Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.XPACK.Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.09.2008, 20:56   #16
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Bitte komplett posten - das hier fehlt:

(Ein Beispiel)
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 21:04   #17
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Sry. Habs mal als Screen gemacht, ist übersichtlicher.

Entschuldige die schlechte Quali.
Miniaturansicht angehängter Grafiken
TR/Crypt.XPACK.Gen-virus2.jpg  
__________________


Geändert von alex1402 (19.09.2008 um 21:12 Uhr)

Alt 19.09.2008, 21:09   #18
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Sieht böse aus, ein Keylogger.
Dem rücken wir jetzt zu Leibe:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________
__________________

Alt 19.09.2008, 21:46   #19
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Code:
ATTFilter
ComboFix 08-09-19.02 - Alexander 2008-09-19 21:26:50.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.453 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Alexander\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\h@tkeysh@@k.dll
Current_NameSpace_Catalog	REG_SZ         	NameSpace_Catalog5
Current_Protocol_Catalog	REG_SZ         	Protocol_Catalog9
DisplayString	REG_SZ         	NLA-Namespace
DisplayString	REG_SZ         	NTDS
DisplayString	REG_SZ         	TCP/IP
Enabled	REG_DWORD      	1 (0x1)
H:\install.exe
HKEY_LOCAL_MACHINE\software\swearware\lsp
HKEY_LOCAL_MACHINE\software\swearware\lsp\services
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\NameSpace_Catalog5\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000004
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000005
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000006
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000007
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000008
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000009
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000010
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000011
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000012
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000013
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000014
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000015
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000016
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000017
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000018
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000019
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000020
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000021
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000022
HKEY_LOCAL_MACHINE\software\swearware\lsp\services\winsock2\parameters\Protocol_Catalog9\Catalog_Entries\000000000023
LibraryPath	REG_SZ         	%SystemRoot%\System32\mswsock.dll
LibraryPath	REG_SZ         	%SystemRoot%\System32\winrnr.dll
Next_Catalog_Entry_ID	REG_DWORD      	2596 (0xa24)
Num_Catalog_Entries	REG_DWORD      	23 (0x17)
Num_Catalog_Entries	REG_DWORD      	3 (0x3)
PackedCatalogItem	REG_EXPAND_SZ  	%SystemRoot%\system32\mswsock.dll
PackedCatalogItem	REG_EXPAND_SZ  	%SystemRoot%\system32\rsvpsp.dll
ProviderId	REG_EXPAND_SZ  	:$Bf¨;¦Jº¥.×݃
ProviderId	REG_EXPAND_SZ  	@ž~Ï®Z
ProviderId	REG_EXPAND_SZ  	î7&;€åÏ¥U
Serial_Access_Num	REG_DWORD      	4 (0x4)
Serial_Access_Num	REG_DWORD      	400 (0x190)
SteelWerX Registry Console Tool 2.0
StoresServiceClassInfo	REG_DWORD      	0 (0x0)
SupportedNameSpace	REG_DWORD      	12 (0xc)
SupportedNameSpace	REG_DWORD      	15 (0xf)
SupportedNameSpace	REG_DWORD      	32 (0x20)
Version	REG_DWORD      	0 (0x0)
WinSock_Registry_Version	REG_SZ         	2.0
Written by Bobbi Flekman 2006 (C)

.
(((((((((((((((((((((((   Dateien erstellt von 2008-08-19 bis 2008-09-19  ))))))))))))))))))))))))))))))
.

