Trojaner-Board - Log-File: TR/Crypt.XPACK.Gen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Log-File: TR/Crypt.XPACK.Gen (https://www.trojaner-board.de/52139-log-file-tr-crypt-xpack-gen.html)

Log-File: TR/Crypt.XPACK.Gen

Hallo,

Antivir hat auf meinem Rechner den Trojaner TR/Crypt.XPACK.Gen gefunden und außerdem den Java-Scriptvirus JS/ Redirector.A.
Hab nach der Meldung beides "in Quarantäne" verschoben, aber bei nem Trojaner ist das ja irgendwie wirkungslos.
Also anbei mein Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:41, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143046130828
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5400A455-17F6-46FE-8C87-F53098BFC5F0}: NameServer = 217.237.151.205 217.237.148.70
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Und hier Auszüge aus der Reportdatei von Antivir bezüglich des Trojaners und des Java-Scriptvirus:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Hewlett-Packard\SDP\HPWaitWindow.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4862913d.qua' verschoben!
C:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP547\A0089985.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483b95d8.qua' verschoben!

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G48NSN1T\layout[1].css'
wurde ein Virus oder unerwünschtes Programm 'JS/Redirector.A' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Hoffe, dass sind alle Infos, die ihr braucht!

Hi,
der Redirector stammt von einer Webseite. Weißt du zufällig noch auf welcher Seite du warst kurz bevor/während du die Meldung bekommen hast?
(Oder kam die Meldung erst, als du einen kompletten Scan deines Rechners gemacht hast? )

Dein Log ist sauber. :)
Die Meldungen weisen auf die temporären Dateien und die Systemwiederherstellung hin. Daher würde ich dir empfehlen, einmal die Systemwiederherstellung zu deaktivieren und dann den Rechner neuzustarten.
Anschließend kannst du die Systemwiederherstellung reaktivieren.
(Systemwiederherstellung kann man unter Start->Systemsteuerung->System->Systemwiederherstellung deaktiveren indem man den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt)

Die temporären Dateien lassen sich entweder über die Einstellungen des IE oder mit einem dafür vorgesehenen Programm, etwa dem ATF-Cleaner entfernen.

lg myrtille

Hey,

nee kann leider nicht sagen, welche Seite vorher geöffnet war, weil es aufgetreten ist, als meine Ma am Rechner war. Werde das mit der Systenwiederherstellung später mal testen. Hab gerade nicht mehr so viel Zeit. Und was ist mit dem Trojaner? Mal denke ich, das ganze System läuft wieder so wie vorher und dann auf einmal macht der Rechner, was er will. Schmeißt mich aus dem Netz oder lässt mich einfach ganz normal Seiten nicht öffnen. Hmm...
Aber danke, dass du schon so schnell geantwortest hast!

Hi,

TR/Crypt.XPACK.Gen ist erstmal nur eine Meldung, dass Antivir ein Programm gefunden hat, dass mit einem typischen Packer für Malware gepackt worden ist. Das bedeutet nicht unbedingt, dass es sich um einen Trojaner handelt, aber die Möglichkeit ist jedenfalls da.

Ich würde auch gerne noch 2-3 weiterführende Tests machen, ein Hijackthislog ist nicht hinreichend um einen Befall ausschließen zu können.
Ich würde zb gerne auch ein Log von Malwarebytes' Antimalware sehen und je nach Ausgang des Scans noch 2-3 weitere Scans durchführen.

lg myrtille

Okay, werde deine Ratschläge mit Malwarebytes' Antimalware befolgen und den Bericht dann später gegen Abend posten. Bin gespannt!
Danke!

lg, irie

So, habe dieses Programm laufen lassen und die Sachen gelöscht, die mir angezeigt wurden.
Das Lof-File von Malwarebytes' Antimalware sieht so aus:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 723

Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Objekte gescannt: 177709
Scan Dauer: 54 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 17

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\SpywareBot (Rogue.SpywareBot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\SpywareBot (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Quarantine (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Registry Backups (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings (Rogue.SpywareBot) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\SpywareBot\DataBaseNew.ref (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_44_38.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_44_39.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_45_30.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_45_31.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_45_51.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_45_52.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_48_32.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_48_40.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_49_31.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\log_2006_10_29_17_49_32.log (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Log\spywarelog.txt (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings\CustomScan.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings\IgnoreList.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings\ScanInfo.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings\SelectedFolders.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.
C:\Programme\SpywareBot\Settings\Settings.stg (Rogue.SpywareBot) -> Quarantined and deleted successfully.

Hi,
hmmm.. hast du SpywareBot selbst installiert?

