Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.02.2009, 14:52   #1
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Hallo,
ich habe seit Tagen Probleme mit den obengenanten Trojanern, Antivir schlägt regelmäßig an und findet sie immer wieder. Sie lassen sich scheinbar nicht löschen!?! Meine Taskleiste wird von Zeit zu Zeit einfach grau (wie Win 95) und mein Audio gerät wird dann nicht mehr erkannt.
Ich habe schon einige Forenbeiträge zum Thema durchgelesen, aber es war immer ein logfile zur Lösung des Problems nötig. Deshalb hier einmal meiner, würde mich sehr freuen und ich wäre sehr dankbar wenn sich eine Formatierung vermeiden liese!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:07, on 23.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 6624 bytes


Schon mal vielen Dank im Voraus!!!

Alt 23.02.2009, 14:55   #2
MightyMarc
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Nur mal auf die Schnelle:

Lade die Gmer (http://gmer.net), mach einen Scann und berichte ob ein Rootkit gefunden wird.

Marc
__________________

__________________

Alt 23.02.2009, 15:56   #3
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



So haben GMER scannen lassen und es wurden rootkit aktivitäten gefunden:
Hier der GMER logf:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-23 16:53:57
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xBA91887E]
SSDT A2F30E14 ZwCreateThread
SSDT spxy.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT spxy.sys ZwEnumerateValueKey [0xBA6C9030]
SSDT spxy.sys ZwOpenKey [0xBA6AB0C0]
SSDT A2F30E00 ZwOpenProcess
SSDT A2F30E05 ZwOpenThread
SSDT spxy.sys ZwQueryKey [0xBA6C9108]
SSDT spxy.sys ZwQueryValueKey [0xBA6C8F88]
SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xBA918C10]
SSDT A2F30E0F ZwTerminateProcess
SSDT A2F30E0A ZwWriteVirtualMemory

INT 0x62 ? 89E51BF8
INT 0x73 ? 8924DBF8
INT 0x83 ? 8924DBF8
INT 0x84 ? 8924DBF8
INT 0xA4 ? 89DE0BF8

---- Kernel code sections - GMER 1.0.14 ----

? spxy.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B892D62C 5 Bytes JMP 8924D1D8
.text aeoxv20p.SYS B8828384 1 Byte [ 20 ]
.text aeoxv20p.SYS B8828386 35 Bytes [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text aeoxv20p.SYS B88283AA 24 Bytes [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text aeoxv20p.SYS B88283C4 3 Bytes [ 00, 00, 00 ]
.text aeoxv20p.SYS B88283C9 1 Byte [ 00 ]
.text ...

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spxy.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spxy.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spxy.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6BBD92] spxy.sys
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfAcquireSpinLock] 0A64D90F
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_UCHAR] 046FD406
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeGetCurrentIrql] 1672C31D
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfRaiseIrql] 1879CE14
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfLowerIrql] 3248ED2B
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalGetInterruptVector] 3C43E022
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!HalTranslateBusAddress] 2E5EF739
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KeStallExecutionProcessor] 2055FA30
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!KfReleaseSpinLock] EC01B79A
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] E20ABA93
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!READ_PORT_USHORT] F017AD88
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] FE1CA081
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[HAL.dll!WRITE_PORT_UCHAR] D42D83BE
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiSystemControl] C83B99AC
IAT \SystemRoot\System32\Drivers\aeoxv20p.SYS[WMILIB.SYS!WmiCompleteRequest] C63094A5

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89DDF1F8
Device \Driver\usbuhci \Device\USBPDO-0 8930B1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{810B722D-8A73-405F-80CB-CB6FBB7A3FD9} 8906A500
Device \Driver\usbuhci \Device\USBPDO-1 8930B1F8
Device \Driver\usbuhci \Device\USBPDO-2 8930B1F8
Device \Driver\sptd \Device\525851568 spxy.sys
Device \Driver\usbuhci \Device\USBPDO-3 8930B1F8
Device \Driver\usbehci \Device\USBPDO-4 892F41F8