2008-09-19 21:35 . 	804		C:\WINDOWS\system32\CSC4.tmp
2008-09-19 21:15 . 2008-09-19 21:15	<DIR>	d--------	C:\Programme\CCleaner
2008-09-19 15:03 . 2008-09-19 15:03	<DIR>	d--------	C:\Programme\blacklight
2008-09-19 15:01 . 2008-09-19 15:05	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-19 15:01 . 2008-09-19 15:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-19 15:01 . 2008-09-19 15:01	<DIR>	d--------	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Malwarebytes
2008-09-19 15:01 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-19 15:01 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-19 14:34 . 2008-09-19 14:34	<DIR>	d--------	C:\Programme\Trend Micro
2008-09-15 21:51 . 2008-09-15 21:52	<DIR>	d--------	C:\Programme\Dr. Hardware 2008
2008-09-15 21:51 . 2005-12-01 11:49	23,600	--a------	C:\WINDOWS\system32\drivers\drhard.sys
2008-09-15 21:51 . 2005-12-01 15:38	20,651	--a------	C:\WINDOWS\system32\drivers\DRHARD.VXD
2008-09-15 21:51 . 2005-12-01 15:38	20,651	--a------	C:\WINDOWS\system32\DRHARD.VXD
2008-09-15 21:31 . 2008-09-15 21:31	<DIR>	d--------	C:\Programme\SiSoftware
2008-09-13 12:24 . 2008-09-13 12:24	<DIR>	d--------	C:\Programme\MSECache
2008-09-07 17:43 . 2007-09-07 23:48	188,416	--a------	C:\WINDOWS\ICSharpCode.SharpZipLib.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 19:39	8,366,112	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-19 19:38	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3
2008-09-19 19:33	0	----a-w	C:\WINDOWS\system32\drivers\lvuvc.hs
2008-09-19 19:32	102,056	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-18 19:41	---------	d-----w	C:\Programme\FTP Commander
2008-09-17 17:52	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-09-16 16:53	2,505,216	----a-w	C:\WINDOWS\Internet Logs\xDB1A.tmp
2008-09-16 14:47	4,715,946	----a-w	C:\WINDOWS\Internet Logs\tvDebug.zip
2008-09-14 15:41	---------	d-----w	C:\Programme\Java
2008-09-12 20:39	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Azureus
2008-09-07 13:19	---------	d-----w	C:\Programme\ICQ6
2008-09-07 13:15	743,424	----a-w	C:\WINDOWS\Internet Logs\xDB19.tmp
2008-08-16 05:22	---------	d-----w	C:\Programme\Flash Renamer
2008-08-16 05:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RL Vision
2008-08-15 17:19	---------	d-----w	C:\Programme\MediaMonkey
2008-08-15 14:26	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Skype
2008-08-15 14:24	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\skypePM
2008-08-15 10:05	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ID3-TagIT 3
2008-08-15 09:52	---------	d-----w	C:\Programme\ID3-TagIT 3
2008-08-15 09:52	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ID3-TagIT 3
2008-08-15 01:10	831,488	----a-w	C:\WINDOWS\Internet Logs\xDB18.tmp
2008-08-14 21:28	---------	d-----w	C:\Programme\FlashMute
2008-08-14 12:01	---------	d-----w	C:\Programme\MASPware
2008-08-14 10:08	---------	d-----w	C:\Programme\gsmd
2008-08-13 18:59	---------	d-----w	C:\Programme\Microsoft ActiveSync
2008-08-11 09:11	---------	d-----w	C:\Programme\Spb Software House
2008-08-11 06:53	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-08-08 17:32	---------	d-----w	C:\Programme\Microsoft.NET
2008-08-04 15:02	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia Multimedia Player
2008-08-03 21:29	760,832	----a-w	C:\WINDOWS\Internet Logs\xDB17.tmp
2008-08-03 08:26	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\ICQ
2008-08-02 09:41	77,824	----a-w	C:\Dokumente und Einstellungen\Alexander\swt-gdip-win32-3430.dll
2008-08-02 09:41	323,584	----a-w	C:\Dokumente und Einstellungen\Alexander\swt-win32-3430.dll
2008-08-01 18:24	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3
2008-08-01 17:46	---------	d-----w	C:\Programme\Azureus
2008-08-01 17:20	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Ceedo
2008-07-30 11:49	---------	d-----w	C:\Programme\Gemeinsame Dateien\Axara
2008-07-30 11:49	---------	d-----w	C:\Programme\Axara
2008-07-30 11:46	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-07-30 11:46	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\PC Suite
2008-07-30 11:46	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Nokia
2008-07-30 11:44	---------	d-----w	C:\Programme\Nokia
2008-07-30 11:44	---------	d-----w	C:\Programme\Gemeinsame Dateien\PCSuite
