Trojaner: TR/Crypt.XPACK.Gen -> Gefählich?

#0
12.06.2009, 12:04
Member

Beiträge: 31
#1 Guten Tag liebe Community

Seid ein paar Tagen ärgert mich an meinem PC und meine Freundin an ihrem Laptop ein Trojaner.

Allerdings wird er nur von Antivir auf dem Laptop gefunden, allerdings nicht von Kaspersky auf meinem Rechner. Allerdings habe ich meine Datei zu ihr geschickt worauf dann auch direkt Antivir angesprungen ist.

Hierbei handelt es sich um den Trojaner: TR/Crypt.XPACK.Gen

Ich hab mich schon ein wenig schlau gemacht über google und hab verschiedene Ergebnise gefunden von "einfache decodierung -> Ungefährlich" bis hin zu "tja format c: angesagt" ...

Jetzt wollte ich mal fragen was ihr dazu sagt. Der Trojaner befindet sich auch nur in einer Datei.


Zur sicherheit habe ich noch einen kompletten Scan gemacht bei beiden Geräten, die allerdings ohne Ergebnis blieben (nach Löschen der infizierten datei).

Jetzt wollte ich schauen ob wirklich alles weg ist, da mein Kaspersky ja von vornherein nichts gefunden hatte ... Drum habe ich anbei schonmal direkt Hijack Protokolle angehängt.


Mein Rechner:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:29, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 4545 bytes






Nun der Laptop meiner Freundin:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:29, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Atheros WLAN Client\ACU.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros WLAN Client\ACU.exe" -nogui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6.5\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 3710 bytes



Ich bedanke mich schonmal im vorraus, besonders für die mühe die beiden Logs auszuwerten.
Seitenanfang Seitenende
12.06.2009, 12:07
Member

Beiträge: 3716
#2 poste ein malwarebytes und combofix log.
Seitenanfang Seitenende
12.06.2009, 12:34
Member

Themenstarter

Beiträge: 31
#3 Ok hab schonmal die Combofix-Logs, ist das malwarebytes noch unbedingt notwendig?


Mein Rechner:

ComboFix 09-06-11.06 - Marci 12.06.2009 12:19.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2552 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Marci\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-12 bis 2009-06-12 ))))))))))))))))))))))))))))))
.

2009-06-12 09:45 . 2009-06-12 09:46 -------- d-----w- C:\HijackThis
2009-06-11 21:26 . 2009-06-11 21:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts
2009-06-10 11:36 . 2009-06-10 11:36 -------- d-----w- c:\dokumente und einstellungen\Marci\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-06-06 12:08 . 2009-06-06 12:08 10134 ----a-r- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-06 12:08 . 2009-06-06 12:08 -------- d-----w- c:\programme\Microsoft WSE
2009-05-21 20:38 . 2009-05-21 20:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-12 10:22 . 2008-12-07 13:12 67857696 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-12 10:21 . 2008-12-07 13:12 2081056 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-12 06:57 . 2001-08-18 10:00 78360 ----a-w- c:\windows\system32\perfc007.dat
2009-06-12 06:57 . 2001-08-18 10:00 442770 ----a-w- c:\windows\system32\perfh007.dat
2009-06-12 06:54 . 2008-12-07 13:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-06-11 22:24 . 2008-12-07 13:12 203120 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-11 22:24 . 2008-12-07 13:12 916688 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-11 17:08 . 2008-12-11 19:38 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\teamspeak2
2009-06-08 21:13 . 2008-12-07 19:12 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Hamachi
2009-06-06 11:59 . 2008-12-07 11:08 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-20 15:08 . 2008-12-07 13:12 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-05-20 15:08 . 2008-12-07 13:12 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-05-07 15:32 . 2002-08-29 02:43 348160 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:33 . 2006-06-23 12:27 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-24 22:04 . 2009-04-24 22:04 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\dvdcss
2009-04-19 19:46 . 2002-08-29 02:23 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2004-03-06 02:16 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-15 11:55 . 2008-12-21 22:49 84593 ----a-w- c:\windows\War3Unin.dat
2009-03-31 20:10 . 2009-03-31 20:10 152576 ----a-w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="c:\icq6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-07-26 13570048]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-07-26 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-07-26 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-07-03 16876032]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Ventrilo\\Ventrilo.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Universe At War Earth Assault\\UAWEA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Call of Duty - World at War\\CoDWaWmp.exe"=
"d:\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\CS 1.6\\hl.exe"=
"c:\\ICQ6\\ICQ.exe"=
"d:\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Kaspersky Anti-Virus 7.0\\avp.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24.06.2008 00:21 150568]
R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [07.12.2008 13:50 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [07.12.2008 13:50 5248]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [04.04.2007 15:58 24344]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [07.12.2008 13:10 36864]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [04.04.2009 14:45 33176]
.
Inhalt des "geplante Tasks" Ordners

