Trojaner-Board - Trojaner TR/Crypt.XPACK.Gen von Antivir entdeckt

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner TR/Crypt.XPACK.Gen von Antivir entdeckt (https://www.trojaner-board.de/60017-trojaner-tr-crypt-xpack-gen-antivir-entdeckt.html)

Trojaner TR/Crypt.XPACK.Gen von Antivir entdeckt

Hallo,
ich habe ein Problem. Mein Laptop hat sich einen Virus eingefangen, der vermutlich ziemlich hartnäckig ist. Er wurde von AntiVir identifiziert. Kann mir jemand helfen, diesen zu beseiten?
Da ich momentan im Ausland bin, habe ich keine Windows-CD mit, sodass ich einfach Windows neu aufsetze.

Es gibt hierzu schon einen Link.http://www.trojaner-board.de/55718-a...xpack-gen.html Inwieweit solle ich das nun alles durchführen oder braucht ihr zuvor andere Infos?
Wäre für eure Hilfe sehr dankbar!

Chrispian

Hier auf jeden Fall mal der HiJack-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:20, on 16.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: eBay - {D0CB6AA3-217E-443F-A78C-C476651BA388} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {439B6D3C-A359-4D73-8515-2AFE8CF90C08} (TradeSignal 5 Web Edition) - h**p://www.tradesignalonline.com/gallery/components/axts5we.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} (TradeSignal express) - h**p://www.tradesignalonline.com/wpa/tsb/2.7.0.45/components/tsbt-2-7-0-45.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 11606 bytes

hi Chrispian und :hallo:

lasse Malwarebytes scannen, log posten.

===

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
.
http://i266.photobucket.com/albums/ii277/sUBs_/RC1.gif
.
Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
Das könnte Dein System einfrieren oder hängen bleiben lassen.
Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo,

ich habe jetzt wie empfohlen, Malwarebytes drüberlaufen lassen. Keine Funde.

Hier der Log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1161
Windows 5.1.2600 Service Pack 2

16.09.2008 21:14:41
mbam-log-2008-09-16 (21-14-41).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117136
Laufzeit: 3 hour(s), 1 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Auch Spybot hat nichts gefunden. Heißt das, dass ich doch keinen Trojaner habe? Aber warum habe ich dann die Meldung von AntiVir bekommen?
AntiVir hat beim erneuten Durchsuchen auch keine Funde entdecken können.

Was soll ich jetzt machen?

hast du meine anleitung komplett abgearbeitet? wo ist das combofix-log?

Hallo Schrauber,

ich wollte jetzt Combofix durchlaufen lassen (so wie beschrieben), aber bei "Fertiggestellt Stufe 31" war Schluss. Da rührte sich für die nächsten 45 Minuten gar nichts mehr. Kein Fortschritt. Habe dann abgebrochen.

War das falsch oder was soll ich jetzt machen?

nunja, das war eher schlecht. schau mal nach ob es ne C:\Combofix.txt gibt. wenn, bitte posten.

wenn nicht combofix nochmal starten und laufen lassen.

Eine Combofix-txt Datei gibt es nicht.

Als ich es vorhin nochmal neustarten wollte, sollte ich ein Update von Combofix installieren. Dieses wurde allerdings mit einer Fehlermeldung abgebrochen. Dann startete ich es so, aber diesmal hat er vorher schon aufgehört zu arbeiten. Also diesmal auch keine txt.Datei.
Irgendwie läuft das Programm bei mir nicht.

lösche combofix vom desktop, lad es nach anleitung obnen neu und versuch es wieder

Ich habe nun die Starterdiskette für Windows und Combofix.exe gelöscht und neu geladen.
Nach der Anleitung gemacht, aber dann kam die Fehlermeldung: The machine already has the recovery console installed. Aborting operations.

Und dann wurde die Aktion beendet. Ich bekomme Combofix nicht zum Laufen.

