Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.05.2009, 02:56   #1
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



hallo
vor ein paar tagen hatte ich das problem, dass sich mein avira beim systemstart nicht mehr öffnete. auch ein manuelles starten funktionierte nicht, worauf ich mir Malwarebytes runtergeladen habe und damit das system gescannt habe. rausgekommen sind über 20 trojaner etc. darunter auch dateien, die Malwarebytes dem koobface wurm zugeordnet hat. nachdem ich die infizierten dateien beseitigt hatte installierte ich avira neu. und heute gings dann mit TR/Crypt.XPACK.Gen weiter. hab damit 4 dateien per avira und ein weiteren trojaner mit Malwarebytes rausgefischt. irgendwie is das nicht totzukriegen.
ich hoffe ihr könnt mir irgendwie helfen.
hier mein HijackThis log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:38:44, on 25.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Analog Devices\SoundMAX\smax4.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Eraser\Eraser.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yodl.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166292649984
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Avira GmbH - (no file)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5760 bytes

Alt 25.05.2009, 03:48   #2
myrtille
/// TB-Ausbilder
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



Hi,

poste bitte die Pfade in denen Antivir den XPack findet, sowie ein neues Log von Malwarebytes. (Quickscan reicht, aktualisiere aber bitte vorher das Programm)

Füge bitte außerdem Logs von RSIT und Rootrepeal bei:

RSIT:
  • Lade Random's System Information Tool (RSIT) von random/random herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
  • In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
  • Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Rootrepeal:
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

Wenn die Dateien zu groß sind, dann häng diese bitte entweder an, oder lade sie bei file-upload hoch und poste den Link dann hier.

lg myrtille
__________________

__________________

Alt 25.05.2009, 17:02   #3
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



wenn ich bei rootrepeal einen scandurchlauf starten will, friert mein pc jedes mal ein. ich hoffe, dass die restlichen logs reichen. danke für die hilfe
avira log:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 25. Mai 2009 01:05

Es wird nach 1419771 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JP

Versionsinformationen:
BUILD.DAT : 9.0.0.394 17962 Bytes 17.4.2009 11:13:00
AVSCAN.EXE : 9.0.3.5 466689 Bytes 17.4.2009 07:57:24
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.2.2009 19:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.5.2009 13:25:32
ANTIVIR3.VDF : 7.1.4.8 105472 Bytes 24.5.2009 21:17:38
Engineversion : 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 24.5.2009 13:25:37
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 24.5.2009 13:25:36
AESCN.DLL : 8.1.2.3 127347 Bytes 24.5.2009 13:25:36
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.16 397686 Bytes 24.5.2009 13:25:36
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.2.2009 19:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 24.5.2009 13:25:35
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.2.2009 19:01:56
AEGEN.DLL : 8.1.1.44 348532 Bytes 24.5.2009 13:25:33
AEEMU.DLL : 8.1.0.9 393588 Bytes 9.10.2008 13:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 24.5.2009 13:25:32
AEBB.DLL : 8.1.0.3 53618 Bytes 9.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 3.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.1.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.3.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 9.2.2009 10:41:16
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.4.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 25. Mai 2009 01:05

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '45664' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWLan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtlWake.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Eraser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten>
D:\System Volume Information\_restore{0B2622DE-39FC-4182-A1B1-58265CD3EAF6}\RP663\A0074557.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{0B2622DE-39FC-4182-A1B1-58265CD3EAF6}\RP663\A0074558.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Beginne mit der Desinfektion:
D:\System Volume Information\_restore{0B2622DE-39FC-4182-A1B1-58265CD3EAF6}\RP663\A0074557.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a49e7e0.qua' verschoben!
D:\System Volume Information\_restore{0B2622DE-39FC-4182-A1B1-58265CD3EAF6}\RP663\A0074558.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a49e7e4.qua' verschoben!


Ende des Suchlaufs: Montag, 25. Mai 2009 02:35
Benötigte Zeit: 1:11:41 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10904 Verzeichnisse wurden überprüft
618359 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
618355 Dateien ohne Befall
3156 Archive wurden durchsucht
2 Warnungen
3 Hinweise
malewarebytes log:
Zitat:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2176
Windows 5.1.2600 Service Pack 3

25.05.2009 16:26:07
mbam-log-2009-05-20 (19-45-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 84336
Laufzeit: 2 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\547372 (Trojan.BHO) -> No action taken.

