Home » Viren, Trojaner & Malware Forum » Trojaner Tr\crypt.xpack.gen » Themenansicht

Trojaner Tr\crypt.xpack.gen

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.06.2008, 15:35
manfokles
...neu hier

Beiträge: 5
#1 Hallo! ich hab mir den Tr\crypt.xpack.gen eingefangen und bitte um hilfe...

combofix sagt dazu folgendes:



ComboFix 08-06-01.6 - Administrator 02.06.2008 20:57:09.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.26 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator.ASUS\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\newdotnet
C:\Programme\newdotnet\newdotnet6_38.dll
C:\Programme\newdotnet\readme.html
C:\Programme\newdotnet\uninstall6_38.exe
C:\WINNT\BMbb80a1cd.xml
C:\WINNT\Fonts\acrsecB.fon
C:\WINNT\pskt.ini
C:\WINNT\smdat32a.sys
C:\WINNT\smdat32m.sys
C:\WINNT\system32\ffNorBeg.ini
C:\WINNT\system32\ffNorBeg.ini2
C:\WINNT\system32\grcvpnqo.ini
C:\WINNT\system32\kpspganp.exe
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\mgahrstn.exe
C:\WINNT\system32\oqnpvcrg.dll
C:\WINNT\system32\sclwlrfd.dll
C:\WINNT\system32\uqtgeshk.dll
C:\WINNT\system32\xxrbiqhi.ini
C:\WINNT\system32\ydfkdrca.dll
C:\WINNT\system32\yeokfccq.ini
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-02 bis 2008-06-02 ))))))))))))))))))))))))))))))
.

2008-06-02 20:48 . 08-06-02 20:48 6 --a------ C:\WINNT\system32\b8b380df
2008-05-25 11:39 . 08-05-25 11:39 370,688 --------- C:\WINNT\system32\geBroNff.dll
2008-05-25 10:33 . 08-05-25 10:33 57,344 --------- C:\WINNT\system32\mlJDwXpn.dll
2008-05-18 21:00 . 05-04-05 11:20 306,424 --a------ C:\WINNT\system32\drmclien.dll
2008-05-18 21:00 . 05-04-05 11:20 306,424 --a--c--- C:\WINNT\system32\dllcache\drmclien.dll
2008-05-18 21:00 . 05-04-05 11:20 87,040 --a------ C:\WINNT\system32\drmstor.dll
2008-05-18 21:00 . 05-04-05 11:20 87,040 --a--c--- C:\WINNT\system32\dllcache\drmstor.dll
2008-05-18 21:00 . 05-04-05 11:20 10,240 --a--c--- C:\WINNT\system32\dllcache\npwmsdrm.dll
2008-05-12 23:22 . 08-05-15 08:19 <DIR> d-------- C:\Musik

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 07:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-30 07:27 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\Skype
2008-05-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\uTorrent
2008-05-25 08:56 --------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-05-24 12:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\AdobeUM
2008-05-23 11:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 19:02 --------- d-----w C:\Programme\Winamp
2008-05-05 07:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\gtk-2.0
2008-04-22 17:52 --------- d-----w C:\Programme\Dia
2008-04-13 10:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\vlc
2008-04-12 09:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-04-12 08:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-04-02 14:04 --------- d-----w C:\Programme\Minuteman Software
2007-11-27 21:23 25,464 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-04-20 19:58 784 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mpauth.dat
2006-04-20 19:52 1,540 ----a-w C:\Programme\Instant Messenger.lnk
2006-04-20 19:52 1,536 ----a-w C:\Programme\Netscape eMail & Diskussionsforen.lnk
2006-04-05 20:06 11,438,184 ----a-w C:\Programme\zlsSetup_61_744_001_de.exe
2005-09-14 08:06 10,329,192 ----a-w C:\Programme\zlsSetup_60_667_000.exe
2005-06-15 18:44 1,732 ----a-w C:\Programme\Sid Meier's Pirates!.lnk
2005-01-13 11:42 6,843,536 ----a-w C:\Programme\zlsSetup_51_033_000.exe
2004-12-25 13:29 759,968 ----a-w C:\Programme\winamp508_lite.exe
2004-12-25 12:50 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
2004-06-01 08:00 675 ----a-w C:\Programme\Acrobat Reader 4.0.lnk
2002-06-03 10:28 1,395 ----a-w C:\Programme\HEROLD home CD.lnk
2002-06-03 09:05 271 ---h--w C:\Programme\desktop.ini
2002-06-03 09:05 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-12-11 22:33 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2007-12-11 22:33 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2007-12-11 22:33 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.

