Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Wirklich reine^^ Luft??

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 03.11.2008, 11:54   #1
Saartekk
 
Wirklich reine^^ Luft?? - Standard

Wirklich reine^^ Luft??



Hallo,

hoffe Ihr könnt mir helfen, bzw. einige Tipps geben, wie ich mein PC auf einen Möglichen Virenbefall untersuchen kann...

Folgendes Ist passiert: Ich habe letzte Woche meinen PC neu aufgebaut mit dem neuen Win XP Home Service Pack3... Wollt eben noch ein paar neue Programme darauf installieren und als ich eben "Youtubetomp3converter.exe" installieren wollte schlug direkt Antivier an:

Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\OXXX\Lokale Einstellungen\Temp\~tmp17453.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Habe die aktion Direkt abgebrochen und MBR Malware-Detryer drüberlaufen lassen, jedoch ohne Erfolg... Des weiteren hab ich ein HJt-Log erstellt, scheint allerdings auch in Ordnung zu sein... Hab nach der .Tmp-Datei auf meinem System gesucht, aber ohne Erfolg... muss wohl direkt gelöscht worden sein, nachdem ich das Programm ohne Installation direkt in den Papierkorb verfrachtet hatte... Hatte es vorher auch einmal bei Virustotal hochgeladen, welcher mir folgendes Log ausspuckte:

Code:
ATTFilter
Datei YouTubeToMP3Convert.exe empfangen 2008.11.03 11:26:06 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.1.0	2008.11.03	-
AntiVir	7.9.0.10	2008.11.03	-
Authentium	5.1.0.4	2008.11.02	-
Avast	4.8.1248.0	2008.11.02	Win32:VB-BAS
AVG	8.0.0.161	2008.11.03	-
BitDefender	7.2	2008.11.03	-
CAT-QuickHeal	9.50	2008.11.03	-
ClamAV	0.94.1	2008.11.03	-
DrWeb	4.44.0.09170	2008.11.03	-
eSafe	7.0.17.0	2008.11.02	-
eTrust-Vet	31.6.6185	2008.11.01	-
Ewido	4.0	2008.11.02	-
F-Prot	4.4.4.56	2008.11.02	-
F-Secure	8.0.14332.0	2008.11.03	-
Fortinet	3.117.0.0	2008.11.02	-
GData	19	2008.11.03	Win32:VB-BAS
Ikarus	T3.1.1.45.0	2008.11.03	Trojan.Inject.SD
K7AntiVirus	7.10.514	2008.11.01	-
Kaspersky	7.0.0.125	2008.11.03	-
McAfee	5422	2008.11.02	-
Microsoft	1.4005	2008.11.03	-
NOD32	3576	2008.11.03	-
Norman	5.80.02	2008.10.31	-
Panda	9.0.0.4	2008.11.02	-
PCTools	4.4.2.0	2008.11.03	-
Prevx1	V2	2008.11.03	-
Rising	21.02.01.00	2008.11.03	-
SecureWeb-Gateway	6.7.6	2008.11.03	-
Sophos	4.35.0	2008.11.03	-
Sunbelt	3.1.1777.2	2008.11.03	-
Symantec	10	2008.11.03	-
TheHacker	6.3.1.1.137	2008.11.03	-
TrendMicro	8.700.0.1004	2008.11.03	-
VBA32	3.12.8.9	2008.11.02	-
ViRobot	2008.11.3.1449	2008.11.03	-
VirusBuster	4.5.11.0	2008.11.02	-
weitere Informationen
File size: 8063694 bytes
MD5...: 2dd249b987d62de6f542a19f67ab43a6
SHA1..: b22b5ea112582a0daba39af276c3c9b9d62fadcd
SHA256: 02cdfe957a6a58064f63ad74039383de813ce041c1e4146e88779d033200b803
SHA512: f2a2726b469f98c3268b37f171542ff186f86ea09ec7952f5b16845e531f211b<br>3d72c3f1785f6d11cbcdcce7010d8689b0459beae722c5a3bee8f9ef7fe5532c
PEiD..: -
TrID..: File type identification<br>WinRAR Self Extracting archive (96.2%)<br>Win32 Executable Generic (1.5%)<br>Win32 Dynamic Link Library (generic) (1.4%)<br>Generic Win/DOS Executable (0.3%)<br>DOS Executable Generic (0.3%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x401000<br>timedatestamp.....: 0x46f268e6 (Thu Sep 20 12:34:46 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 4 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x14000 0x13800 6.47 8c499086717691066d921075ed5bdb09<br>.data 0x15000 0x7000 0xa00 4.91 0cb811e47f78b5404a658fb36b591857<br>.idata 0x1c000 0x1000 0x1000 5.12 8bf175092a70a21f11fd06cc4087c7d0<br>.rsrc 0x1d000 0x3eff 0x4000 5.07 0792c19c5e0425f7fda6ea9b97c9ffce<br><br>( 8 imports ) <br>&gt; ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW<br>&gt; KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA<br>&gt; COMCTL32.DLL: -<br>&gt; COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA<br>&gt; GDI32.DLL: DeleteObject<br>&gt; SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA<br>&gt; USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA<br>&gt; OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize<br><br>( 0 exports ) <br>
packers (F-Prot): RAR
         