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 25.05.2009, 17:06   #4
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



hier sind die rsi logs:
http://www.file-upload.net/download-1661071/rsit.rar.html

Alt 25.05.2009, 17:23   #5
myrtille
/// TB-Ausbilder
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



Hi,

die Logs sind soweit sauber. Hast du denn noch Probleme?

Was hast du mit Combofix gemacht? Kann ich da bitte das Log vom 20. Mai nohcmal sehen?

Hast du in der hosts-Datei irgendwelche Veränderungen vorgenommen, oder kann man diese einfach durch die Standard Windowsdatei ersetzen?

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.05.2009, 17:59   #6
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



hi,
also host dateien hab ich keine verändert. die probleme vom wochenende sind soweit behoben (avira startet wieder, weiterleitung von internetseiten tritt auch nicht mehr auf). jedoch hatte ich gestern abend wieder virusmeldungen von avira, nämlich fundmeldung von TR/Crypt.XPACK.Gen . und Malwarebytes hat vorhin beim kurzen systemscan trojan.bho gefunden. deshalb vermute ich, dass da bei mir noch irgendwas tief im kasten schlummert.
hier nochmal dier combofix log:
Zitat:
ComboFix 09-05-19.08 - Janis 20.05.2009 20:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2558.2037 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
AV: Panda Global Protection 2009 *On-access scanning disabled* (Updated) {8BF935E7-731F-4115-B7A5-789FF5087595}
FW: Panda Personal Firewall 2009 *disabled* {7B090DC0-8905-4BAF-8040-FD98A41C8FB8}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\appmgrp.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_STARWINDSERVICEMSDTC
-------\Service_StarWindServiceMSDTC


((((((((((((((((((((((( Dateien erstellt von 2009-04-20 bis 2009-05-20 ))))))))))))))))))))))))))))))
.

2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-05-20 17:05 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-20 17:05 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-20 16:54 . 2009-05-20 16:55 -------- d-----w C:\Inetpub
2009-05-20 15:16 . 2009-05-20 15:16 -------- d-----w c:\dokumente und einstellungen\Janis\Lokale Einstellungen\Anwendungsdaten\Panda Security
2009-05-20 15:13 . 2008-04-28 15:35 84024 ----a-w c:\windows\system32\drivers\pavdrv51.sys
2009-05-20 15:13 . 2009-05-20 15:13 253 ----a-w c:\windows\system32\PavCPL.dat
2009-05-20 15:13 . 2009-05-20 17:50 220356 ----a-w c:\windows\system32\drivers\APPFCONT.DAT
2009-05-20 15:13 . 2008-06-18 14:06 46720 ----a-w c:\windows\system32\drivers\wnmflt.sys
2009-05-20 15:13 . 2008-06-18 14:06 52992 ----a-w c:\windows\system32\drivers\dsaflt.sys
2009-05-20 15:13 . 2008-06-18 14:06 193792 ----a-w c:\windows\system32\drivers\idsflt.sys
2009-05-20 14:12 . 2008-06-19 15:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys
2009-05-20 14:12 . 2008-03-04 13:59 41144 ----a-w c:\windows\system32\drivers\ShlDrv51.sys
2009-05-20 14:12 . 2008-02-07 10:03 179640 ----a-w c:\windows\system32\drivers\PavProc.sys
2009-05-20 14:12 . 2009-05-20 14:12 -------- d-----w c:\programme\Gemeinsame Dateien\Panda Security
2009-05-20 14:04 . 2009-05-20 14:04 -------- d-----w c:\programme\Trend Micro
2009-05-20 13:23 . 2009-05-20 13:23 2 ---h--w c:\windows\sto452730.dat
2009-05-20 13:23 . 2009-05-20 17:47 -------- d-----w c:\windows\system32\547372
2009-05-19 20:59 . 2009-05-19 20:59 2 ---h--w c:\windows\sto453250.dat
2009-05-19 20:58 . 2009-05-19 20:58 32 --s-a-w c:\windows\system32\146168446.dat
2009-05-14 15:31 . 2009-05-14 15:53 -------- d-----w c:\programme\NGOATIOD173(2)
2009-05-14 15:24 . 2009-05-14 15:24 0 ----a-w c:\windows\ativpsrm.bin
2009-05-14 14:36 . 2009-05-14 14:36 -------- d-----w c:\dokumente und einstellungen\Janis\Anwendungsdaten\The Creative Assembly
2009-05-12 10:52 . 2009-05-12 10:52 -------- d-----w c:\programme\DAEMON Tools Toolbar
2009-04-27 21:35 . 2009-04-27 21:35 58 ----a-w c:\windows\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-04-27 21:35 . 2009-04-27 21:35 -------- d-----w c:\dokumente und einstellungen\Janis\Anwendungsdaten\DonationCoder
2009-04-27 21:35 . 2009-04-27 21:35 58 ----a-w c:\dokumente und einstellungen\Janis\Lokale Einstellungen\Anwendungsdaten\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-04-27 21:35 . 2009-04-27 21:36 -------- d-----w c:\programme\ScreenshotCaptor