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

Device \Driver\Ftdisk \Device\HarddiskVolume1 89DE11F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89DE11F8
Device \Driver\Cdrom \Device\CdRom0 8922C1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89E511F8
Device \Driver\atapi \Device\Ide\IdePort0 89E511F8
Device \Driver\Cdrom \Device\CdRom1 8922C1F8
Device \Driver\Cdrom \Device\CdRom2 8922C1F8
Device \Driver\Cdrom \Device\CdRom3 8922C1F8
Device \Driver\Cdrom \Device\CdRom4 8922C1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8906A500
Device \Driver\NetBT \Device\NetBT_Tcpip_{926BB39D-1667-4232-B69B-88AE81C3F503} 8906A500
Device \Driver\NetBT \Device\NetbiosSmb 8906A500
Device \Driver\PCI_PNP1568 \Device\0000004d spxy.sys
Device \Driver\usbuhci \Device\USBFDO-0 8930B1F8
Device \Driver\usbuhci \Device\USBFDO-1 8930B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89074500
Device \Driver\usbuhci \Device\USBFDO-2 8930B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89074500
Device \Driver\usbuhci \Device\USBFDO-3 8930B1F8
Device \Driver\usbehci \Device\USBFDO-4 892F41F8
Device \Driver\Ftdisk \Device\FtControl 89DE11F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target0Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target1Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target3Lun0 892D61F8
Device \Driver\aeoxv20p \Device\Scsi\aeoxv20p1Port2Path0Target2Lun0 892D61F8
Device \FileSystem\Cdfs \Cdfs 890C5500
__________________

Alt 23.02.2009, 15:57   #4
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



und hier der zweite Teil, sorry ging nicht alles in einen Beitrag
und vielen Dank schon mal!!!

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSmxjt.sys (*** hidden *** ) [SYSTEM] TDSSserv <-- ROOTKIT !!!
Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@DisplayName Security Shell
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x02 0x53 0xAB 0xEA ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x2B 0xCC 0x2A 0xA7 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8F 0x07 0x80 0x0F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xDE 0x8E 0xCF 0x87 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0xBF 0xEC 0x39 0x4B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x06 0x09 0x9E 0xF0 ...
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSserv \systemroot\system32\drivers\TDSSmxjt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSl \systemroot\system32\TDSSoitt.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssservers \systemroot\system32\TDSSmtve.dat
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssmain \systemroot\system32\TDSSarxx.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsslog \systemroot\system32\TDSSvoql.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssadw \systemroot\system32\TDSSnvuo.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssinit \systemroot\system32\TDSSdxcp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsspanels \systemroot\system32\TDSSsahc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdssserf \systemroot\system32\TDSSxhyf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@tdsserrors \systemroot\system32\TDSSkkai.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv\modules@TDSSproc \systemroot\system32\TDSScubs.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)@imagepath \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSserv \systemroot\system32\drivers\TDSSpqxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys)\modules@TDSSl \systemroot\system32\TDSSoiqh.dll
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@DisplayName Security Shell
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp@Description Wireless Management Service for Intel(R) PROSet/Wireless
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters
Reg HKLM\SYSTEM\ControlSet003\Services\ybdrbp\Parameters@ServiceDll C:\WINDOWS\system32\ewkieci.dll

---- EOF - GMER 1.0.14 ----

Alt 23.02.2009, 16:51   #5
MightyMarc
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Wär's jetzt nur der Conficker würde ich sagen, dass Du mit MBAM drüber gehen könntest. Jedoch irritiert mich der zweite Rootkit.
Geh lieber auf Nummer sicher und setze neu auf. Du kannst auch gerne noch warten bis sich das jemand anderes abgeschaut hat, aber tendentiell würde ich sagen, dass Du ein totes Pferd reitest.

Marc

__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 23.02.2009, 16:55   #6
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Vilen Dank schonmal ! Würde aber momentan ungerne neu aufsetzen, was genau ist den MBAM ???
Gruß

Fabian

Alt 23.02.2009, 17:22   #7
MightyMarc
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Zitat:
Zitat von DonHonk Beitrag anzeigen
Würde aber momentan ungerne neu aufsetzen...
Ach, den Satz habe ich schonmal gehört. In der Regel bist Du mit Datensicherung, neuaufsetzen und einspielen der gesicherten Daten schneller durch als mit einer Bereinigung. Einfacher ist es noch dazu
und Du hast wieder ein System dem Du vertrauen kannst (was nach einer solchen Bereinigung nicht der Fall ist).

