Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.01.2010, 17:26   #1
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Hallo zusammen, hab seit Weihnachten diesen Trojaner und Maleware attacken auf meinem PC. Bin in solchen Sachen nicht grad die hellste Kraft und hoffe das ich hier Hilfe bekomme. Diese HijackThis Log sende ich mal mit das hab ich schon mal alleine geschafft, hoffe ich. Ich wäre sehr erfreut wenn sich das mal jemand hier anschaut, Danke im voraus schonmal.



Scan saved at 17:24:07, on 07.01.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\HPZipm12.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\WINDOWS.0\system32\PnkBstrB.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\TUProgSt.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\System32\TuneUpDefragService.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS.0\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS.0\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS.0\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS.0\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS.0\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS.0\System32\TUProgSt.exe

--
End of file - 6809 bytes

Alt 08.01.2010, 15:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 08.01.2010, 19:04   #3
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



File-Upload.net - Scan.zip
Hallo erstmal, danke schon mal im vorraus. Das wäre der link zu upload. Hoffe das das so alles klappt und das alles da ist was du brauchst, bin in solchen Sachen nicht der beste. Bei CCleaner gibt es meiner Meinung kein Log files, war so alles i.O. keine Fehler in der Registry. Wenn irgendwas fehlt bescheid geben ich versuch das dann so schnell wie möglich nachzureichen, ok.
__________________

Alt 10.01.2010, 11:09   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

2.) Mach einen Durchlauf mit GMER und poste das Log, dann sehen wir weiter.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 14:26   #5
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Hallo eine Frage,da steht nach jedem Scan-> Copy-> Neustart. Sind dann die Log Dateien da oder muss ich vor dem Neustart die Log´Daten einfügen in die Antwort. Kompliziert ich weiss, Sorry.


Alt 10.01.2010, 14:29   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Das kannst Du erstmal ignorieren. Wichtig ist für mich erstmal nur das Logfile.
__________________
--> Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden

Alt 10.01.2010, 14:34   #7
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Geht klar, Danke.

Alt 10.01.2010, 15:05   #8
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Mist, denke das der Scan zu 75% fertig war dann kamm der Blue Scren.Was jetzt nochmal versuchen.

Alt 10.01.2010, 15:12   #9
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Versuchs nochmal grad mal schauen was passiert.

Alt 10.01.2010, 16:11   #10
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Wieder Blue. Sieht nicht gut aus oder. Hab eigentlich allles aus gemacht, so wie es da stand. was tun ne Idee!

Alt 10.01.2010, 16:17   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Dann probieren wir CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 16:57   #12
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Geht nich. Kein plan was ich wieder gemacht habe. Startet nich, Download ging aber startet nicht. Das umschreiben ging auch nicht, wurde ich nicht aufgefordert.

Alt 10.01.2010, 16:58   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Rechtsklick = Ziel speichern unter...und dann auf dem Desktop gleich umbenannt abspeichern. NICHT als combofix.exe ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 17:26   #14
Spud81
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Puh, habs geschafft wie du merkst bin ich nicht beste. Aber jetzt zum wesentlichen.

ComboFix 10-01-04.01 - Administrator 10.01.2010 18:12:03.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\AskSearch\bin\DefaultSearch.dll
c:\recycler\S-1-5-21-1482476501-1364589140-725345543-1003
c:\windows.0\jestertb.dll
c:\windows.0\system32\tmp78.tmp
c:\windows.0\system32\tmp79.tmp

.
original MBR restored successfully !
.
((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-09 08:49 . 2010-01-09 08:56 -------- d-----w- c:\windows.0\system32\NtmsData
2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- C:\rsit
2010-01-08 16:55 . 2010-01-08 16:55 5115824 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-08 16:55 . 2010-01-08 16:55 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-01-08 16:55 . 2010-01-07 15:07 19160 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-01-07 13:24 . 2010-01-07 13:24 388096 ----a-r- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-07 13:24 . 2010-01-08 17:46 -------- d-----w- c:\programme\Trend Micro
2009-12-23 18:43 . 2003-03-18 20:20 1060864 ----a-w- c:\windows.0\system32\MFC71.dll
2009-12-23 18:43 . 2009-12-23 18:43 -------- d-----w- c:\programme\Alwil Software
2009-12-23 18:39 . 2009-12-23 18:39 -------- d-----w- c:\programme\CCleaner
2009-12-23 12:30 . 2009-12-23 12:30 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\UserData
2009-12-23 12:22 . 2009-12-23 18:56 -------- d-----w- c:\dokumente und einstellungen\HelpAssistant\Eigene Dateien