------- Sigcheck -------


01-02-20 13:09 8192 d36a33c21eeed5a6c1daecb7c80a1909 C:\WINNT\system32\CTFMON.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76435C8A-2166-41B3-B2BA-E30D72114C7B}]
08-05-25 11:39 370688 --------- C:\WINNT\system32\geBroNff.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8053AF4F-F35D-4EC6-A411-039EFB515CD8}]
08-05-25 10:33 57344 --------- C:\WINNT\system32\mlJDwXpn.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [01-02-20 13:09 8192 C:\WINNT\system32\CTFMON.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [02-10-15 19:00 1818624 C:\WINNT\mixer.exe]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [03-10-06 16:16 5058560]
"nwiz"="nwiz.exe" [03-10-06 16:16 741376 C:\WINNT\system32\nwiz.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-10-25 19:58 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-04-27 10:59 262401]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [06-10-30 10:36 256576]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [07-03-09 00:02 919280]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [07-02-06 01:52 849280]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [08-04-01 20:49 36352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"AVP-SE"="avp-32.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [01-05-08 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8053AF4F-F35D-4EC6-A411-039EFB515CD8}"= C:\WINNT\system32\mlJDwXpn.dll [08-05-25 10:33 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlJDwXpn]
mlJDwXpn.dll 08-05-25 10:33 57344 C:\WINNT\system32\mlJDwXpn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.iv31"= C:\WINNT\system32\ir32_32.dll
"vidc.iv32"= C:\WINNT\system32\ir32_32.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-04-27 10:59 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-04-27 10:59 ]
R1 LUMDriver;LUMDriver;C:\WINNT\system32\drivers\LUMDriver.sys [03-07-11 15:22 ]
R1 SSHDRV51;SSHDRV51;C:\WINNT\System32\drivers\SSHDRV51.sys [02-12-20 17:37 ]
S2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" -k runservice []
S2 LIXROTPK;LIXROTPK;C:\WINNT\system32\lixrotpk.uys []

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"%ProgramFiles%\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"%ProgramFiles%\setup50.exe" /APP:WAB /CALLER:IE50 /user /install
.
Inhalt des "geplante Tasks" Ordners
"2008-02-12 21:20:37 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-02 21:12:36
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LIXROTPK]
"ImagePath"="\??\C:\WINNT\system32\lixrotpk.uys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\mlJDwXpn.dll
.
Zeit der Fertigstellung: 2008-06-02 21:19:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-02 19:19:16

22 Verzeichnis(se), 4,503,068,672 Bytes frei
25 Verzeichnis(se), 5,196,881,920 Bytes frei

155 --- E O F --- 2008-05-25 07:17:36



mit herzlichem dank im voraus

manfokles
Seitenanfang Seitenende
03.06.2008, 15:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo manfokles

Info:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.FS&VSect=T

-----------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
LIXROTPK

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"AVP-SE"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LIXROTPK]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8053AF4F-F35D-4EC6-A411-039EFB515CD8}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlJDwXpn]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76435C8A-2166-41B3-B2BA-E30D72114C7B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8053AF4F-F35D-4EC6-A411-039EFB515CD8}]

File::
C:\WINNT\system32\mlJDwXpn.dll
C:\WINNT\system32\geBroNff.dll
C:\WINNT\system32\lixrotpk.uys

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

««

poste das neue Log von Combofix

-----------

lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

««
poste nach neustart den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2008, 07:51
manfokles
...neu hier

Themenstarter

Beiträge: 5
#3 beim 2. durchlauf sagt combofix:



