TR/Crypt:Xpack.gen Virus entfernen

Compiler

Administrator
Ich habe mal den zweiten Doppel-Thread zusammen geführt zum offiziellen TR Crypt Xpack Trojaner Thread.
 

erzengel

New member
Warum eigentlich immer neu Aufsetzen? Ich habs noch nicht probiert, aber im abgesicherten Modus alles entfernen lassen und dann ein Windows Repairinstall? Oder umgekehrt.

MG Michael
 

sixkiller

New member
thanks

N´Abend , also erstmal ein wirklich fettes Dankeschön an Kingslayer, ohne Dich hätte ich keine Chance gehabt. Konnte mit den vorhandenen Threads nicht wirklich viel anfangen. Der Virus hat sich mit allen schon hier erwähnten Virusprogrammen etc. nicht löschen lassen - auch nicht im abgesicherten Modus (soviel zu erzengel). Von der Systemwiderherstellung oder Repairinstall halte ich garnichts da ich mir damit das System oft mehr versaut habe als es genützt hat.
Habe jetzt letztendlich die Festplatte ausgebaut und extern beim Kumpel drangehängt und den Virus von Hand gelöscht - Danach Festplatte wieder rein und die Prozedur von Kingslayer nochmal durchgespielt.
Und siehe da - alles Clean - glaube ich:):):).
Nochmals vielen lieben Dank.
Muß jetzt nur noch gucken wie ich die Danksagung bei Kingslayer eintragen kann?!
Schönen Abend noch und schöne Grüße Sixkiller
 

Tascha800

New member
bekomme den trojaner nicht weg

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
konnte nicht gefunden werden.

C:\Dokumente und Einstellungen\gabriele>netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP gabi:epmap gabi:0 ABHÖREN
TCP gabi:microsoft-ds gabi:0 ABHÖREN
TCP gabi:2869 gabi:0 ABHÖREN
TCP gabi:1028 gabi:0 ABHÖREN
TCP gabi:1117 localhost:1118 HERGESTELLT
TCP gabi:1118 localhost:1117 HERGESTELLT
TCP gabi:1122 localhost:1123 HERGESTELLT
TCP gabi:1123 localhost:1122 HERGESTELLT
TCP gabi:4664 gabi:0 ABHÖREN
TCP gabi:netbios-ssn gabi:0 ABHÖREN
TCP gabi:1083 cg-in-f91.google.com:http SCHLIESSEN_WARTEN
TCP gabi:1127 195.50.169.136:http HERGESTELLT
TCP gabi:1146 195.50.169.96:http HERGESTELLT
TCP gabi:1152 195.50.169.80:http HERGESTELLT
TCP gabi:1162 76.74.249.30:http ZULETZT_ACK
UDP gabi:microsoft-ds *:*
UDP gabi:isakmp *:*
UDP gabi:1050 *:*
UDP gabi:1061 *:*
UDP gabi:4500 *:*
UDP gabi:ntp *:*
UDP gabi:1900 *:*
UDP gabi:ntp *:*
UDP gabi:netbios-ns *:*
UDP gabi:netbios-dgm *:*
UDP gabi:1900 *:*

C:\Dokumente und Einstellungen\gabriele>
 

erzengel

New member
Keine Systemwiederherstellung, davon habe ich nicht geredet. Ein Repairinstall setzt die Windows Dateien in den Installationszustand zurück ohne dass du alle Progs neu installieren musst. Das System erhält dann die orginal Systemdateien.

Natürlich müssen Service Packs etc nachinstalliert werden.

Aber ich finde es mal interessant, alle haben Antivir installiert, zumindest die die Hijack log gepostet haben. Also ich würde euch da zu etwas anderem raten, wenn euch eure Daten wichtig sind. (Bitdefender oder Nod32)

MFG Michael

PS: Tascha wieso siehst du in netstat -a einen Trojaner? Da werden dir noch nur Verbindungen der Progs angezeigt?


EDIT (autom. Beitragszusammenführung):


Wenn dann musst du auch netstat -n machen. Wollte schon sagen sieht etwas komisch aus ;).
 