2008-07-30 11:44	---------	d-----w	C:\Programme\Gemeinsame Dateien\Nokia
2008-07-30 11:44	---------	d-----w	C:\Programme\DIFX
2008-07-30 11:43	---------	d-----w	C:\Programme\PC Connectivity Solution
2008-07-30 11:39	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-07-26 22:18	519,680	----a-w	C:\WINDOWS\Internet Logs\xDB16.tmp
2008-07-25 12:42	2,333,696	----a-w	C:\WINDOWS\Internet Logs\xDB15.tmp
2008-07-25 12:41	1,700,864	----a-w	C:\WINDOWS\Internet Logs\xDB14.tmp
2008-07-24 13:37	---------	d-----w	C:\Programme\eMule
2008-07-24 13:20	---------	d-----w	C:\Programme\weblin
2008-07-24 13:20	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\zweitgeist
2008-07-24 13:19	---------	d-----w	C:\Programme\webcamXP
2008-07-24 13:19	---------	d-----w	C:\Programme\Uplink Demo
2008-07-24 13:19	---------	d-----w	C:\Programme\Games
2008-07-24 13:17	---------	d-----w	C:\Programme\NewsReactor
2008-07-24 13:16	---------	d-----w	C:\Programme\MyDVD
2008-07-24 13:13	---------	d-----w	C:\Programme\FreePDF_XP
2008-07-24 13:12	---------	d-----w	C:\Programme\RestaurantManager
2008-07-24 13:12	---------	d-----w	C:\Programme\NeoSmart Technologies
2008-07-21 19:19	---------	d-----w	C:\Programme\FolderSize
2008-07-21 04:50	298,496	----a-w	C:\WINDOWS\Internet Logs\xDB12.tmp
2008-07-21 04:50	2,251,264	----a-w	C:\WINDOWS\Internet Logs\xDB13.tmp
2008-07-20 19:59	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\uTorrent
2008-07-20 18:16	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-07-20 16:30	---------	d-----w	C:\Programme\K!TV
2008-07-20 16:03	---------	d-----w	C:\Programme\ChrisTV Lite
2008-07-20 15:37	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\TVcentral-Core
2008-07-20 13:51	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\VMedia
2008-07-20 12:37	---------	d-----w	C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Buhl Data Service
2008-07-20 12:31	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-07-20 12:30	---------	d-----w	C:\Programme\Sceneo
2008-07-20 12:30	---------	d-----w	C:\Programme\Gemeinsame Dateien\Sceneo
2008-07-20 12:30	---------	d-----w	C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-07-20 03:01	668,672	----a-w	C:\WINDOWS\Internet Logs\xDB10.tmp
2008-07-20 03:01	2,195,456	----a-w	C:\WINDOWS\Internet Logs\xDB11.tmp
2008-07-19 16:45	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-09 18:42	102,400	----a-w	C:\WINDOWS\system32\FlashRenHelper.dll
2008-07-09 07:05	75,248	----a-w	C:\WINDOWS\zllsputility.exe
2008-07-09 07:05	54,672	----a-w	C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 07:05	42,384	----a-w	C:\WINDOWS\zllsputility_loc0407.dll
2008-07-09 07:05	21,904	----a-w	C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-07-09 07:05	17,808	----a-w	C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-07-09 07:05	1,086,952	----a-w	C:\WINDOWS\system32\zpeng24.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-07-05 21:54	543,744	----a-w	C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	672,768	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-21 22:45	228,352	----a-w	C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-04-04 20:27	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2006-10-09 11:55	8	--sh--r	C:\WINDOWS\system32\EC23ACB85A.sys
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2006-10-09 11:55	4,704	--sha-w	C:\WINDOWS\system32\KGyGaAvL.sys
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360]
"ArchosLink"="C:\Programme\Archos\ArchosLink\ArchosLink.exe" [2007-10-01 1863680]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 7700480]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"SetIcon"="\Programme\SMSC\SetIcon.exe" [2004-04-28 42496]
"LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152]
"TVEService"="C:\Programme\Home Cinema\TV Enhance\TVEService.exe" [2006-10-19 151552]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 267064]
"BtTray"="C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe" [2007-09-10 258134]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-05 282624]
"K3805"="C:\Programme\Hama\Penalizer Pro Gaming Keyboard\control.exe" [2007-11-12 225280]
"TVBroadcast"="C:\Programme\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe" [2008-04-11 937984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-10-06 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-11-13 1289000]