...die Datei scheint wohl wirklich der Übeltäter gewesen zu sein... Hab Ihn nun endgültig ins Jenseits befördert... Frag mich nun, ob mein System nun wirklich frei ist davon oder ob sich doch noch irgend was eingenistet haben könnte, schliesslich ist es nen Wurm gewesen...

Hier noch ds Hijack-File:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55:07, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 5982 bytes
         
Was meint Ihr dazu?? soll ich vllt. noch etwas anderes drüber laufen lassen??

Gruss,

Saartekk

Geändert von Saartekk (03.11.2008 um 11:57 Uhr) Grund: Formatierung...

Alt 03.11.2008, 12:39   #2
Silent sharK
 

Wirklich reine^^ Luft?? - Standard

Wirklich reine^^ Luft??



Hallo,

führe bitte folgende Tools der Reihe nach aus:

1.)
MalwareBytes Anti-Malware :

  • Lade dir Malwarebytes Anti-Malware
  • Folge den Anweisungen der Anleitung
  • Lösche alles in der Quarantäne:
  • poste das entstandene Logfile

2.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

3.)
Random's System Information Tool
  • Lade dir die RSIT.exe von random/random herunter und speichere sie auf den Desktop.
  • Starte RSIT mit einem Doppelklick.
  • Klicke auf Continue um die Nutzungsbedingungen zu akzeptieren.
  • Nach dem Scan werden zwei Logfiles erstellt (log.txt und info.txt)
  • Poste den Inhalt der beiden Logfiles in [code]-Tags:
HTML-Code:
[CODE]Hier das Logfile rein![/CODE]
__________________

__________________

 

Themen zu Wirklich reine^^ Luft??
.dll, .tmp-datei, adobe, avira, bho, dsl, einstellungen, error, explorer, firefox, focus, gelöscht worden, gen 2, helfen, hijackthis, hkus\s-1-5-18, home, installation, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, shell32.dll, software, system, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/crypt.xpack.gen' [trojan], trojan, virus, windows, windows xp, windows xp sp3, wurm, xp sp3



Ähnliche Themen: Wirklich reine^^ Luft??


  1. AVG wirklich Trojaner entfernt (WIRKLICH DRINGEND!)
    Plagegeister aller Art und deren Bekämpfung - 16.01.2015 (19)
  2. Qvo6 wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 02.07.2013 (16)
  3. Oyodomo.com - bin ich es wirklich los?
    Plagegeister aller Art und deren Bekämpfung - 01.07.2013 (11)
  4. GVU/BSI-Trojaner wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (5)
  5. zbotr.gen - wirklich weg?
    Log-Analyse und Auswertung - 28.11.2012 (2)
  6. TR/Spy.Banker.Gen wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2012 (11)
  7. PC wirklich sauber?
    Antiviren-, Firewall- und andere Schutzprogramme - 26.09.2010 (1)
  8. Ist es wirklich so einfach?
    Überwachung, Datenschutz und Spam - 18.04.2009 (3)
  9. Virus wirklich weg?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (5)
  10. Was ein Trojaner wirklich will
    Diskussionsforum - 05.03.2008 (8)
  11. neuaufsetzen?wirklich?
    Log-Analyse und Auswertung - 21.03.2006 (10)
  12. wirklich sauber?
    Log-Analyse und Auswertung - 31.01.2006 (1)
  13. Trojaner wirklich weg??
    Plagegeister aller Art und deren Bekämpfung - 24.08.2005 (1)
  14. Servicepack zerstört System und Dateien lösen sich in Luft auf!
    Alles rund um Windows - 12.06.2005 (1)

Zum Thema Wirklich reine^^ Luft?? - Hallo, hoffe Ihr könnt mir helfen, bzw. einige Tipps geben, wie ich mein PC auf einen Möglichen Virenbefall untersuchen kann... Folgendes Ist passiert: Ich habe letzte Woche meinen PC neu - Wirklich reine^^ Luft??...
Archiv
Du betrachtest: Wirklich reine^^ Luft?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.