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 16:12 . 2009-05-27 11:51 -------- d-----w- c:\programme\TuneUp Utilities 2009
2010-01-09 09:35 . 2009-03-10 12:17 -------- d-----w- c:\programme\Java
2009-12-25 09:51 . 2008-11-10 11:35 1 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-24 13:13 . 2007-08-10 19:59 138736 ----a-w- c:\windows.0\system32\drivers\PnkBstrK.sys
2009-12-24 13:13 . 2007-08-10 19:58 188968 ----a-w- c:\windows.0\system32\PnkBstrB.exe
2009-12-23 12:07 . 2009-04-27 22:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-12-09 08:35 . 2009-07-16 07:06 56816 ----a-w- c:\windows.0\system32\drivers\avgntflt.sys
2009-12-07 09:21 . 2007-03-30 16:47 16816 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 08:43 . 2009-11-16 08:43 -------- d-----w- c:\programme\JRE
2009-11-16 08:43 . 2008-11-10 11:32 -------- d-----w- c:\programme\OpenOffice.org 3
2009-11-16 08:40 . 2009-11-16 08:40 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2009-10-29 05:44 . 2005-12-24 19:05 667648 ----a-w- c:\windows.0\system32\wininet.dll
2009-10-27 18:58 . 2005-12-24 19:05 84318 ----a-w- c:\windows.0\system32\perfc007.dat
2009-10-27 18:58 . 2005-12-24 19:05 458476 ----a-w- c:\windows.0\system32\perfh007.dat
2009-10-21 06:00 . 2005-12-24 19:05 75776 ----a-w- c:\windows.0\system32\strmfilt.dll
2009-10-21 06:00 . 2005-12-24 19:05 25088 ----a-w- c:\windows.0\system32\httpapi.dll
2009-10-20 14:58 . 2005-12-24 19:05 263552 ----a-w- c:\windows.0\system32\drivers\http.sys
2009-10-13 10:51 . 2005-12-24 19:05 267776 ----a-w- c:\windows.0\system32\oakley.dll
2008-10-21 16:24 . 2008-10-21 16:24 27580296 ----a-w- c:\programme\AdbeRdr90_de_DE.exe
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2008-12-25 13680640]
"nwiz"="nwiz.exe" [2008-12-25 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Launch LGDCore"="c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-07-18 2094352]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-07-17 1687824]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2008-12-25 86016]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-04-10 37888]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2005-12-24 15360]

c:\dokumente und einstellungen\All Users.WINDOWS.0\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-12-12 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EA Core"="c:\programme\Electronic Arts\EADM\Core.exe" -silent
"CTFMON.EXE"=c:\windows.0\system32\ctfmon.exe
"Outlook Express"=c:\programme\Outlook Express\msimn.exe
"Steam"="c:\programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Alcmtr"=ALCMTR.EXE
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SW20"=c:\windows.0\system32\sw20.exe
"SW24"=c:\windows.0\system32\sw24.exe
"WinSys2"=c:\windows.0\system32\winsys2.exe
"NeroFilterCheck"=c:\windows.0\system32\NeroCheck.exe
"HP Software Update"=c:\programme\HP\HP Software Update\HPWuSchd2.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS.0\\system32\\PnkBstrB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"2479:TCP"= 2479:TCP:Services
"2576:TCP"= 2576:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [16.07.2009 08:06 108289]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [30.07.2007 18:31 61440]
S3 iMSPCLOj;iMSPCLOj;\??\c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys --> c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [30.07.2007 18:31 17280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [01.02.2009 14:59 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q=%s
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\sv80q3ln.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-10 18:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\Policies\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (Administrator)
@Allowed: (Read) (Administrator)
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,0f,7d,34,7b,8a,8f,4e,0e,59,4b,97,b6,7f,16,9f,8d,64,8f,7e,69,e2,9d,
d9,7a,a1,ef,43,b3,46,0e,62,2f,1a,01,d9,d2,40,1d,46,c1,ea,8e,ad,29,3c,08,40,\
"??"=hex:7a,f5,c0,dd,79,7b,e4,8e,55,60,0e,c7,c0,1c,20,f6