ComboFix 08-06-01.6 - Administrator 03.06.2008 21:31:05.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator.ASUS\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator.ASUS\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINNT\system32\geBroNff.dll
C:\WINNT\system32\lixrotpk.uys
C:\WINNT\system32\mlJDwXpn.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\Fonts\acrsecI.fon
C:\WINNT\NDNuninstall4_34.exe
C:\WINNT\NDNuninstall4_80.exe
C:\WINNT\NDNuninstall4_88.exe
C:\WINNT\NDNuninstall4_94.exe
C:\WINNT\NDNuninstall5_20.exe
C:\WINNT\NDNuninstall5_40.exe
C:\WINNT\NDNuninstall5_48.exe
C:\WINNT\NDNuninstall5_64.exe
C:\WINNT\NDNuninstall6_10.exe
C:\WINNT\NDNuninstall6_22.exe
C:\WINNT\NDNuninstall6_30.exe
C:\WINNT\NDNuninstall6_38.exe
C:\WINNT\system32\geBroNff.dll
C:\WINNT\system32\mlJDwXpn.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LIXROTPK
-------\Service_LIXROTPK


((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 ))))))))))))))))))))))))))))))
.

2008-06-02 20:48 . 08-06-02 20:48 6 --a------ C:\WINNT\system32\b8b380df
2008-05-18 21:00 . 05-04-05 11:20 306,424 --a------ C:\WINNT\system32\drmclien.dll
2008-05-18 21:00 . 05-04-05 11:20 306,424 --a--c--- C:\WINNT\system32\dllcache\drmclien.dll
2008-05-18 21:00 . 05-04-05 11:20 87,040 --a------ C:\WINNT\system32\drmstor.dll
2008-05-18 21:00 . 05-04-05 11:20 87,040 --a--c--- C:\WINNT\system32\dllcache\drmstor.dll
2008-05-18 21:00 . 05-04-05 11:20 10,240 --a--c--- C:\WINNT\system32\dllcache\npwmsdrm.dll
2008-05-12 23:22 . 08-05-15 08:19 <DIR> d-------- C:\Musik

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 07:54 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-30 07:27 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\Skype
2008-05-25 12:23 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\uTorrent
2008-05-25 08:56 --------- d-----w C:\Programme\Free WMA to MP3 Converter
2008-05-24 12:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\AdobeUM
2008-05-23 11:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 19:02 --------- d-----w C:\Programme\Winamp
2008-05-05 07:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\gtk-2.0
2008-04-22 17:52 --------- d-----w C:\Programme\Dia
2008-04-13 10:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator.ASUS\Anwendungsdaten\vlc
2008-04-12 09:44 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2008-04-12 08:53 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2007-11-27 21:23 25,464 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-04-20 19:58 784 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mpauth.dat
2006-04-20 19:52 1,540 ----a-w C:\Programme\Instant Messenger.lnk
2006-04-20 19:52 1,536 ----a-w C:\Programme\Netscape eMail & Diskussionsforen.lnk
2006-04-05 20:06 11,438,184 ----a-w C:\Programme\zlsSetup_61_744_001_de.exe
2005-09-14 08:06 10,329,192 ----a-w C:\Programme\zlsSetup_60_667_000.exe
2005-06-15 18:44 1,732 ----a-w C:\Programme\Sid Meier's Pirates!.lnk
2005-01-13 11:42 6,843,536 ----a-w C:\Programme\zlsSetup_51_033_000.exe
2004-12-25 13:29 759,968 ----a-w C:\Programme\winamp508_lite.exe
2004-12-25 12:50 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
2004-06-01 08:00 675 ----a-w C:\Programme\Acrobat Reader 4.0.lnk
2002-06-03 10:28 1,395 ----a-w C:\Programme\HEROLD home CD.lnk
2002-06-03 09:05 271 ---h--w C:\Programme\desktop.ini
2002-06-03 09:05 22,080 ---h--w C:\Programme\folder.htt
2007-12-11 22:33 479,232 ----a-w C:\Programme\mozilla firefox\plugins\msvcm80.dll
2007-12-11 22:33 548,864 ----a-w C:\Programme\mozilla firefox\plugins\msvcp80.dll
2007-12-11 22:33 626,688 ----a-w C:\Programme\mozilla firefox\plugins\msvcr80.dll
.