C:\Dokumente und Einstellungen\Alexander\Startmen\Programme\Autostart\
TimeLeft.lnk - C:\Programme\TimeLeft3\TimeLeft.exe [2008-07-05 2037936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"=
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-01-20 18208]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 11264]
R2 BlueSoleilCS;BlueSoleilCS;C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe [2007-09-14 1155180]
R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\AbsolutTV\Services\PVR\PVRService.exe [2008-04-22 1808896]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 282709]
R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 122971]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2006-03-24 14336]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 1105664]
R3 BsHelpCS;BsHelpCS;C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe [2007-08-17 57447]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 drhard;DRHARD;C:\WINDOWS\system32\DRIVERS\DRHARD.SYS [2005-12-01 23600]
S3 ElanFltr;Pro Gaming Keyboard;C:\WINDOWS\system32\Drivers\ElanFltr.sys [2007-05-23 48128]
S3 PVUSB;CESG502 USB Driver;C:\WINDOWS\system32\DRIVERS\CESG502.sys [2008-01-18 40672]
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-09-08 98488]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-23 307968]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-02-29 10:58]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\Mozilla\Firefox\Profiles\24mcmdqd.Alex\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.t-online.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 21:34:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
         

Alt 19.09.2008, 21:47   #20
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Code:
ATTFilter
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Common Files\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Programme\SMSC\SetIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe
C:\Programme\Hama\Penalizer Pro Gaming Keyboard\traicon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\1739911136C02E7D\LaunchPad.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-19 21:44:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-19 19:44:07

Vor Suchlauf: 8.050.823.168 Bytes frei
Nach Suchlauf: 8,105,537,536 Bytes frei

359	--- E O F ---	2008-09-11 06:36:35
         
Sry für den Doppelpost, aber der Log war zu lang...


Alt 19.09.2008, 21:50   #21
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Da wurde noch schön was weggelöscht.
Hier hast du deine Virenschleuder:
Zitat:
2008-07-24 13:37 --------- d-----w C:\Programme\eMule
__________________
--> TR/Crypt.XPACK.Gen

Alt 19.09.2008, 22:04   #22
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Achja,
Keylogger ist noch da.
Der wird so entfernt:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\h@tkeysh@@k.dll
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 22:23   #23
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\h@tkeysh@@k.dll" not found!
Deletion of file "C:\WINDOWS\system32\h@tkeysh@@k.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Alt 19.09.2008, 22:24   #24
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Okay, die scheint aus unerklärlichen Gründen gelöscht.
Jetzt kannst du ComboFix deinstallieren:


Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 22:30   #25
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Lol^^

Das war ausnahmsweise aber nicht ich :P

Bin ich damit fertig?

Alt 19.09.2008, 22:31   #26
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Ja, damit bist du fertig.

wenn du willst, kann ich dir noch ein Tool aufbrummen, um sicher zu gehen, das alles weg ist.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 22:31   #27
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Nach all den andren zeih ich das jetzt auch noch durch

Alt 19.09.2008, 22:36   #28
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Okay.

Voilà:

SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 19.09.2008, 23:27   #29
alex1402
 
TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



So, hier noch der abschließende Log, wurde aber nix gefunden:

Code:
ATTFilter
SDFix: Version 1.227 
Run by Alexander on 19.09.2008 at 22:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

No Trojan Files Found






Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 23:18:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe:*:Enabled:BlueSoleilCS"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe"="C:\\Programme\\mirabyte\\SuperHTML 8.0 Web Studio\\Shtml8.exe:*:Enabled:Shtml8.exe"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe"="C:\\Programme\\CyberLink\\PowerDirector\\PDR.exe:*:Enabled:CyberLink PowerDirector"
"C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"="C:\\Programme\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteuntersttzung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :



Files with Hidden Attributes :

