: 4142668f6f26699c0592a108375fc9404822b793
SHA256: 30b432dbb5906723b4094de8dd67eb5e4bf5dbee19a4e5edf9fadd7c214f5903
SHA512: fc2c2e50ba15c3ef249e5577119bff774dde65ae2402a96f355a059f7590cfd3
7e0186f95c0bcd3efffa3854c3f8c6219898b3a05ae2af70e6db5f34d2a9ad95
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15781 0x15200 7.99 7cc50933fb32180eb1b78c3b3d6c91d4
.data 0x17000 0xb44 0x400 4.55 8556ea6285d68f15178bda354b2e0c67
.rdata 0x18000 0x26ce6 0x4e00 7.81 399a42169029666245653883069e3d0d

( 3 imports ) 
> user32.dll: DrawTextA, EnableMenuItem, EnableScrollBar, EndPaint, EqualRect, GetDlgItem, IsCharUpperA, LoadAcceleratorsA, DrawStateA, LoadMenuA, MessageBoxA, OemToCharBuffA, OemToCharW, OffsetRect, SetCursor, SetMenuInfo, ToAscii, DestroyWindow, DestroyCursor, DefDlgProcA, CreateIcon, CreateDialogParamA, CreateCursor, CloseWindow, LoadBitmapA, CharUpperA
> KERNEL32.dll: OpenFileMappingA, Sleep, VirtualFree, OpenFile
> advapi32.dll: RegCloseKey, RegOpenKeyExA, RegQueryValueA

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AD517C7E004F282EA893016455A9BD002345EA33
packers (Kaspersky): PE_Patch
         
Analyse von sesbwbtf.dll:
Code:
ATTFilter
AhnLab-V3	2008.9.4.2	2008.09.04	-
AntiVir	7.8.1.28	2008.09.04	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.09.03	-
Avast	4.8.1195.0	2008.09.04	-
AVG	8.0.0.161	2008.09.04	-
BitDefender	7.2	2008.09.04	-
CAT-QuickHeal	9.50	2008.09.02	-
ClamAV	0.93.1	2008.09.04	-
DrWeb	4.44.0.09170	2008.09.04	-
eSafe	7.0.17.0	2008.09.03	Suspicious File
eTrust-Vet	31.6.6069	2008.09.04	-
Ewido	4.0	2008.09.03	-
F-Prot	4.4.4.56	2008.09.03	-
F-Secure	8.0.14332.0	2008.09.04	-
Fortinet	3.14.0.0	2008.09.03	-
GData	19	2008.09.04	Trojan.Win32.Monder.gen
Ikarus	T3.1.1.34.0	2008.09.04	Win32.Rigel.6468
K7AntiVirus	7.10.439	2008.09.03	-
Kaspersky	7.0.0.125	2008.09.04	Trojan.Win32.Monder.gen
McAfee	5376	2008.09.03	-
Microsoft	1.3903	2008.09.04	-
NOD32v2	3414	2008.09.04	-
Norman	5.80.02	2008.09.04	-
Panda	9.0.0.4	2008.09.03	Suspicious file
PCTools	4.4.2.0	2008.09.03	-
Prevx1	V2	2008.09.04	Fraudulent Security Program
Rising	20.60.31.00	2008.09.04	Packer.Win32.Agent.v
Sophos	4.33.0	2008.09.04	Sus/Behav-278
Sunbelt	3.1.1582.1	2008.09.02	-
Symantec	10	2008.09.04	-
TheHacker	6.3.0.8.072	2008.09.04	-
TrendMicro	8.700.0.1004	2008.09.04	PAK_Generic.001
VBA32	3.12.8.4	2008.09.03	Trojan.Win32.Monder.gdl
ViRobot	2008.9.4.1363	2008.09.04	-
VirusBuster	4.5.11.0	2008.09.03	-
Webwasher-Gateway	6.6.2	2008.09.04	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 85504 bytes
MD5...: 7309e6b4a017162b8dba0e5165495ea1
SHA1..: 81a01bcf1694b1b6accef506b75f689dc2b55c07
SHA256: d095bb6410bbbfdbd46e540326a206d89ba37786e271e4bbec7dca70c36f3280
SHA512: 54288377a18d9e5f67b71faf985abf11ccfba5a43c66860cd8aa7c16508ad9f6
830248e7cfbb2c603b46f2bc18b88ad282db2484b907c81186af5c4cc91f5848
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (55.5%)
Clipper DOS Executable (14.7%)
Generic Win/DOS Executable (14.6%)
DOS Executable Generic (14.6%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001000
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x85bd 0x8a00 7.97 2f02062257ff1c25a5b8d5a32c24b243
.data 0xa000 0x8b4 0x400 3.01 e919bc2ec87128cecae9c56b611f6ac9
.rdata 0xb000 0x1ff55 0xbc00 7.96 939eb8de0bf19844bad8186d501bc5df