------- Sigcheck -------


01-02-20 13:09 8192 d36a33c21eeed5a6c1daecb7c80a1909 C:\WINNT\system32\CTFMON.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [01-02-20 13:09 8192 C:\WINNT\system32\CTFMON.EXE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [02-10-15 19:00 1818624 C:\WINNT\mixer.exe]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [03-10-06 16:16 5058560]
"nwiz"="nwiz.exe" [03-10-06 16:16 741376 C:\WINNT\system32\nwiz.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-10-25 19:58 282624]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-04-27 10:59 262401]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [06-10-30 10:36 256576]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [07-03-09 00:02 919280]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [07-02-06 01:52 849280]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [08-04-01 20:49 36352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [01-05-08 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.iv31"= C:\WINNT\system32\ir32_32.dll
"vidc.iv32"= C:\WINNT\system32\ir32_32.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-04-27 10:59 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-04-27 10:59 ]
R1 LUMDriver;LUMDriver;C:\WINNT\system32\drivers\LUMDriver.sys [03-07-11 15:22 ]
R1 SSHDRV51;SSHDRV51;C:\WINNT\System32\drivers\SSHDRV51.sys [02-12-20 17:37 ]
S2 Apache2.2;Apache2.2;"c:\xampp\apache\bin\apache.exe" -k runservice []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
"%ProgramFiles%\setup50.exe" /APP:OE /CALLER:IE50 /user /install

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
"%ProgramFiles%\setup50.exe" /APP:WAB /CALLER:IE50 /user /install
.
Inhalt des "geplante Tasks" Ordners
"2008-02-12 21:20:37 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 21:42:29
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\wbem\Repository\CIM.#EC 1161959 bytes
C:\WINNT\system32\wbem\Repository\CIM.$EC 3883833 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Programme\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"C:\Programme\MySQL\MySQL Server 4.1\my.ini\" MySQL"
.
Zeit der Fertigstellung: 2008-06-03 21:54:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 19:54:06
ComboFix2.txt 2008-06-02 19:19:33

22 Verzeichnis(se), 5,207,662,592 Bytes frei
24 Verzeichnis(se), 5,212,188,672 Bytes frei

135 --- E O F --- 2008-05-25 07:17:36



sdfix habe ich noch nicht ausgeführt (brauch ich den überhaupt?????)

mfg Manfokles
Seitenanfang Seitenende
04.06.2008, 12:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 auf deinem Rechner ist/war ein Agobot-Wurm (siehe link oben)
eigentlich solltest du formatieren, denn der Rechner ist kompromitiert.
Arbeite also alle proggies ab, ich sende dir dann nach dem report von sdfix noch andere Scanner.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2008, 17:06
manfokles
...neu hier

Themenstarter

Beiträge: 5
#5 Hi!

also SDfix sagt folgendes:


SDFix: Version 1.187
Run by Administrator on Mi 04.06.2008 at 16:30

Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINNT\system32\cdplayer.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 16:56:59
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2f120852
"s2"=dword:e26d7f11
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e5,9e,e7,15,1e,da,74,2c,bd,ee,45,22,44,6e,5a,d1,64,0f,ba,3a,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,bc,03,31,ad,27,88,e4,fc,22,52,e8,80,6c,1b,da,b2,..
"khjeh"=hex:f5,d7,b8,1c,95,4b,81,8c,0a,f7,a5,ba,9e,9c,8a,e0,ee,39,bd,58,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7c,8a,d9,48,ed,e4,67,7f,5d,c6,b6,e3,f8,79,1f,49,61,c6,1c,b1,dc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e5,9e,e7,15,1e,da,74,2c,bd,ee,45,22,44,6e,5a,d1,64,0f,ba,3a,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,5c,bc,03,31,ad,27,88,e4,fc,22,52,e8,80,6c,1b,da,b2,..
"khjeh"=hex:f5,d7,b8,1c,95,4b,81,8c,0a,f7,a5,ba,9e,9c,8a,e0,ee,39,bd,58,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7c,8a,d9,48,ed,e4,67,7f,5d,c6,b6,e3,f8,79,1f,49,61,c6,1c,b1,dc,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 14 Mar 2008 21,504 ...H. --- "C:\Gasthaus\~WRL2711.tmp"
Thu 29 Aug 2002 91,136 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE"
Mon 29 May 2006 161,792 A..H. --- "C:\Uni\Archiv\~WRL0004.tmp"
Mon 29 May 2006 187,392 A..H. --- "C:\Uni\Archiv\~WRL0426.tmp"
Sun 15 Sep 2002 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 7 Jan 2007 72 A..H. --- "C:\Program Files\InterActual\InterActual Player\itiC.tmp"
Mon 14 May 2007 271,872 ...H. --- "C:\Uni\SS2007\internat. Rechnungslegung\~WRL0004.tmp"
Tue 15 May 2007 137,728 ...H. --- "C:\Uni\SS2007\internat. Rechnungslegung\~WRL3277.tmp"