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-20 18:25 . 2009-05-20 15:13 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG.bck
2009-05-20 18:25 . 2009-05-20 15:13 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG
2009-05-20 17:50 . 2009-05-20 15:13 220356 ----a-w c:\windows\system32\drivers\APPFCONT.DAT.bck
2009-05-20 15:19 . 2004-08-04 12:00 76898 ----a-w c:\windows\system32\perfc007.dat
2009-05-20 15:19 . 2004-08-04 12:00 421272 ----a-w c:\windows\system32\perfh007.dat
2009-05-20 15:12 . 2009-05-20 15:12 -------- d-----w c:\programme\Panda Security
2009-05-20 15:12 . 2006-11-24 23:36 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-12 22:36 . 2009-03-02 17:28 -------- d-----w c:\programme\DAEMON Tools Lite
2009-05-11 19:21 . 2006-11-24 18:01 721904 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-29 22:06 . 2008-07-01 20:00 -------- d-----w c:\programme\ICQ6
2009-04-19 21:39 . 2009-04-17 09:09 -------- d-----w c:\programme\Eraser
2009-04-16 22:01 . 2009-04-16 22:01 215872 ----a-w c:\windows\system32\drivers\truecrypt.sys
2009-04-16 22:01 . 2009-04-16 22:01 -------- d-----w c:\programme\TrueCrypt
2009-03-17 15:07 . 2009-05-20 15:12 87296 ----a-w c:\windows\system32\PavLspHook.dll
2009-03-16 21:07 . 2009-03-16 21:07 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-25 20:58 . 2007-05-18 01:30 887724 ----a-w c:\windows\system32\ativva6x.dat
2009-02-20 08:09 . 2004-08-04 12:00 671744 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:09 . 2004-08-04 12:00 81920 ----a-w c:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2007-12-22 916240]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2007-12-19 172280]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"APVXDWIN"="c:\programme\Panda Security\Panda Global Protection 2009\APVXDWIN.EXE" [2008-12-03 869632]
"SCANINICIO"="c:\programme\Panda Security\Panda Global Protection 2009\Inicio.exe" [2008-07-07 50432]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WG111v2 Smart Wizard Wireless Setting.lnk - c:\programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2006-11-25 745472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 14:58 58672 ----a-w c:\windows\system32\avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itch bat bib nurb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\way glue

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CiSvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DOWNLOADS\\utorrent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"d:\\Programme\\505games\\1C\\Men of War\\mow_mp.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Paradox Interactive\\Hearts of Iron 2\\HoI2.exe"=

R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [20.05.2009 16:12 28544]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R1 APPFLT;App Filter Plugin;c:\windows\system32\drivers\APPFLT.SYS [20.05.2009 17:12 73728]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [05.12.2006 19:20 11264]
R1 DSAFLT;DSA Filter Plugin;c:\windows\system32\drivers\dsaflt.sys [20.05.2009 17:13 52992]
R1 FNETMON;NetMon Filter Plugin;c:\windows\system32\drivers\fnetmon.sys [20.05.2009 17:12 22072]
R1 IDSFLT;Ids Filter Plugin;c:\windows\system32\drivers\idsflt.sys [20.05.2009 17:13 193792]
R1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\drivers\NETFLTDI.SYS [20.05.2009 17:12 158848]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [20.05.2009 16:12 41144]
R1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\drivers\wnmflt.sys [20.05.2009 17:13 46720]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda --> c:\windows\system32\svchost -k Panda [?]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [20.05.2009 16:12 179640]
R2 PskSvcRetail;Panda PSK service;c:\programme\Panda Security\Panda Global Protection 2009\psksvc.exe [20.05.2009 17:12 28928]
R3 AvFlt;Antivirus Filter Driver;c:\windows\system32\drivers\av5flt.sys --> c:\windows\system32\drivers\av5flt.sys [?]
R3 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [25.11.2006 02:19 66048]
R3 NETIMFLT01060034;PANDA NDIS IM Filter Miniport v1.6.0.34;c:\windows\system32\drivers\neti1634.sys [20.05.2009 17:12 197888]
R3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys --> c:\windows\system32\PavSRK.sys [?]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [25.11.2006 02:19 167808]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [25.11.2006 02:19 13532]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda REG_MULTI_SZ Gwmsrv
.
Inhalt des "geplante Tasks" Ordners