SpywareBot hat mindestens einen zweifelhaften Ruf, Malwarebytes scheint es auf jeden Fall als Rogue einzustufen.
Interessant ist daher ob das Programm "von allein" auf deinen Rechner, oder ob du es installiert hast?

Ich würde dir auf jedenfall empfehlen, SpywareBot nicht wieder zu installieren und stattdessen Malwarebytes zu behalten, das in den meisten Tests sehr gut abschneidet.

lg myrtille

Hmm..also ich habe spywareblaster selbst installiert. ist das das gleiche wie spywarebot? für den fall, dass es nicht das gleiche ist, dann ist es von allein auf dem rechner gekommen...irgendwie. also muss das auf jeden fall noch runter? oder ist das durch der vorherigen vorgang schon passiert?

Hi,
spywarebot wurde von Malwarebytes gelöscht.
Ist Spywareblaster noch auf deinem Rechner? Von wo hast du Spywareblaster denn geladen gehabt?

lg myrtille

Also spywareblaster ist nocht drauf. hatte das glaub ich von dieser seite www.majorgeek. oder greek oder so ähnlich. weiß nicht mehr genau.

also es ist auf jeden fall noch drauf. hab gerade nochmal nachgeschaut. das brauch ich dann nicht löschen, oder?
lg, irie

Ok,
Spywareblaster ist eigentlich ein "normales" Antispywareprogramm. Ich wollte nur sicher gehen, dass du nicht einen bösartigen Namensvetter installiert hast. (Spwareb1aster, SpywarebIaster, etc )Majorgeeks ist an sich ne vertrauenswürdige Seite. :)

SpyBot war nicht "aktiv" auf deinem Rechner, es scheint zwar installiert worden zu sein, allerdings lief offenbar kein Wächter im Hintergrund oder Ähnliches. Könnte das Programm von jemand anderem auf deinem Rechner installiert worden sein?
Ich gehe nicht unbedingt mit der Meinung konform, dass SpywarBot wirklich ein Rogue ist, also ein Programm, dass nur vorgaukelt deinen Rechner zu sichern.

Führe bitte mal auf Verdacht folgendes Tool durch: Smitfraudfix
Einfach die Schritte für "Suche" durchführen.

lg myrtille

Also während ich das dieses smitfraudfix runtergeladen und gestartet habe, kam die folgende nachricht von antivir: C:\...\smitfraudfix.[1].exe enthält erkennungsmuster des droppers dr/Tool.Reboot.F91. Bin auf Ignorieren gegangen. war richtig? als ergebnis kommt das raus:

SmitFraudFix v2.319

Scan done at 21:11:58,21, 06.05.2008
Run from C:\Dokumente und Einstellungen\HP_Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\HP_Besitzer\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\HP_BES~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Teledat 300 USB - Paketplaner-Miniport
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 217.237.151.205
DNS Server Search Order: 217.237.148.70

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5400A455-17F6-46FE-8C87-F53098BFC5F0}: NameServer=217.237.151.205 217.237.148.70
HKLM\SYSTEM\CCS\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5400A455-17F6-46FE-8C87-F53098BFC5F0}: NameServer=217.237.151.205 217.237.148.70
HKLM\SYSTEM\CS1\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{74037B92-63E7-40CD-96A6-F0EF1D14DABA}: DhcpNameServer=15.243.128.51 15.243.160.51

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Das sieht gut aus. :)
Antivir erkennt potentiell gefährliche Programme, in diesem Fall ein Programm, dass den Rechner zum Booten bringen kann. Das werden wir allerdings nicht brauchen, da Smitfraudfix keine Infektion gefunden hat, und wir daher die bereinigenden Tools von Smitfraudfix nicht brauchen. ;)

Einen letzten Scan hätte ich noch:
Blacklight

Dann würde ich sagen du bist sauber.
Wir haben hier auf die gängigsten Befälle geprüft und nichts gefunden, der gefundene TR ist meines Erachtens ein Fehlalarm. Darüber würde ich mir keine Gedanken machen.
Wenn deine Mutter außerdem beim JS/Redirector während des Surfens auf "Zugriff verweigern" geklickt hat, dann sollte auch nichts passiert sein.
Bleibt das Mysterium des SpywareBots... allerdings lässt sich da im Nachhinein schlecht beurteilen wie lange das Programm schon installiert war und von wem es ursprünglich kam.

lg myrtille

So, den letzten Scan hab ich auch gemacht und der hat auch wieder nix gefunden :) hört sich doch gut an!!! supi! ja und dieses spywarebot...keine ahnung, wo das hergekommen ist. vtl wars mein bruder...meine eltern trauen sich an solche sachen eh nicht ran :) aber das dingen ist ja jetzt eh weg.
dann sag ich mal herzlichen dank für die mühe und die tolle und schnelle hilfe!!!

lg, irie