Packed.Generic.200

SweeteJule · 15.03.2009, 21:17

Ja kla
aber des läuft ja noch oder is des schon fertig?
Sry wenn ich nerv hab aber echt kein plan

john.doe · 15.03.2009, 21:21

Wenn du den Knopf siehst, dann ist er fertig.

Klicke auf Copy, Klicke hier auf Antworten, drücke [Strg]v

ciao, andreas

SweeteJule · 15.03.2009, 21:26

http://www.materialordner.de/8A9skxQvZicIGZTEMe1ULftjd8I17F.html

john.doe · 15.03.2009, 21:39

Mit Works kann ich nichts anfangen.

Klick auf Copy => Start => Ausführen => notepad (eintippeln) => [Strg]v => Datei auf dem Desktop speichern => Auf Materialordner hochladen => Hier den Link posten

ciao, andreas

SweeteJule · 15.03.2009, 21:43

http://www.materialordner.de/ceegcWgPMJxxbMJi6pf9Ux6Tux8Q0zS.html

kk tut mir leid

john.doe · 15.03.2009, 21:55

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Drivers to delete:
UACd.sys

Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\UACd.sys

Files to delete:
C:\WINDOWS\system32\drivers\UACxnmwwyre.sys
C:\WINDOWS\system32\UACvdivbqxu.dll
C:\WINDOWS\system32\UACkfiovrbq.dat
C:\WINDOWS\system32\UACdattmodo.dll
C:\WINDOWS\system32\UACgkspxwsf.dll
C:\WINDOWS\system32\UACltsdrqxe.db
C:\WINDOWS\system32\UACptnkbwul.dll
C:\WINDOWS\system32\UACnjemonrf.dll
C:\WINDOWS\system32\UACvvvvfaxr.log
C:\WINDOWS\system32\UACpdqvstil.log
C:\WINDOWS\system32\UACtkkymlkn.log
C:\WINDOWS\system32\UACkrirsdpl.dll

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log. Schliesse diesmal bitte alle Programme bevor du GMER startest.

ciao, andreas

SweeteJule · 15.03.2009, 22:07

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath: \systemroot\system32\drivers\UACxnmwwyre.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "UACd.sys" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\UACxnmwwyre.sys" deleted successfully.
File "C:\WINDOWS\system32\UACvdivbqxu.dll" deleted successfully.
File "C:\WINDOWS\system32\UACkfiovrbq.dat" deleted successfully.
File "C:\WINDOWS\system32\UACdattmodo.dll" deleted successfully.
File "C:\WINDOWS\system32\UACgkspxwsf.dll" deleted successfully.
File "C:\WINDOWS\system32\UACltsdrqxe.db" deleted successfully.
File "C:\WINDOWS\system32\UACptnkbwul.dll" deleted successfully.
File "C:\WINDOWS\system32\UACnjemonrf.dll" deleted successfully.
File "C:\WINDOWS\system32\UACvvvvfaxr.log" deleted successfully.

Error: file "C:\WINDOWS\system32\UACpdqvstil.log" not found!
Deletion of file "C:\WINDOWS\system32\UACpdqvstil.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\UACtkkymlkn.log" not found!
Deletion of file "C:\WINDOWS\system32\UACtkkymlkn.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\UACkrirsdpl.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

SweeteJule · 19.03.2009, 00:07

Scan
----
Scanned: 445770
Detected: 1
Untreated: 0
Start time: 18.03.2009 20:12:31
Duration: 03:50:19
Finish time: 19.03.2009 00:02:50

Detected
--------
Status Object
------ ------
deleted: adware not-a-virus:AdWare.Win32.Mostofate.dc File: C:\Programme\ICQToolbar\toolbaru.dll

Events
------
Time Name Status Reason
---- ---- ------ ------

Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------

Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes

Quarantine
----------
Status Object Size Added
------ ------ ---- -----

Backup
------
Status Object Size
------ ------ ----

SweeteJule · 19.03.2009, 00:08

kann ich des programm jetzt schließen?

john.doe · 19.03.2009, 00:10

Ja, Programm kann geschlossen werden.

Deinstalliere die ICQ-Toolbar.

Morgen geht es weiter mit

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Gute Nacht,
Andreas

SweeteJule · 19.03.2009, 00:11

danke wünsche ich dir auch

SweeteJule · 19.03.2009, 16:52

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-03-19 01:19:12
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00027660 adware/savenow Adware No 0 Yes No HKEY_CLASSES_ROOT\Interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@bs.serving-sys[1].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atwola[1].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{6C2E1341-2A51-46EB-A5C6-3572A344A25D}\RP770\A0098747.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location W^
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\Besitzer\Desktop\TrojanerOrdner\ComboFix.exe W^
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description W^
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

john.doe · 19.03.2009, 17:01

Sieht so aus, als hätten wir es geschafft. Noch die letzten Schritte (die aber schnell gehen).

1.) Start => Ausführen => combofix /u => OK

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

3.) Starte nochmals "HijackThis"

Klick "open the Misc Tools section"
Klick "Open Uninstall Manager"
Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.)
Diese Datei öffnest du, und kopiertst ihren Inhalt hier in dein Thema.

ciao, andreas

SweeteJule · 19.03.2009, 17:14

ABBYY FineReader 5.0 Sprint
Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Apple Mobile Device Support
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Benutzerhandbuch für Creative Live! Cam Vista IM (Deutsch)
Blue Byte Game Channel
CCleaner (remove only)
Creative Live! Cam Vista IM Driver (1.00.07.0401)
Creative Software AutoUpdate
Creative WebCam Center
Creative-Systeminformationen
FaxTools
GIMP 2.6.4
Hello Kitty Skin
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
ICQ6.5
iTunes
J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Lexmark 1200 Series
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Visual J# .NET Redistributable Package 1.1
Microsoft Works
Mozilla Firefox (3.0.7)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Nero Suite
NETTO 2007
NVIDIA Drivers
OpenOffice.org Installer 1.0
Panda ActiveScan 2.0
QuickTime
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Silvercrest OM1007 driver
TCM Keyboard Only
TeamViewer 3
T-Online 6.0
Uninstall 1.0.0.1
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Format Runtime
Windows Media Format SDK Hotfix - KB891122
Windows Media Player 10
Windows Media Player 10 Hotfix - KB888656
Windows Messenger 5.1
Windows XP Service Pack 3
Yahoo! Messenger laden

john.doe · 19.03.2009, 17:19

1.) Deinstalliere (Start => Einstellungen => Systemsteuerung => Software):

J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Panda ActiveScan 2.0
Uninstall 1.0.0.1

2.) Installiere:

Download der Java-Software von Sun Microsystems

3.) Wie geht es dem Rechner? Macht er wieder das, was er tun soll und ist schnell?

4.) Schreibe hier ein letztes HJT-Log rein.

ciao, andreas

Packed.Generic.200

Plagegeister aller Art und deren Bekämpfung: Packed.Generic.200