( 3 imports ) 
> user32.dll: SetMenuInfo, GetCursor, EndMenu, DeleteMenu, CreateDesktopW, CreateCursor, CopyRect, CharUpperA, CharLowerA, BeginPaint
> KERNEL32.dll: GetDateFormatA, ReadFile, SetLastError, TlsSetValue, lstrlenA, lstrcpynA, RaiseException
> advapi32.dll: RegQueryValueA, RegOpenKeyExA, RegCloseKey

( 0 exports ) 
Prevx info: http://info.prevx.com/aboutprogramte...7ED600D81D0E2E
packers (Kaspersky): PE_Patch
         

_____________________

Mein aktueller HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:55, on 04.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zone.msn.com/en/aoe/article/a...urnCookie=true
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [58a3e61d] rundll32.exe "C:\WINDOWS\system32\sesbwbtf.dll",b
O4 - HKLM\..\Run: [BM5b90d581] Rundll32.exe "C:\WINDOWS\system32\hvmawebm.dll",s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramewor...o.cab34246.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://msnde.oberon-media.com/online...ploader_v6.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnde.oberon-media.com/online...amesloader.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCDD593D-DE55-44BB-ADDB-338FE34895CB}: NameServer = 145.253.2.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: mshyvi.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 5868 bytes


Geändert von ac-demic (04.09.2008 um 14:15 Uhr) Grund: Untersuchung weiterer Dateien

Alt 04.09.2008, 14:15   #6
undoreal
/// AVZ-Toolkit Guru
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Scanne deinen rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.
__________________
--> TR/CryptXPACK.Gen

Alt 04.09.2008, 20:16   #7
ac-demic
 
TR/CryptXPACK.Gen - Standard

TR/CryptXPACK.Gen



Zunächst der ComboFix-Bericht:

Code:
ATTFilter
ComboFix 08-09-03.03 - Matthias 2008-09-04 19:53:58.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.237 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Matthias\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM5b90d581.txt
C:\WINDOWS\BM5b90d581.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\byXnNETN.dll
C:\WINDOWS\system32\clivuylm.ini
C:\WINDOWS\system32\eivmljcx.ini
C:\WINDOWS\system32\fccdeFuS.dll
C:\WINDOWS\system32\fkwnjgdk.dll
C:\WINDOWS\system32\ftbwbses.ini
C:\WINDOWS\system32\gudcames.dll
C:\WINDOWS\system32\icemqnmd.exe
C:\WINDOWS\system32\ispqqf.dll
C:\WINDOWS\system32\jgfglnll.ini
C:\WINDOWS\system32\jzuqug.dll
C:\WINDOWS\system32\kcamgkvf.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mshyvi.dll
C:\WINDOWS\system32\njtuwrgl.exe
C:\WINDOWS\system32\pdbdxbjg.dll
C:\WINDOWS\system32\rkwxvnde.dll
C:\WINDOWS\system32\skeqiwco.dll
C:\WINDOWS\system32\SuFedccf.ini
C:\WINDOWS\system32\SuFedccf.ini2
C:\WINDOWS\system32\uyfjdsav.dll
C:\WINDOWS\system32\wpjqgaul.exe
C:\WINDOWS\system32\yrkfywyi.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-04 bis 2008-09-04  ))))))))))))))))))))))))))))))
.

