Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Antivir meldet DR/WinAD.BQ.7, TR/Crypt.XPACK.Gen und DR/Zlob.Gen (https://www.trojaner-board.de/53071-antivir-meldet-dr-winad-bq-7-tr-crypt-xpack-gen-dr-zlob-gen.html)

Duke23 26.05.2008 22:29
Antivir meldet DR/WinAD.BQ.7, TR/Crypt.XPACK.Gen und DR/Zlob.Gen
 
ich bins nochmal, jetzt aber ein anderer rechner und ein anderes problem :(

erstmal das HJT-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:19, on 26.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ASUS\AASP\1.00.05\aaCenter.exe
C:\Programme\ASUS\PC Probe II\Probe2.exe
C:\PROGRA~1\MICROS~3\common\swtrayv4.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Deamon-Tools\daemon.exe
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\G15_BF2\BF2 LCD.exe
C:\PROGRAMME\FRAPS\FRAPS.EXE
C:\Programme\G15_SirReal\LCDSirReal.exe
C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\Hamachi\hamachi.exe
C:\Programme\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Programme\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Programme\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~3\common\swtrayv4.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Deamon-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [Fraps] C:\PROGRAMME\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokale Einstellungen\Temp" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokale Einstellungen\Temp" (User 'NETZWERKDIENST')
O4 - Startup: foobar2000.lnk = C:\Programme\foobar2000\foobar2000.exe
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: Intelliremote.lnk = C:\Dokumente und Einstellungen\Administrator\Desktop\intelliremote-251493\Intelliremote.exe
O4 - Startup: LCDSirReal.lnk = C:\Programme\G15_SirReal\LCDSirReal.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0309E303-880B-4B5B-8D1C-E8292D85A66C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD4B104-CE74-48CD-82F7-BB19BAD7409B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9EA8BE-F951-4E96-968D-1563E089FF23}: NameServer = 141.30.207.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0309E303-880B-4B5B-8D1C-E8292D85A66C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0309E303-880B-4B5B-8D1C-E8292D85A66C}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 8895 bytes
und nun noch das was antivir gesagt hat (diesmal auch nicht gelöscht, sondern in quarantäne gepackt ;) )

Zitat:
In der Datei 'D:\System Volume Information\_restore{F1449365-DC74-4CEF-A595-35AC232ABBA2}\RP339\A0059852.exe'
wurde ein Virus oder unerwünschtes Programm 'DR/WinAD.BQ.7' [dropper] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Zitat:
In der Datei 'C:\System Volume Information\_restore{F1449365-DC74-4CEF-A595-35AC232ABBA2}\RP339\A0059781.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Zitat:
Die Datei 'C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\xtaa4oga.exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Zlob.Gen' [dropper].
Durchgeführte Aktion(en):
Eine Sicherungskopie wurde unter dem Namen 48920aad.qua erstellt ( QUARANTÄNE )
Die Datei wurde nach "xtaa4oga.exe.VIR" umbenannt!
Zitat:
In der Datei 'C:\Dokumente und Einstellungen\Administrator\Desktop\intelliremote-251493\Intelliremote.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
danke schonmal für die mühen!!!

Duke23

Duke23 29.05.2008 16:30
*push*

keiner ne idee? :(

Duke23 09.06.2008 12:50
*push²*

:confused:

BataAlexander 09.06.2008 14:20
Deinstalliere über Start / Systemsteuerung / Software die Software Netlimiter.

Dann lasse bitte Malwarebytes laufen und poste das Logfile im Forum.

Duke23 10.06.2008 17:48
so, hat lange gedauert, aber er hat es geschafft!

Code:
Malwarebytes' Anti-Malware 1.15
Datenbank Version: 843

18:30:37 10.6.2008
mbam-log-6-10-2008 (18-30-37).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 266840
Scan Dauer: 1 hour(s), 29 minute(s), 14 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
D:\Programme\TMPGEnc_Suite\Cracks_and_Serials\TMPGEnc - Sound Plug-in Crack.exe (Rogue.Installer) -> Quarantined and deleted successfully.
allerdings heißt die datei, die hier im arbeitsplatz angezeigt wird etwas anders als es im log steht :?

kannst du mir anstelle von netlimiter ein anderes programm nennen, das ähnliche funktionen bietet? oder kann ich netlimiter wieder installieren?

BataAlexander 11.06.2008 20:33
Zitat:
racks_and_Serials
Sorry, hier hört mein Support auf.

Duke23 11.06.2008 22:05
ok, hatte sowas schon erwartet.

trotzdem danke :)

Duke23 11.06.2008 22:11
hm, sowas in der art hatte ich schon erwartet.

trotzdem danke! :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131