Finished!


mfg manfokles
Seitenanfang Seitenende
04.06.2008, 19:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
sdfix
http://virus-protect.org/artikel/tools/sdfix.html

im Normalmodus
RunThis.bat doppelt klicken

reinschreiben: 3



3 : wird Sophos geladen

bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2008, 22:50
manfokles
...neu hier

Themenstarter

Beiträge: 5
#7 hallo!

Sophos sagt:


Sophos Anti-Virus
Version 4.30.0 [Win32/Intel]
Virus data version 4.30E, June 2008
Includes detection for 424086 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 21:36:23, System date 04 June 2008
Command line qualifiers are: -f -remove -nc -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt


Full Scanning

Could not check C:\Java\src\scratchpad\testcases\org\apache\poi\hdf\data\empty.doc (corrupt)
Could not check C:\Java\src\scratchpad\testcases\org\apache\poi\hdf\data\simple-list.doc (corrupt)
Could not check C:\Java\src\scratchpad\testcases\org\apache\poi\hdf\data\simple-table.doc (corrupt)
Could not check C:\Java\src\scratchpad\testcases\org\apache\poi\hdf\data\simple.doc (corrupt)
Password protected file C:\Uni\Archiv\2_04_06_Grundlagendaten_Controlling.xls
Password protected file C:\Uni\Archiv\Controlling (version 2) (version 1).xls
Password protected file C:\Uni\Archiv\Controlling (version 2).xls
Password protected file C:\Uni\Archiv\Controlling II.xls
Password protected file C:\Uni\Archiv\Controlling.xls
Password protected file C:\Uni\Archiv\RU_Controlling_Gruppe16 .xls
Password protected file C:\Uni\Archiv\Vorlage_Controlling.xls
Could not open C:\WINNT\system32\drivers\sptd.sys
Could not open C:\WINNT\TEMP\ib6
Could not open C:\WINNT\TEMP\ib7
Could not open C:\WINNT\TEMP\ib8
Could not open C:\WINNT\TEMP\ib9
>>> Virus 'Troj/KeyGen-BP' found in file D:\Programme\Director8\CRACK\PATCH.EXE
Removal successful
>>> Virus 'Troj/KeyGen-BP' found in file D:\Programme\fireworks4\fireworks4\fw4.exe
Removal successful
>>> Virus 'Troj/KeyGen-BP' found in file D:\Programme\Mediastudio6\MSP60T_E(crack).exe
Removal successful

2 boot sectors swept.
33413 files swept in 1 hour, 17 minutes and 5 seconds.
16 errors were encountered.
3 viruses were discovered.
3 files out of 33413 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
7 encrypted files were not checked.
Ending Sophos Anti-Virus.




mfg manfokles
Seitenanfang Seitenende
05.06.2008, 01:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo manfokles
du musst wissen, dass du in dem Moment, wenn du einen Crack lädst, dein System wegschmeissen kannst, denn du bekommst zwar den gewünschten "Crack" + den unerwünschten Trojaner gleich noch dazu ;)

wenn du mal Zeit hast, sichere deine Daten und formatiere.
Bis dahin... ist alles wieder i.o.
dennoch scanne mit Antivirus noch mal im abgesicherten Modus alles durch, die Heuristik bitte dazu auf "hoch" stellen (Expertenmodus).
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2008, 07:04
manfokles
...neu hier

Themenstarter

Beiträge: 5
#9 ok, werd ich machen.

herzlichen dank für die prompte hilfe.

mfg manfokles
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1