2025-01-28 20:16 . 2001-08-17 14:59	3,072	--a------	C:\WINDOWS\system32\drivers\audstub.sys
2025-01-28 20:15 . 2008-04-14 07:22	57,728	--a------	C:\WINDOWS\system32\drivers\redbook.sys
2025-01-28 20:15 . 2008-04-14 00:06	46,464	--a------	C:\WINDOWS\system32\drivers\gagp30kx.sys
2025-01-28 20:15 . 2001-08-17 13:13	27,165	--a------	C:\WINDOWS\system32\drivers\fetnd5.sys
2025-01-28 20:14 . 2008-04-14 07:52	77,312	--a------	C:\WINDOWS\system32\usbui.dll
2025-01-28 20:12 . 2007-11-18 22:46	<DIR>	d--------	C:\Dokumente und Einstellungen
2008-09-04 13:29 . 2008-09-04 13:29	<DIR>	d--------	C:\Programme\Avira
2008-09-04 13:29 . 2008-09-04 13:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-04 13:14 . 2008-09-04 13:15	<DIR>	d--------	C:\Programme\CCleaner
2008-09-04 12:32 . 2008-09-04 12:35	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-09-04 12:27 . 2006-12-29 00:31	19,569	--a------	C:\WINDOWS\002952_.tmp
2008-09-04 11:58 . 2008-07-18 22:09	29,896	--a------	C:\WINDOWS\system32\wuapi.dll.mui
2008-09-03 18:29 . 2008-09-03 18:29	<DIR>	d--------	C:\Programme\Sun
2008-09-03 17:55 . 2008-09-03 17:55	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Adobe
2008-09-03 17:49 . 2008-09-03 17:49	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-09-03 17:38 . 2008-09-03 17:38	<DIR>	d--------	C:\Programme\Secunia
2008-08-31 10:49 . 2008-08-31 10:49	<DIR>	d--------	C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-08-18 14:00 . 2008-08-18 14:01	160	--a------	C:\WINDOWS\ADRESS.DAT
2008-08-18 13:54 . 2008-08-18 14:32	300	--a------	C:\WINDOWS\PROFED32.INI
2008-08-17 23:58 . 2008-08-17 23:58	<DIR>	d--------	C:\WINDOWS\Downloaded Installations
2008-08-14 10:44 . 2008-04-11 21:04	691,712	-----c---	C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-07 10:58 . 2008-08-07 10:58	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\xing shared
2008-08-07 10:12 . 2008-08-07 10:12	<DIR>	d--------	C:\Programme\AskSBar
2008-08-07 10:11 . 2008-08-07 10:57	<DIR>	d--------	C:\Programme\COMODO
2008-08-07 10:11 . 2008-08-07 10:11	<DIR>	d--------	C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Comodo
2008-08-07 10:11 . 2008-08-07 10:11	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-08-06 20:25 . 2008-09-03 18:10	<DIR>	d--------	C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Shareaza
2008-08-06 20:24 . 2008-08-06 20:24	<DIR>	d--------	C:\Programme\MSXML 6.0