Zuletzt bearbeitet:

schneemann

New member
hallo,
ich habe das alles so gemacht wie ihr das gesagt habt bei mir bleibe die ganze zeit 2 frage zeichen.Die nicht weg gehen.Und den Virus habe ich immer noch drauf.Bitte helft mir.
 

sixkiller

New member
Hey erzengel, will hier nicht das Diskutieren anfangen denn das gehört nicht hierrein, aber ich hatte schon das Problem sowohl mit Repairinstall als auch mit systemwiederherstellung wo danach manche Progs nicht mehr gefunzt haben oder manche Sachen dann doppelt (evtl. Backup) waren. Ich habe Antivir schon ewig und nie Probs gehabt - und dieser Virus war wirklich grob doofes Verhalten von mir. Windows Media Player wollte angeblich einen Codec installieren und ich Trottel bin (heiß wie ich auf das Video war) auf diese unseriöse Installation reingefallen. Und ich neheme wirklich viel Zeug von Kumpels oder aus dem Netz an. Also Antivir - Toi Toi Toi und vorallem Kostenlos. Könnte man mal in einem Thread diskutieren?!
 

erzengel

New member
Grins... also noch jemand mit Antivir... Dann bete mal lieber weiter dass dir nichts passiert. Kostenlos... sagt nicht aus das die Software gut oder schlecht ist. Es gibt auch gute Freeware. Wer nicht ein paar Euro im Jahr hat um sich zu schützen...

Du hast schon Recht was Repairinstall angeht, es muss nicht klappen, aber evt mal eine Überlegung wert bevor man alles neu aufsetzt. Ich habe das oft gemacht ohne Probleme (ohne Virus). Es gibt natürlich dinge die man beim Repairinstall beachten muss.

MFG Michael
 

CompiWare13

New member
Hey erzengel, will hier nicht das Diskutieren anfangen denn das gehört nicht hierrein
Eben!
Ich habe Antivir schon ewig und nie Probs gehabt
Wie die meisten von uns, macht schon sinn!
Also Antivir - Toi Toi Toi und vorallem Kostenlos. Könnte man mal in einem Thread diskutieren?!
Hatten wir schon, bringt nicht viel und eher Ärger, da steht manch ein schlecht informierter User ohnehin schon unter Beobachtung und vor einer roten Karte...
 

Zoltan

New member
Antivir ist auch nicht schlecht :rulez:

nur mal ein Beispiel von Virustotal
Hier könnt ihr Files testen lassen http://www.virustotal.com/de/
Bei Avira ist das kein false positive (Fehlarlarm). Keine Schutzlösung ist 100 % perfekt. Auf Computerbase gibt es da einen geilen Spruch eines Users.
Kenne Deinen Viren Scanner und wisse um seine Schwächen. Verlasse Dich nicht nur auf einen einzigen Scanner, auch wenn Dir die Hersteller anderes einreden wollen.Quelle zum Test
Bei webwasher ist es normal webwasher Antivirus verwendet Avira Engines.
Viele kennen ja die Testberichte und den Platz wo Webwasher Antivirus steht.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 TR/Vundo.GT
Authentium 5.1.0.4 2008.05.17 -
Avast 4.8.1195.0 2008.05.17 -
AVG 7.5.0.516 2008.05.17 -
BitDefender 7.2 2008.05.17 -
CAT-QuickHeal 9.50 2008.05.17 -
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5798 2008.05.16 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.18 -
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.18 -
Ikarus T3.1.1.26.0 2008.05.18 -
Kaspersky 7.0.0.125 2008.05.18 -
McAfee 5297 2008.05.17 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3106 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.17 -
Prevx1 V2 2008.05.18 -
Rising 20.44.52.00 2008.05.17 -
Sophos 4.29.0 2008.05.17 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.18 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 -
Webwasher-Gateway 6.6.2 2008.05.17 Trojan.Vundo.GT
weitere Informationen
File size: 29824 bytes
MD5...: 66d81fe515ab5c4c82cad054492d7d4e


EDIT (autom. Beitragszusammenführung):


Es gibt auch gute Freeware. Wer nicht ein paar Euro im Jahr hat um sich zu schützen...