(Vielleicht liegt da irgendwo der Fehler. Wenn ich das Icon für die Starterdiskette auf Combfix ziehe, werde ich gleich gefragt, ob ich ausführen oder abbrechen möchte. Dann kommt gleich das Bild mit den zwei Balken (aus der Anleitung für Combfix)).

richtig, beim ersten mal sollst du die wiederherstellungskonsole auf combofix ziehen, das prog beginnt direkt zu arbeiten.

jetzt sollst du einfach nen doppelklick auf combofix machen, zuvor aber alle av-progs abschalten, wie es in der anleitung steht.

So nun hat es geklappt.

Hier der Bericht von Combofix

ComboFix 08-09-16.05 - XXX 2008-09-17 19:30:40.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.631 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-17 16:41 . 2008-09-17 16:41 268 --ah----- C:\sqmdata04.sqm
2008-09-17 16:41 . 2008-09-17 16:41 244 --ah----- C:\sqmnoopt04.sqm
2008-09-17 16:15 . 2008-09-17 16:15 268 --ah----- C:\sqmdata03.sqm
2008-09-17 16:15 . 2008-09-17 16:15 244 --ah----- C:\sqmnoopt03.sqm
2008-09-16 18:10 . 2008-09-16 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes
2008-09-16 18:09 . 2008-09-16 18:12 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-16 18:09 . 2008-09-16 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-16 18:09 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 18:09 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 16:19 . 2008-09-16 16:19 <DIR> d-------- C:\Programme\eRightSoft
2008-09-16 00:04 . 2008-09-16 00:04 268 --ah----- C:\sqmdata02.sqm
2008-09-16 00:04 . 2008-09-16 00:04 244 --ah----- C:\sqmnoopt02.sqm
2008-09-15 01:31 . 2008-09-15 01:31 268 --ah----- C:\sqmdata01.sqm
2008-09-15 01:31 . 2008-09-15 01:31 244 --ah----- C:\sqmnoopt01.sqm
2008-09-14 02:31 . 2008-09-14 02:31 268 --ah----- C:\sqmdata00.sqm
2008-09-14 02:31 . 2008-09-14 02:31 244 --ah----- C:\sqmnoopt00.sqm
2008-08-28 12:05 . 2008-08-28 12:07 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Contacts
2008-08-28 11:58 . 2008-08-28 11:58 <DIR> d-------- C:\Programme\Windows Live
2008-08-23 18:31 . 2008-09-14 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\skypePM
2008-08-23 18:31 . 2008-08-23 18:31 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-08-23 18:30 . 2008-08-23 18:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-18 17:52 . 2008-08-18 17:54 <DIR> d-------- C:\Programme\UltraStar