Marc

Edit:
USB-Stick und andere Wechseldatenträger die Du an diesem Rechner hattest würde ich mal ganz schnell bereinigen (Linux Live CD => FAT32 Formatierung).
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Geändert von MightyMarc (23.02.2009 um 17:28 Uhr)

Alt 23.02.2009, 18:23   #8
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Hi ja prinzipiell gebe ich dir da recht, nur habe ich einen vaio rechner der ursprünglich mit vista ausgeliefert wurde, ich habe ihn aber mittlerweile glücklicherweise unter xp laufen. Kann ich aber nur mit einer selbsterstellten cd neuinstallieren, da windows sonst meine festplatte nicht erkennt, und diese habe ich im moment nicht hier. Wird noch ein paar Wochen dauern bis ich da wieder dran komme, deshalb würde ich den rechner gerne solange über Wasser halten, da ich ihn dringend brauche !

Gruß

Fabian

Alt 23.02.2009, 18:30   #9
Voo.Doo
Gast
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Hallo,
Was sagt den spybot und ad-aware zu dieser ganzen geschichte?

VooDoo

Alt 23.02.2009, 18:39   #10
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Habe gerade nochmal Malwarebytes durchlaufen lassen, aber auch er findet nichts. Adaware und Spyboot haben auch glaube ich nichts dazugefunden aber lasse gerade nochmal adaware scannen.
Hast du denn noch eine Idee?
Danke dir !

Alt 23.02.2009, 20:56   #11
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Schade hat denn sonst niemand mehr eine Idee?
Ich habe jetzt wie von Vodoo empfohlen SpywareDoctor und Spywaredoctor with Antivir laufen und beide fanden

Adaware.Advertising (1 Infizierung)

ad.zannox.com/ ad.zanox.com


Application.TrackingCookies (2 Inf.)

atwola.com
m.webtrends.com

RogueAntiSpyware (1Inf.)

xpas-2009.com


HOCH- Trojan.TDSServ(59 Infizierungen)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\MINIMAL\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\CONTROL\SAFEBOOT\NETWORK\TDSSSERV.SYS, (Default)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOT\LEGACY_TDSSSERV, NextInstance

......

habe nicht Detaileinträge abgeschrieben.
Was nun ?

Alt 24.02.2009, 01:06   #12
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



So habe mir nun eine Vollversion des Spyware Doctors geholt und damit alle Funde bereinigt. Antivir und Spywaredoc. finden jetzt beide nichts mehr. Bin ich die Plagegeister denn jetzt los? Hier der Antivir log und HJT. Wäre cool wenn mal jemand drüber kucken könnte!



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 24. Februar 2009 00:57

Es wird nach 1262573 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: GROOVEBOX

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26.11.2008 09:11:35
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 20:12:15
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 20:12:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 20:12:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:11:00
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 17:46:17
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 18:59:24
ANTIVIR3.VDF : 7.1.2.68 65536 Bytes 23.02.2009 18:29:48
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 30.01.2009 17:25:25
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 23.02.2009 18:29:49
AESCN.DLL : 8.1.1.7 127347 Bytes 16.02.2009 17:46:20
AERDL.DLL : 8.1.1.3 438645 Bytes 11.11.2008 21:28:14
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 20:58:27
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 17:12:44
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 20.02.2009 18:59:27
AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 08:38:18
AEGEN.DLL : 8.1.1.21 336244 Bytes 23.02.2009 18:29:49
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:44:55
AECORE.DLL : 8.1.6.6 176501 Bytes 19.02.2009 18:59:35
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:44:54
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 20:12:15
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 20:12:15
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 18:46:14
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 20:12:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 05:29:43
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 20:12:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 05:29:44
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 20:12:16
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 05:29:44
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 20:12:12
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 20:12:12

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 24. Februar 2009 00:57

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsAuxs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pctsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cledx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AAWService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '49' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Dienstag, 24. Februar 2009 01:56
Benötigte Zeit: 58:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

14919 Verzeichnisse wurden überprüft
495820 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
495818 Dateien ohne Befall
1793 Archive wurden durchsucht
4 Warnungen
0 Hinweise




und hier HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:06:45, on 24.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 6328 bytes

Alt 24.02.2009, 01:34   #13
Kaos
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Lass GMER nochmal drüber laufen. Log bitte posten.