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-04 11:15	---------	d-----w	C:\Programme\Yahoo!
2008-09-04 11:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-03 16:28	---------	d-----w	C:\Programme\Java
2008-09-03 16:27	---------	d-----w	C:\Programme\S****
2008-09-03 16:17	---------	d-----w	C:\Programme\Opera
2008-09-03 16:10	---------	d-----w	C:\Programme\S****
2008-09-03 15:49	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Skype
2008-09-03 15:46	---------	d-----w	C:\Programme\eMule.de
2008-08-27 16:53	---------	d-----w	C:\Programme\ICQ6
2008-08-25 21:34	---------	d-----w	C:\Programme\mIRC
2008-08-07 09:45	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\gtk-2.0
2008-08-07 08:11	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real
2008-08-06 19:38	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-06 18:32	---------	d-----w	C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ICQ
2008-08-06 18:25	---------	d-----w	C:\Programme\DivX
2008-08-06 18:24	---------	d-----w	C:\Programme\Microsoft.NET
2008-08-06 17:51	---------	d-----w	C:\Programme\Microsoft SQL Server
2008-07-09 14:51	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-07-09 14:37	---------	d-----w	C:\Programme\Sunbelt Software
2008-07-06 11:31	---------	d-----w	C:\Programme\Inkscape
2008-07-06 11:31	---------	d-----w	C:\Dokumente und Einstellungen\****\Anwendungsdaten\Inkscape
2004-06-05 18:47	41,703	----a-w	C:\Programme\rorwdv61.zip
2004-04-24 17:22	9,696	----a-w	C:\Programme\infra-red.nfo
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2005-09-06 450560]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=mshyvi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^****^Startmenü^Programme^Autostart^Secunia PSI (RC3).lnk]
path=C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Secunia PSI (RC3).lnk
backup=C:\WINDOWS\pss\Secunia PSI (RC3).lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 14:28 266497 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-08-24 17:14 173304 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-06-25 02:33 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
-ra------ 2004-10-01 10:31 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SQLWriter"=2 (0x2)
"MSSQL$SQLEXPRESS"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\InterVideo\\DVD6\\WinDVD.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Secunia\\PSI (RC3)\\psi.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 17152]
S3 PSI;PSI;C:\WINDOWS\system32\DRIVERS\psi_mf.sys [2008-06-16 7808]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Notify-xxyXNGvv - xxyXNGvv.dll
MSConfigStartUp-VTTrayp - VTtrayp.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Matthias\****\Mozilla\Firefox\Profiles\12bvr2ri.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 19:59:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-04 20:07:47 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-04 18:07:41

Pre-Run: 18 Verzeichnis(se), 31,354,626,048 Bytes frei
Post-Run: 21 Verzeichnis(se), 31,270,985,728 Bytes frei

179	--- E O F ---	2008-08-14 09:37:29
         
Mein Sicherheitscenter arbeitet jetzt zumindest wieder korrekt, Firewall und Updates werden korrekt geladen. Mal schauen, was die beiden Programme sagen:

Nächste Woche, nach dem Urlaub ist genug Zeit, den Scan vollständig durchzujagen

Geändert von ac-demic (04.09.2008 um 20:46 Uhr)

Antwort

Themen zu TR/CryptXPACK.Gen
ad-aware, adobe, antivir, antivirus, avira, bho, dateien, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, microsoft, object, opera, problem, programme, rundll, sekunden, software, urlsearchhook, windows, windows xp, xpack.gen



Ähnliche Themen: TR/CryptXPACK.Gen


  1. Trojaner TR/Cryptxpack.gen3 lässt sich nicht entfernen
    Log-Analyse und Auswertung - 19.08.2011 (26)
  2. Problem mit Trojaner TR/CryptXPACK.Gen
    Log-Analyse und Auswertung - 09.11.2010 (3)
  3. Trojaner TR/CryptXPACK.Gen3 auf Notebook
    Plagegeister aller Art und deren Bekämpfung - 22.10.2010 (5)
  4. TR/CryptXPACK.Gen lässt sich nicht vom Rechner entfernen
    Log-Analyse und Auswertung - 14.03.2009 (3)
  5. TR/Cryptxpack.gen=3x Problem
    Mülltonne - 12.11.2008 (0)
  6. TR/CryptXPACK.Gen
    Mülltonne - 26.10.2008 (0)
  7. Trojaner TR/CryptXPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (1)
  8. TR/CryptXpack.gen und Kollegen......
    Log-Analyse und Auswertung - 17.06.2008 (8)

Zum Thema TR/CryptXPACK.Gen - Hallo Virenjäger :-) Habe hier ein Problem mit dem oben genannten Virus. Manchmal kommt vom AV-Guard nach Systemstart eine Meldung, dass es da ist, bearbeite ich ihn aber irgendwie, erscheint - TR/CryptXPACK.Gen...
Archiv
Du betrachtest: TR/CryptXPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.