Was will man in der heutigen Zeit mit Freeware. Es laufen gerade Heute Aktionen Jahreslizenzen von Kaspersky bis hin zu Avira Pro. Da braucht keiner mehr ein Freeware Antivirus.

Quelle Computerbase Kostenlose Lizenzen abstauben für Schutzlösungen
 
Zuletzt bearbeitet:

distefano1

New member
Trojaner TR/Crypt.XPACK.Gen

Hallo zusammen. Ich habe den oben angeführten Trojaner auf meinem Rechner. Er wird von Antivir erkannt, lässt sich aber weder löschen noch in Quarantäne verschieben. Jetzt hab ich mich durchs Internet geklickt Unmengen gelesen und den folgenden Log(?) erstellt. Kann mit damit jemand helfen oder sagen wie ich den Trojaner wieder los werde??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:48, on 30.05.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\IoctlSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\1&1 Programme\cFos3\cFosDNT.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
D:\prüfung.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {0CF5D165-517E-48B6-B3C7-3054A24F8BF6} - C:\WINNT\system32\pmnmlJYs.dll
O2 - BHO: {897d843e-a95e-7899-1e24-f697916ec502} - {205ce619-796f-42e1-9987-e59ae348d798} - C:\WINNT\system32\ablllxke.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {BD4EC411-FD4F-442A-A1B1-49AA7F49BDC5} - C:\WINNT\system32\pmnlkkkI.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [EumexInst] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_43ee1fd2\winwks\de\basic-nt\setup.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos3\cFosDNT.exe
O4 - HKLM\..\Run: [64f8ce9e] rundll32.exe "C:\WINNT\system32\twyhjmxe.dll",b
O4 - HKCU\..\Run: [orakak] pede.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [orakak] pede.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136193908234
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1206971207
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A1E652F-EADF-42C0-9A29-756D3BA99388}: NameServer = 217.237.148.102 217.237.151.115
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: pmnmlJYs - C:\WINNT\SYSTEM32\pmnmlJYs.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Client Runtime Server Subsystem (crss) - Unknown owner - crss.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: qrqzw - Unknown owner - \\80.140.69.77\D$\windll32.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
--
End of file - 8997 bytes
 

Zoltan

New member
Ich brauch da einige Minuten. Werde dir aber gleich eine Lösung beschreiben.

Als erstes schaut es so aus als ob der Schädling dein Avira angegriffen hat

Fixen bitte

O4 - HKLM\..\Run: [EumexInst] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_43ee1fd2\winwks\de\basic-nt\setup.exe

O4 - HKUS\.DEFAULT\..\Run: [orakak] pede.exe (User 'Default user')

schieb einfach deine Logfiles in Auswertung rein
http://www.hijackthis.de/de#anl

Punkt 1 Systemwiederherstellung auf deinen PC deaktivieren

Punkt 2 CCleaner verwenden.inkl Registry scannen und putzen lassen

Punkt 3 Trialversion von Conterspy installieren. Hier findest du deutsche Anleitung. Anleitung deutsch

* Full System
* Low Risk Programs
* Cookies
* Save Options
in Conterspy Scan Options anhacken

Punkt 4 Internet Unterbrechen. (zieh das Kabel oder Router aus) :)

Punkt 5 Rechner starten im abgesicherten Modus

Punkt 6 Conterspy scann starten Punkt 7 lass Conterspy rödeln und lösche was es findet

und dann poste nochmal HijackThis-Logfile
 
Zuletzt bearbeitet:

Zoltan

New member
Noch etwas sehr wichtiges am Rande. Das sollte ein Team User mit in Regeln einbinden. Wer zum Beispiel eine Logfiles postet sollte die Links unscharf machen. Bei einigen Logfiles von User mit Malware führen die Links in der Log zu schädlichen Webseiten.