Mon  9 Oct 2006             8 ..SHR --- "C:\WINDOWS\system32\EC23ACB85A.sys"
Wed  3 May 2006       163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Mon  9 Oct 2006         4,704 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 21 Feb 2007        31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sun 26 Jun 2005       616,448 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005        45,568 ..SHR --- "C:\Programme\eRightSoft\SUPER\cygz.dll"
Thu  1 Nov 2007        72,704 ..SHR --- "C:\Programme\eRightSoft\SUPER\Setup.exe"
Fri 27 Oct 2006        16,896 A.SHR --- "C:\Programme\eRightSoft\SUPER\_Setup.dll"
Fri 19 Sep 2008           120 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Tue  4 Jun 2002        84,992 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue  4 Jun 2002        44,032 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002        73,766 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002        65,575 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun  9 Jun 2002        36,864 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue  4 Jun 2002        20,480 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002       102,437 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002       176,165 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002       208,935 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002       217,127 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun  9 Jun 2002        40,448 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sun  4 Nov 2001       225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001       225,280 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004       232,960 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\raac.dll"
Sun  9 Jun 2002       525,824 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002       245,805 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002        45,093 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002        98,341 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002        94,247 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002        90,151 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002       102,439 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun  9 Jun 2002        49,152 ...HR --- "C:\Programme\eRightSoft\SUPER\mencoder\tokr3260.dll"
Fri  2 May 2008     3,493,888 A..H. --- "C:\Dokumente und Einstellungen\Alexander\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Fri 23 May 2008        11,115 A.SH. --- "C:\Dokumente und Einstellungen\Alexander\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Fri 19 Sep 2008         5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp"
Fri 19 Sep 2008         5,684 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE2.tmp"
Fri 19 Sep 2008         5,938 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBED.tmp"

Finished!
         


:aplaus: :aplaus:

Vielen Dank für deine Hilfe!! Endlich wieder frei. Danke für die viele Unterstützung. Sollte mehr von solchen Leuten, wie dir geben.

Echt klasse!



























^^



Aber was für Schaden kann der Keylogger jetzt angerichtet haben? Was leitet der weiter? Nur Passwörter?

Alt 19.09.2008, 23:43   #30
Silent sharK
 

TR/Crypt.XPACK.Gen - Standard

TR/Crypt.XPACK.Gen



Kein Problem, war Ehrensache.
Auf jedenfall solltest du alle Passwörter von einem anderen Rechner aus ändern, von dem du weißt, dass er 100% sauber ist.

Keylogger zeichnen Tastatureingaben auf und senden die Logs an Dritte weiter.

Schönen Abend noch
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu TR/Crypt.XPACK.Gen
0 bytes, adobe, antivir, avira, bho, dll, einstellungen, excel, explorer, firefox, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, mozilla, mssql, nvidia, pdf, programme, rundll, software, solution, svchost.exe, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen., tuneup.defrag, vielen dank, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen


  1. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  2. AntiVir hat folgede Viren gefunden: TR/Crypt.ZPACK.Gen2' & 'TR/Crypt.XPACK.Gen5' [trojan
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (33)
  3. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  4. TR/Crypt.EPACK.Gen8, TR/Crypt.XPACK.Gen, TR/Vcaredrix.A.3 und einige EXP/CVE-xx, EXP/2010-xx Viren.
    Plagegeister aller Art und deren Bekämpfung - 26.07.2012 (7)
  5. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  6. TR/Crypt.XPACK.Gen5, TR/Crypt.ZPACK.Gen2, TR/Fake.Rean.3394, TR/PSW.Fareit.A.64
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (30)
  7. TR/Crypt.XPACK.Gen und TR/Crypt.ZPACK.Gen2 gefunden PC extrem langsam
    Log-Analyse und Auswertung - 19.10.2011 (8)
  8. Kurze Fragen zu TR/Crypt.XPACK.Gen + TR/Crypt.ZPACK.Gen + Avira Scan
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (3)
  9. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  10. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  11. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (4)
  12. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  13. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  14. tr\crypt.xpack.gen2 und tr\crypt.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (4)
  15. TR/dldr.swizzor.gen2, TR/crypt.xpack.gen, TR/crypt.zpack.gen unter Windows XP
    Plagegeister aller Art und deren Bekämpfung - 16.06.2010 (15)
  16. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  17. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)

Zum Thema TR/Crypt.XPACK.Gen - Bitte komplett posten - das hier fehlt: ( Ein Beispiel ) - TR/Crypt.XPACK.Gen...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.