2009-05-20 c:\windows\Tasks\Grundlegende Bereinigung.job
- c:\programme\Panda Security\Panda Global Protection 2009\PlaTasks.exe [2009-05-20 15:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Janis\Anwendungsdaten\Mozilla\Firefox\Profiles\38olt8xk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - chrome://fastdial/content/fastdial.html
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-20 20:25
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-789336058-1177238915-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0c,7d,44,9b,32,1e,d8,1c,98,84,4a,7b,53,9e,9b,09,a4,4c,e0,cb,c0,32,e5,
69,c5,dc,43,64,7c,fd,3d,78,77,64,b8,d0,fe,e8,f1,61,c6,ce,21,82,30,2e,b9,57,\
"??"=hex:4f,8d,c0,52,50,a7,5c,fb,19,41,f1,5d,d2,b5,f9,55

[HKEY_USERS\S-1-5-21-789336058-1177238915-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:73,d1,26,e4,a7,48,65,17,26,5c,ef,69,67,3b,6e,fb,72,44,b2,3f,c3,
40,3f,08,11,76,a9,b8,79,e2,a6,8f,28,73,ab,d0,b3,2e,24,20,c8,66,de,a0,34,54,\
"rkeysecu"=hex:ba,97,02,ae,12,22,ec,8b,e5,a1,c1,5a,d4,09,2e,60

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ؕ€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1244)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\avldr.dll

- - - - - - - > 'explorer.exe'(856)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Panda Security\Panda Global Protection 2009\TPSrv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Panda Security\Panda Global Protection 2009\PsCtrlS.exe
c:\programme\Panda Security\Panda Global Protection 2009\PavFnSvr.exe
c:\programme\Gemeinsame Dateien\Panda Security\PavShld\PavPrSrv.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Panda Security\Panda Global Protection 2009\PsImSvc.exe
c:\programme\Panda Security\Panda Global Protection 2009\PAVSRV51.EXE
c:\programme\Panda Security\Panda Global Protection 2009\AVENGINE.EXE
c:\programme\Panda Security\Panda Global Protection 2009\FIREWALL\PSHost.exe
c:\programme\Panda Security\Panda Global Protection 2009\PavBckPT.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-20 20:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-20 18:28

Vor Suchlauf: 11 Verzeichnis(se), 13.327.028.224 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.345.247.232 Bytes frei

Current=2 Default=2 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
213 --- E O F --- 2009-05-13 01:01

Alt 25.05.2009, 18:01   #7
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



und hier die dateien, die am 20. gefunden wurden
Zitat:
2009-05-20 18:22:29 . 2009-05-20 18:22:29 2,716 ----a-w C:\Qoobox\Quarantine\Registry_backups\Service_StarWindServiceMSDTC.reg.dat
2009-05-20 18:22:29 . 2009-05-20 18:22:29 1,228 ----a-w C:\Qoobox\Quarantine\Registry_backups\Legacy_STARWINDSERVICEMSDTC.reg.dat
2009-05-20 18:22:23 . 2009-05-20 18:22:23 9,161 ----a-w C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2009-05-20 18:19:42 . 2009-05-20 18:19:42 51 ----a-w C:\Qoobox\Quarantine\catchme.log
2009-05-19 20:58:52 . 2009-05-19 20:58:52 53,248 ----a-w C:\Qoobox\Quarantine\C\WINDOWS\system32\appmgrp.exe.vir
und jetzt hab ich grad ne neue avire meldung bekommen:
Zitat:
In der Datei 'C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\38olt8xk.default\sessionstore.js'
wurde ein Virus oder unerwünschtes Programm 'HTML/Dldr.Agent.AU' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Geändert von remagen (25.05.2009 um 18:07 Uhr)

Alt 25.05.2009, 18:33   #8
myrtille
/// TB-Ausbilder
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



Hi,

koobface ist ein Anagram von Facebook und auch eine Malware die sich eben über Facebook verbreitet. (siehe zb Artikel bei pcwelt)
Wenn du dich über Facebook infiziert hast, und diese Seite noch offen hattest als du das letzte mal den Firefox geschlossen hast, dann kann es sein, dass der entsprechende Code noch in dem Sitzungsbackup von Firefox vorliegt.
sessionstore.js ist jedenfalls eine gültige Datei von Firefox.