Danke
 

cougar3

New member
Hallo, ich habe das selbe Problem und habe mal ein Hijackthis-Log gemacht. Ich hoffe ihr könnt mir weiterhelfen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:29, on 10.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\winudmr.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\ehome\ehmsas.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netlog.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_CH&c=73&bd=Pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WindowBlinds] C:\Program Files\AlienGUIse\wbload.exe auto
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O13 - Gopher Prefix:
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll,wbsys.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 10024 bytes


MfG
 

clarity

New member
TR/CryptXPACK.Gen und weitere trojaner & würmer

Hi Leute!

Hab mir da ein kleines biotop an würmern und trojaner angesammelt, wär nett wenn ihr mir helfen könntet. Sind zwar alle in quarantäne, aber antivir bringt immer wieder 'ne meldung, vor allem nach dem hochfahren. Meistens handelt es sich um den TR/CryptXPACK.Gen.

1. TR/CryptXPACK.Gen (C:WINDOWS/System32/NinKey.exe)

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:28, on 11/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\NinKey.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\Archivos de programa\Opera7\Opera.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
c:\archivos de programa\avira\antivir personaledition classic\avcenter.exe
C:\DOCUME~1\raven\CONFIG~1\Temp\Rar$EX36.3985\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKLM\..\RunServices: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKLM\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKCU\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-343818398-602162358-725345543-1003\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-343818398-602162358-725345543-1003\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D2BD0B-B7DC-401D-84BF-43A263FEFD4D}: NameServer = 195.34.133.21 195.34.133.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

--
End of file - 6594 bytes



2. TR/Crypt.PCMM.Gen (C:/Windows/system/msv.exe)

3. TR/Crypt.CFI.Gen (C:/System Volume Information_restore(.....exe)

4. WORM/IrcBot.122880.8 (C:/WINDOWS/system32/windowsupdate.exe)

5. WORM/Rbot.246784.17 (C:/WINDOWS/system32/host.exe)

6. WORM/Rbot.147456.27 (C:/WINDOWS/system32/ssms.exe)


Besten dank im voraus!
 

jugla

New member
TR/Crypt.xpack.gen

Hallo,

Antivir zeigt mir diesen triojaner an.
leider mit fehlermeldungen die ich nicht mehr wegklicken kann,
d.h. ich kann aktuell mit meinem dektop nichts machen,
kein internet, keine anderen programme starten.

ich habe dann im abgesicherten modus gestartet, die
systemwiederherstellung deaktiviert und antivir drüber laufen lassen.
es kam folgende meldung:
"Möglicherweise fehlen Ihnen dazu die nötigen Rechte, oder der Zugriff auf die Datei ist gesperrt.
Bitte stellen Sie sicher, daß Sie für die gewünschte Aktion Administratorrechte haben"
Ich kann dann folgendes auswählen:
- ignorieren
- Gesperrte Datei nach Neustart löschen

daß passiert aber dann beim neustart (im normalen modus)nicht sondern es kommen wieder diese lästigen fehlermeldungen.

kann jemand helfen ?
 

paulinchen

New member
noch ein opfer :)