Alt 24.02.2009, 10:23   #14
MightyMarc
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Hier läuft ja ganz großes Kino ab.
Zitat:
Zitat von DonHonk
Ich habe jetzt wie von Vodoo empfohlen SpywareDoctor und Spywaredoctor with Antivir laufen...
Wer lesen kann ist klar im Vorteil, denn:
Zitat:
Zitat von Voo.Doo
Was sagt den spybot und ad-aware zu dieser ganzen geschichte?
Zudem will ich gar nichts wissen, was das zu bedeuten hat:
Zitat:
Zitat von DonHonk
So habe mir nun eine Vollversion des Spyware Doctors geholt...
Dieses ganze planlose Rumfrickeln an Rootkits gehört verboten. Aber solange es 1-click-Lösungen gibt, die einem das Gefühl geben, ein sauberes System zu haben, wird es auch Honks geben, die wider allen Rates auf so etwas zurückgreifen.


Marc
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 24.02.2009, 10:26   #15
DonHonk
 
TR/Crypt.XPACK.Gen und  TR/Dropper.Gen schwer zu entfernen!?! - Standard

TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!



Verdammt GMER hat doch noch was gefunden:
Aber das logfile is fast 4 Beiträge lang soll ich das trotzdem posten oder reicht auch erstmal der kleine? Sorry hab keine Ahnung.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-24 11:26:31
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT splt.sys ZwEnumerateKey [0xBA6C8CA2]
SSDT splt.sys ZwEnumerateValueKey [0xBA6C9030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 89DDF1F8

AttachedDevice \Driver\Tcpip \Device\Ip pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Tcp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\Udp pctfw2.sys (PC Tools TDI Driver/PC Tools)
AttachedDevice \Driver\Tcpip \Device\RawIp pctfw2.sys (PC Tools TDI Driver/PC Tools)

---- Services - GMER 1.0.14 ----

Service system32\drivers\TDSSpqxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys) <-- ROOTKIT !!!
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ybdrbp <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

Antwort

Themen zu TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!
ad-aware, ad-watch, antivir, avira, bho, bonjour, computer, entfernen, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, mozilla, outlook express, plug-in, registry, rundll, software, system, taskleiste, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows xp



Ähnliche Themen: TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!


  1. TR/Dropper.Gen und TR/Crypt.XPack.Gen ( Dateien verschwunden )
    Log-Analyse und Auswertung - 09.12.2013 (35)
  2. 11 Funde: TR/Crypt.XPACK.Gen3, TR/PSW.ZBot.151, TR/Dropper.Gen und mehr
    Log-Analyse und Auswertung - 24.05.2013 (19)
  3. TR/Crypt.XPACK.Gen + TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 16.01.2012 (30)
  4. TR/Crypt.XPACK und TR/Dropper.Gen auf Win XP gefunden, wie kann er entfernt werden ?
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (1)
  5. W32/Induc.A, TR/Dropper.Gen, TR/Crypt.ZPACK.Gen, TR/Crypt.XPACK.Gen3 gefunden - wie entfernen
    Plagegeister aller Art und deren Bekämpfung - 01.12.2010 (5)
  6. TR/Crypt.XPACK.Gen3 und TR/Dropper.Gen in C:\Windows\Temp\
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (4)
  7. Dropper.Gen und Crypt.XPACK.Gen 3 tauchen immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (3)
  8. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  9. AntiVir: TR/Dropper.Gen & TR/Crypt.XPACK.gen
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (4)
  10. Hilfe! Trojaner TR/Crypt.XPACK.Gen und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (22)
  11. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  12. Verschiedene Trojaner - Spy.gen, Crypt.xpack.gen, Dropper.gen und Buzus.cwsz
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (16)
  13. HILFE! Habe TR/Dropper.Gen und TR/Crypt.Xpack.Gen was soll ich tun?
    Log-Analyse und Auswertung - 14.08.2009 (1)
  14. TR/Dropper.Gen und/oder TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (7)
  15. TR/Dropper.Gen, W32/Sality.Y und TR/Crypt.XPACK.Gen,
    Plagegeister aller Art und deren Bekämpfung - 30.03.2009 (2)
  16. TR/Crypt.Xpack.gen + TR/Dropper.gen
    Log-Analyse und Auswertung - 10.02.2009 (2)
  17. Entfernung von BOO/Sinowal.A, TR/Crypt.XPACK.Gen und TR/Dropper.Gen
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (25)

Zum Thema TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! - Hallo, ich habe seit Tagen Probleme mit den obengenanten Trojanern, Antivir schlägt regelmäßig an und findet sie immer wieder. Sie lassen sich scheinbar nicht löschen!?! Meine Taskleiste wird von Zeit - TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?!...
Archiv
Du betrachtest: TR/Crypt.XPACK.Gen und TR/Dropper.Gen schwer zu entfernen!?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.