Dann mach bitte mal Folgendes:Danach den Rechner einmal neustarten.

(Systemwiederherstellung kann nun wieder aktiviert werden.)




Dann ersetzen wir die hosts-Datei wieder mit der richtigen Version:
Gehe in den Ordner C:\windows\system32\drivers\etc
und öffne die Datei hosts.

Lösche alles bis auf den folgenden Text:

Zitat:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
speichere die Datei ab und schließe den Editor.

Bitte folgenden Cleaner über den Rechner laufen lassen:
ATF - Cleaner

und
  • Leere damit die temporären Ordner unter den Benutzer Accounts und im Administrator Account.
  • Leere die temporären Ordner in Firefox und/oder Opera, wenn vorhanden.
  • Wiederhole den Vorgang solange, bis 0 Funde angezeigt werden.
  • Wiederhole diesen Vorgang nach jedem Besuch im Netz, unter dem Account, mit dem du im Netz warst.
(Atribune.org Anleitung)
Dann hätte ich abschließend gern ein Log mit gmer:
Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
  • Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
  • (Wichtig: "Show all" darf nicht angehakt sein)
  • Starte den Durchlauf mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 01.06.2009, 23:11   #9
remagen
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



hi
zwar etwas verspätet, aber hier noch einmal mein GMER log.
ich hab das gefühl, dass durch das löschen der systemwiederherstellungspunkte das problem aus dem weg geräumt ist.
http://www.file-upload.net/download-1676458/gmer.log.html

Alt 03.06.2009, 13:52   #10
myrtille
/// TB-Ausbilder
 
pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - Standard

pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert



Hi,

das GMER log ist sauber, damit sollten die Reste des Befalls auch entfernt sein.

Combofix kannst du deinstallieren indem du combofix /u unter Start->ausführen eingibst.

Hijackthis kannst du unter Start->Systemsteuerung->Software deinstallieren, ebenso Malwarebytes. Die restlichen Programme kannst du einfach löschen.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert
0 bytes, adobe, antivir, antivir guard, avg, avira, bho, desktop, eraser, excel, firefox, hijack, hijackthis, hijackthis log, internet, internet explorer, logfile, monitor, mozilla, netgear, problem, software, starten, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, windows, windows xp, wurm



Ähnliche Themen: pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert


  1. W.Vista Home basic mit Trojaner TR/Crypt.XPACK.Gen, Conduit/SearchProtect und Brantall infiziert, Probleme mit Avira und möglicherweise EMSI
    Log-Analyse und Auswertung - 21.05.2015 (33)
  2. vermutlich von einem Trojaner infiziert - TR/Crypt.XPACK.Gen3 wurde von Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 13.08.2013 (9)
  3. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  4. TR/Crypt.XPACK.Gen auf WinXP plus evtl. andere Malware
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (29)
  5. AW: Infiziert mit TR/Crypt.Xpack.Gen! Was nun tun? Glaube auch, hier den Übeltäter zu suchen.
    Log-Analyse und Auswertung - 26.05.2011 (16)
  6. Infiziert mit TR/Crypt.Xpack.Gen! Was nun tun?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2011 (28)
  7. Bin mit TR/Crypt.XPACK.Gen3 infiziert, wie bekomme ich den weg?
    Log-Analyse und Auswertung - 18.10.2010 (5)
  8. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  9. Infiziert mit TR/Dldr.Renos.CH und TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (15)
  10. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 11.10.2010 (4)
  11. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  12. WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden
    Log-Analyse und Auswertung - 08.12.2009 (3)
  13. TR/Crypt.XPACK.Gen hat meinen Laptop infiziert
    Log-Analyse und Auswertung - 27.10.2009 (4)
  14. PC infiziert von "TR/Crypt.XPACK.Gen" Bitte um Hilfe
    Log-Analyse und Auswertung - 24.10.2009 (1)
  15. Vermutlich mit TR/Crypt.XPACK.Gen infiziert ...
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (1)
  16. Auch Büro PC infiziert? AV meldet TR/Crypt.XPACK.Gen 2x
    Log-Analyse und Auswertung - 02.06.2009 (0)
  17. Trojanische Pferd TR/Crypt.XPACK.Gen - ist mein System infiziert???
    Mülltonne - 09.12.2008 (0)

Zum Thema pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert - hallo vor ein paar tagen hatte ich das problem, dass sich mein avira beim systemstart nicht mehr öffnete. auch ein manuelles starten funktionierte nicht, worauf ich mir Malwarebytes runtergeladen habe - pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert...
Archiv
Du betrachtest: pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.