[HKEY_USERS\S-1-5-21-1343024091-1383384898-725345543-500\Software\SecuROM\License information*]
"datasecu"=hex:98,b3,b4,7c,d2,1b,5f,7f,c6,5a,f4,f5,b9,5b,a0,15,38,a5,3b,d6,ed,
17,5e,db,bd,ca,17,10,65,60,9f,86,8b,3e,ce,97,e6,70,55,9f,48,b1,fa,00,16,5d,\
"rkeysecu"=hex:a9,99,9e,c5,a1,49,0b,49,f2,f9,50,b9,23,28,c2,a8
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(972)
c:\windows.0\system32\sfc_os.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3244)
c:\windows.0\system32\nview.dll
c:\windows.0\system32\NVWRSDE.DLL
c:\programme\Logitech\SetPoint\GameHook.dll
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\HPZipm12.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\system32\rundll32.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows.0\system32\PnkBstrA.exe
c:\windows.0\system32\PnkBstrB.exe
c:\windows.0\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 18:22:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-10 17:22

Vor Suchlauf: 12 Verzeichnis(se), 18.397.478.912 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 18.718.068.736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - B685CEC2182F379A0B8EB4BB4E60A1F5

Alt 10.01.2010, 17:42   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Standard

Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinSys2"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"2479:TCP"=-
"2576:TCP"=-
"3389:TCP"=-

File::
c:\windows.0\system32\winsys2.exe
c:\dokume~1\ADMINI~1\LOKALE~1\Temp\iMSPCLOj.sys

Driver::
iMSPCLOj
SetupNTGLM7X
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden
antivir, antivir guard, avira, bho, bonjour, browseui preloader, desktop, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, internet, internet explorer, launch, maleware, malware, malware gefunden, mozilla, rundll, server, software, system, teamspeak, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, trojaner tr/crypt.xpack.gen, windows, windows xp, wlan



Ähnliche Themen: Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden


  1. TR/Crypt.XPACK.Gen2 Trojaner gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  2. TR/Crypt.XPACK.Gen auf WinXP plus evtl. andere Malware
    Plagegeister aller Art und deren Bekämpfung - 12.12.2011 (29)
  3. TR/Crypt.XPACK.Gen3 Trojaner gefunden!
    Log-Analyse und Auswertung - 26.06.2011 (1)
  4. TR/Dropper.Gen, TR/Crypt.XPACK.Gen, HEUR/HTML. und diverse Trojaner bei AntiVir/Malware gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (19)
  5. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  6. Entfernung von Trojaner Crypt.xpack.gen 2 und andere
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (32)
  7. Massenweise Viren werden in Windows/Temp erstellt (Tr/Crypt.xpack.Gen3+TR/Crypt.Pepn.Gen und andere)
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (6)
  8. Trojaner TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.09.2010 (17)
  9. Trojaner TR/Crypt.XPACK.Gen2 gefunden. Was nun?
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (1)
  10. Trojaner Gefunden - TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 18.08.2010 (1)
  11. Trojaner TR/Crypt.XPACK.Gen' gefunden.
    Log-Analyse und Auswertung - 17.07.2010 (1)
  12. Trojaner TR/Crypt.XPACK.Gen und andere gefunden
    Plagegeister aller Art und deren Bekämpfung - 19.04.2010 (8)
  13. Trojaner TR/Crypt.XPACK.Gen gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.04.2010 (2)
  14. Trojaner gefunden: TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 27.10.2009 (2)
  15. TR/Crypt.XPACK.Gen Trojaner im System gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.01.2009 (25)
  16. Trojaner TR/Crypt.XPack.Gen gefunden
    Log-Analyse und Auswertung - 18.12.2008 (11)
  17. Trojaner gefunden: TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 03.12.2008 (11)

Zum Thema Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden - Hallo zusammen, hab seit Weihnachten diesen Trojaner und Maleware attacken auf meinem PC. Bin in solchen Sachen nicht grad die hellste Kraft und hoffe das ich hier Hilfe bekomme. Diese - Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden...
Archiv
Du betrachtest: Trojaner TR/Crypt.XPACK.Gen und andere Malware gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.