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 17:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-17 14:16 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-17 14:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-17 11:44 --------- d-----w C:\Programme\PokerStars
2008-09-16 14:44 --------- d-----w C:\Programme\WHS ForexStation
2008-09-16 14:05 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\TransRender
2008-09-16 09:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-14 23:26 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-09-11 20:07 --------- d-----w C:\Programme\Foxit Reader
2008-09-04 15:18 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ConvertTemp
2008-08-30 08:18 --------- d-----w C:\Programme\ICQ6
2008-08-29 08:48 --------- d-----w C:\Programme\WHC Trader 4
2008-08-28 08:27 --------- d-----w C:\Programme\MetaTrader - Alpari UK
2008-08-23 16:30 --------- d-----w C:\Programme\Skype
2008-08-18 18:23 --------- d-----w C:\Programme\Microsoft Works
2008-08-18 18:23 --------- d-----w C:\Programme\DivX
2008-08-18 18:22 --------- d-----w C:\Programme\CDBurnerXP
2008-08-11 15:34 --------- d-----w C:\Programme\iTunes
2008-08-11 15:33 --------- d-----w C:\Programme\iPod
2008-08-11 15:21 --------- d-----w C:\Programme\QuickTime Alternative
2008-07-31 11:08 --------- d-----w C:\Programme\AnalogX
2008-07-29 18:27 --------- d-----w C:\Programme\Bonjour
2008-07-29 18:22 --------- d-----w C:\Programme\Apple Software Update
2008-07-29 18:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-07-29 18:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-24 08:42 --------- d-----w C:\Programme\Google
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:16 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-06-29 1077326]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-11-29 667648]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-12-21 118784]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2005-01-14 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-12-27 61440]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-12-30 127035]
"IS CfgWiz"="C:\Programme\Norton Internet Security\cfgwiz.exe" [2004-08-24 132248]
"SSC_UserPrompt"="C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-08-09 218240]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-01-27 5529600]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"TPSMain"="TPSMain.exe" [2004-12-17 C:\WINDOWS\system32\TPSMain.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-01-24 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TFncKy"="TFncKy.exe" [BU]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"NDSTray.exe"="NDSTray.exe" [BU]
"nwiz"="nwiz.exe" [2005-01-27 C:\WINDOWS\system32\nwiz.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
--a--c--- 2004-09-03 14:11 58488 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\XXX\\Desktop\\Christian\\blobby\\volley.exe"=
"C:\\Programme\\WHS ForexStation\\WHS ForexStation.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 58320]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 8304]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 94000]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-MSMSGS - C:\Programme\Messenger\msmsgs.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\clkgja72.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\clkgja72.default\extensions\{1acd747e-8470-11db-96a9-00e08161165f}\plugins\NPTS5we.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1273.1045\npCIDetect12.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\QuickTime Alternative\Plugins\npqtplugin.dll
FF -: plugin - C:\Programme\QuickTime Alternative\Plugins\npqtplugin2.dll
FF -: plugin - C:\Programme\QuickTime Alternative\Plugins\npqtplugin3.dll
FF -: plugin - C:\Programme\QuickTime Alternative\Plugins\npqtplugin4.dll
FF -: plugin - C:\Programme\QuickTime Alternative\Plugins\npqtplugin5.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 19:33:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 19:35:55
ComboFix-quarantined-files.txt 2008-09-17 17:35:33

Vor Suchlauf: 12 Verzeichnis(se), 31,186,280,448 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 31,209,742,336 Bytes frei

163 --- E O F --- 2008-09-10 23:25:46

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

Browser öffnen und
Kaspersky Online Scanner ansurfen.
Die Datenschutzerklärung akzeptieren.
Die nötigen ActiveX-Steuerelemente installieren lassen.
Update der Signaturen installieren lassen => Weiter
Scan-Einstellungen => Standard wählen => OK
Link "Arbeitsplatz" anklicken
Scan beginnt automatisch
Untersuchung wurde abgeschlossen => Protokoll speichern als...
Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
Logdatei hier posten.

Deinstallation
nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
=> C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

Hi Schrauber,

hier die Logdatei von Kaspersky

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, September 17, 2008
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, September 17, 2008 19:12:25
Records in database: 1246182
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\

Scan statistics:
Files scanned: 68776
Threat name: 1
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 02:44:21

File name / Threat name / Threats count
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Eigene Musik\- House\House Music Volume 3\East-West Rockerz - Never Stop!!! 2006.mp3 Infected: Trojan-Downloader.WMA.Wimad.n 1
C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Eigene Musik\- House\House Music Volume 3\Shaun Baker - Somebody (Djs best friend acapella).mp3 Infected: Trojan-Downloader.WMA.Wimad.n 1

The selected area was scanned.

Heißt das die zwei Lieder sind Trojaner? Wo ist der ursprüngliche Trojaner (TR/Crypt.XPACK.Gen) hin?

Zitat:

Heißt das die zwei Lieder sind Trojaner?

jepp, bitte von hand löschen.

Zitat:

Wo ist der ursprüngliche Trojaner (TR/Crypt.XPACK.Gen) hin?

ich habe keinen blassen schimmer :D. er spielt gut verstecken mit mir ;).

schau bitte in antivir, ob du ein log findest, wo dieser trojaner gefunden wurde, zeig es mir bitte. desweiteren av-prog updaten, und komplettscan machen, log posten.