hallo,auch auf unserem PC hat sicher dieser Trojaner eingenistet.habe folgendes logfile mit hijackthis erstellt:Logfile of Trend Micro HijackThis v2.0.2Scan saved at 15:58: VIRUS ALERT!, on 23.07.2008Platform: Windows 2000 (WinNT 5.00.2195)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Boot mode: NormalRunning processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Programme\AntiVir PersonalEdition Classic\sched.exeC:\Programme\AntiVir PersonalEdition Classic\avguard.exeC:\WINNT\System32\svchost.exeC:\Programme\Ahead\InCD\InCDsrv.exeC:\WINNT\system32\regsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\stisvc.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\System32\mspmspsv.exeC:\WINNT\Explorer.exeC:\WINNT\loadqm.exeC:\Programme\Winamp\Winampa.exeC:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exeC:\Programme\AntiVir PersonalEdition Classic\avgnt.exeC:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exeC:\Programme\QuickTime\qttask.exeC:\WINNT\System32\Rundll32.exeC:\WINNT\System32\rundll32.exeC:\WINNT\System32\internat.exeC:\Programme\Microsoft Office\Office\OSA.EXEC:\Programme\Microsoft Office\Office\FINDFAST.EXEC:\Programme\Internet Explorer\IEXPLORE.EXEC:\Dokumente und Einstellungen\Anthias .W2K\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UCQZPXXY\HiJackThis[1].exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ycomp/defaults/sb/*http://de.docs.yahoo.com/info/ie6.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.comR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.comR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dllO2 - BHO: (no name) - {188AF86F-7D0C-48EC-9FBB-28835A6B61E6} - C:\WINNT\System32\nnnllJcc.dll (file missing)O2 - BHO: {d01db9e2-8197-778a-01a4-5c56ce3eba43} - {34abe3ec-65c5-4a10-a877-79182e9bd10d} - C:\WINNT\System32\qvybrs.dll (file missing)O2 - BHO: (no name) - {3C827EA5-40AC-4042-8732-FA790C457B08} - C:\WINNT\System32\ddcBRlkJ.dll (file missing)O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {5B14CEF8-898A-43E6-941E-915E9258C428} - C:\WINNT\System32\opnkkhfC.dllO2 - BHO: (no name) - {A506B625-4300-4503-BF1D-97151F0C61A7} - C:\WINNT\System32\yuukqpju.dll (file missing)O2 - BHO: (no name) - {C688C8E0-E3C5-47FD-A5BD-CA9E01EDE3CA} - C:\WINNT\System32\cbXOFwUL.dll (file missing)O2 - BHO: (no name) - {D95A625D-A0FC-4729-A626-B68642946481} - C:\WINNT\System32\jkkKaaww.dll (file missing)O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocxO3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dllO3 - Toolbar: sqvgnrpx - {9437C997-89E6-4B84-A745-BEFD3A910FF5} - C:\DOKUME~1\ANTHIA~1.W2K\LOKALE~1\Temp\ac8zt2\sqvgnrpx.dll (file missing)O3 - Toolbar: (no name) - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - (no file)O4 - HKLM\..\Run: [LoadQM] loadqm.exeO4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [C:\WINNT\system32\kdcnp.exe] C:\WINNT\system32\kdcnp.exeO4 - HKLM\..\Run: [ecb26e10] rundll32.exe "C:\WINNT\System32\rnesgfxk.dll",bO4 - HKLM\..\Run: [BMef815d8c] Rundll32.exe "C:\WINNT\System32\jqweerxu.dll",sO4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheckO4 - HKLM\..\RunOnce: [SpybotDeletingA1456] command /c del "C:\WINNT\system32\kdcnp.exe"O4 - HKLM\..\RunOnce: [SpybotDeletingC7084] cmd /c del "C:\WINNT\system32\kdcnp.exe"O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exeO4 - HKCU\..\Run: [internat.exe] internat.exeO4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINNT\System32\Macromed\Flash\FlashUtil9e.exeO4 - HKCU\..\RunOnce: [SpybotDeletingB5679] command /c del "C:\WINNT\system32\kdcnp.exe"O4 - HKCU\..\RunOnce: [SpybotDeletingD6310] cmd /c del "C:\WINNT\system32\kdcnp.exe"O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXEO4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\aim\aim.exeO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exeO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (file missing)O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\MESSEN~1\YPAGER.EXE (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\MESSEN~1\YPAGER.EXE (file missing)O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: Yahoo! Mensch - http://origin.games.yahoo.net/games/clients/y/mat3_x.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{8C113226-0CEF-42E4-B69C-815B4236737F}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\..\{B36358D0-48CA-4D33-BF14-14621234A99F}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O20 - Winlogon Notify: jkkKaaww - jkkKaaww.dll (file missing)O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - (no file)O21 - SSODL: fsrpknov - {EAE75C0C-C17E-444F-A583-D3B0F0FAF849} - C:\WINNT\fsrpknov.dll (file missing)O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exeO23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exeO24 - Desktop Component 0: Privacy Protection - file:///C:\WINNT\privacy_danger\index.htm--End of file - 8673 bytesbin für jede hilfe dankbar.mfg paulinchen
 
X
Keine passende Antwort gefunden?