TR/Crypt.XPACK.Gen - wie kann ich ihn löschen? |
||
---|---|---|
#0
| ||
06.10.2007, 22:36
...neu hier
Beiträge: 4 |
||
|
||
07.10.2007, 09:18
Moderator
Beiträge: 7805 |
#2
Poste bitte einmal diese Informatioenen: http://board.protecus.de/t23188.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.10.2007, 14:42
...neu hier
Themenstarter Beiträge: 4 |
#3
Guten Tag,
hier die logs: combofix-log: ComboFix 07-10-07.2 - Herr Scharf 2007-10-07 14:29:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.563 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Herr Scharf\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-09-07 bis 2007-10-07 )))))))))))))))))))))))))))))) . 2007-10-07 14:28 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-07 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\T-Online 2007-10-07 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online 2007-10-07 12:44 <DIR> d-------- C:\Programme\T-Online 2007-10-07 12:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared 2007-10-07 12:40 55,936 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2007-10-07 12:40 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys 2007-10-07 12:40 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\MailFrontier 2007-10-07 12:39 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys 2007-10-07 12:39 70,144 --a------ C:\WINDOWS\system32\usbui.dll 2007-10-07 12:39 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys 2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2007-10-07 12:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen 2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen 2007-10-07 12:38 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente 2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung 2007-10-07 12:38 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen 2007-10-07 12:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-10-07 12:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC 2007-10-07 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten 2007-10-07 12:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten 2007-10-07 12:37 <DIR> d-------- C:\Dokumente und Einstellungen 2007-10-07 12:26 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-10-07 12:22 <DIR> d-------- C:\Programme\Winamp 2007-10-07 12:19 <DIR> d-------- C:\Programme\MediaKey 2007-10-07 12:18 <DIR> d-------- C:\WINDOWS\Profiles 2007-10-07 12:18 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\Anwendungsdaten\InterTrust 2007-10-07 12:17 7,040 -ra------ C:\WINDOWS\system32\ntsim.sys 2007-10-07 12:17 41,984 -ra------ C:\WINDOWS\system32\drivers\fetnd5b.sys 2007-10-07 12:16 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2007-10-07 12:16 <DIR> d-------- C:\Programme\C-Media 3D Audio 2007-10-07 12:14 36,224 --a--c--- C:\WINDOWS\system32\dllcache\isapnp.sys 2007-10-07 12:14 36,224 --a------ C:\WINDOWS\system32\drivers\isapnp.sys 2007-10-07 12:14 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-10-07 12:13 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2007-10-07 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\Herr Scharf\WINDOWS 2007-10-07 12:09 <DIR> d-------- C:\Programme\Avira 2007-10-07 12:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2007-10-07 12:05 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys 2007-10-07 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-07 12:15 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-07 11:51 --------- d-------- C:\Programme\microsoft frontpage 2007-10-07 11:49 --------- d-------- C:\Programme\Online-Dienste 2007-10-07 11:48 --------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap 2007-10-07 11:48 --------- d-------- C:\Programme\Gemeinsame Dateien\Dienste 2001-11-23 06:08 712704 -ra------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-11-17 10:33] "nwiz"="nwiz.exe" [2003-11-17 10:33 C:\WINDOWS\system32\nwiz.exe] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25] "Cmaudio"="cmicnfg.cpl" [] "MMKeybd"="C:\PROGRA~1\MediaKey\MMKeybd.EXE" [2003-12-08 15:58] "Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-23 23:38] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 12:00] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14] "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [] R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS S3 NTSIM;NTSIM;\??\C:\WINDOWS\System32\ntsim.sys *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-07 14:31:30 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\poof] . Zeit der Fertigstellung: 2007-10-07 14:32:21 . --- E O F --- Hijackthis - log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:35:25, on 07.10.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\MediaKey\MMKeybd.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Herr Scharf\Desktop\HJT\HJT.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 3566 bytes datfind - log: Verzeichnis von C:\WINDOWS\system32 07.10.2007 14:21 4.212 zllictbl.dat 07.10.2007 14:20 56.960 vsconfig.xml 07.10.2007 14:03 0 TFTP9724 07.10.2007 14:01 316.594 perfh007.dat 07.10.2007 14:01 39.992 perfc009.dat 07.10.2007 14:01 311.604 perfh009.dat 07.10.2007 14:01 48.156 perfc007.dat 07.10.2007 14:01 723.744 PerfStringBackup.INI 07.10.2007 12:46 56.402 NULL 07.10.2007 12:45 0 h323log.txt 07.10.2007 11:57 25.065 wmpscheme.xml 07.10.2007 11:57 2.184 wpa.dbl 07.10.2007 11:53 90.296 FNTCACHE.DAT 07.10.2007 11:53 261 $winnt$.inf 07.10.2007 11:50 2.951 CONFIG.NT 07.10.2007 11:50 16.832 amcompat.tlb 07.10.2007 11:50 23.392 nscompat.tlb 07.10.2007 11:49 488 logonui.exe.manifest 07.10.2007 11:49 488 WindowsLogon.manifest 07.10.2007 11:49 749 nwc.cpl.manifest 07.10.2007 11:49 749 sapi.cpl.manifest 07.10.2007 11:49 749 cdplayer.exe.manifest 07.10.2007 11:49 749 wuaucpl.cpl.manifest 07.10.2007 11:49 749 ncpa.cpl.manifest 07.10.2007 11:48 21.740 emptyregdb.dat 05.10.2007 10:07 279.552 swreg.exe Vielen dank schonmal |
|
|
||
07.10.2007, 15:15
Moderator
Beiträge: 7805 |
#4
Dein Problem ist ein vollkommen ungepatchtes System. Ich sehe zwar momentan keine aktive Malware, aber der Fund von Antivir sagt schon, das das nicht so sein/bleiben muss. Du solltest dein System via www.windowsupdate.com aktualisieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.10.2007, 23:24
...neu hier
Themenstarter Beiträge: 4 |
#5
danke, hab die updates gemacht, bekomme aber trotzdem immer wieder virenwarnungnen....
hier nochmal ein neues hijackthislog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24:26, on 07.10.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\MediaKey\MMKeybd.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Last.fm\LastFMHelper.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Last.fm\LastFM.exe C:\Programme\iTunes\iTunes.exe C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe C:\WINDOWS\System32\spoolsvc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [MMKeybd] C:\PROGRA~1\MediaKey\MMKeybd.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191772889545 O17 - HKLM\System\CCS\Services\Tcpip\..\{D6B8D217-620C-4188-A138-1A3744F79730}: NameServer = 217.237.148.102 217.237.151.115 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4476 bytes |
|
|
||
antivir hat auf meinem PC den Trojaner TR/Crypt.XPACK.Gen gefunden.
mit selbigem schlage ich mich jetzt schon mehrere tage rum. hab die datie, die von antivir als verseucht angezeigt wurde immer von antivir löschen lassen, aber das hat anscheinend nichts genutzt. der trojaner wird immer erst dann von antivir angezeigt, wenn ich im internet bin. was kann ich dagegen machen bzw. wie kann ich den trojaner beseitigen?
danke schonmal im vorraus.