2009-05-19 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.freenet.de/
IE: Nach Microsoft &Excel exportieren - c:\micros~1\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-12 12:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-682003330-1935655697-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:9c,11,97,7e,92,69,b0,ec,8d,03,6f,ec,5b,4d,67,f0,40,39,bc,bd,80,
da,34,92,25,18,5b,59,e4,03,7e,72,e1,c4,b7,0f,35,f6,84,dd,c5,d9,08,69,d8,2c,\
"rkeysecu"=hex:3a,a7,b3,45,5c,e3,5e,6a,bd,8c,3a,91,5b,be,c5,ce
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1280)
c:\kaspersky anti-virus 7.0\miscr3.dll
c:\windows\System32\klogon.dll

- - - - - - - > 'lsass.exe'(1336)
c:\kaspersky anti-virus 7.0\dnsq.dll
c:\kaspersky anti-virus 7.0\miscr3.dll

- - - - - - - > 'explorer.exe'(2100)
c:\kaspersky anti-virus 7.0\miscr3.dll
c:\kaspersky anti-virus 7.0\scrchpg.dll
.
Zeit der Fertigstellung: 2009-06-12 12:23
ComboFix-quarantined-files.txt 2009-06-12 10:23

Vor Suchlauf: 37 Verzeichnis(se), 51.389.657.088 Bytes frei
Nach Suchlauf: 37 Verzeichnis(se), 54.612.795.392 Bytes frei

126 --- E O F --- 2009-06-11 09:48





Laptop meiner Freudnin:

ComboFix 09-06-11.06 - Luna 12.06.2009 12:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3067.2647 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Luna\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-05-12 bis 2009-06-12 ))))))))))))))))))))))))))))))
.

2009-06-12 09:46 . 2009-06-12 09:47 -------- d-----w- C:\HijackThis
2009-06-11 21:42 . 2009-06-11 21:42 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2009-06-11 17:31 . 2009-06-11 17:57 -------- d-----w- c:\windows\system32\Adobe
2009-06-06 12:14 . 2009-06-06 12:14 10134 ----a-r- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-06 12:14 . 2009-06-06 12:14 -------- d-----w- c:\programme\Microsoft WSE
2009-06-06 12:04 . 2009-06-06 12:19 -------- d-----w- C:\Die Sims 3
2009-05-27 15:10 . 2009-05-27 15:10 -------- d-----w- c:\dokumente und einstellungen\Luna\Lokale Einstellungen\Anwendungsdaten\Help
2009-05-16 22:44 . 2009-05-16 22:44 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Media Player Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-11 17:00 . 2009-01-01 14:11 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\teamspeak2
2009-06-08 21:42 . 2008-12-26 22:31 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Hamachi
2009-06-06 12:14 . 2001-08-18 10:00 70976 ----a-w- c:\windows\system32\perfc007.dat
2009-06-06 12:14 . 2001-08-18 10:00 405692 ----a-w- c:\windows\system32\perfh007.dat
2009-06-06 12:04 . 2008-12-26 19:41 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-05-27 19:47 . 2008-12-26 20:35 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-01 15:05 . 2009-05-01 15:05 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Leadertech
2009-05-01 04:50 . 2009-05-01 04:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy
2009-04-28 09:47 . 2009-04-28 09:47 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-04-28 09:47 . 2009-04-28 09:47 348160 ----a-w- c:\windows\system32\msvcr71.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\daemon tools lite\daemon.exe" [2008-07-24 490952]
"ICQ"="c:\icq6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-12-08 13594624]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-12-08 86016]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-08-18 794714]
"avgnt"="c:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-04-11 2772992]
"ACU"="c:\programme\Atheros WLAN Client\ACU.exe" [2008-07-07 450649]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-08 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"=
"c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"=
"c:\\Prince of Persia\\Prince of Persia.exe"=
"c:\\Prince of Persia\\PrinceOfPersia_Launcher.exe"=

R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [26.12.2008 22:48 140800]
R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [26.12.2008 22:48 5248]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [27.12.2008 14:04 4300]
R2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32coinst,serviceStartProc --> RUNDLL32.EXE ykx32coinst,serviceStartProc [?]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [26.12.2008 19:36 41376]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [31.12.2008 16:57 57344]
S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?]
S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?]
S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\micros~1\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-12 12:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-706699826-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:f6,ac,d0,40,64,fb,2c,6a,92,6b,14,3b,75,29,66,4e,df,6e,ad,d1,95,
5b,04,13,6c,a9,6e,df,f4,02,7e,4d,d8,8a,e6,1d,03,bd,0b,53,e4,01,7e,12,64,49,\
"rkeysecu"=hex:e1,ae,a5,5a,5f,0d,3f,a8,60,92,60,77,9c,1e,34,d2
.
Zeit der Fertigstellung: 2009-06-12 12:32
ComboFix-quarantined-files.txt 2009-06-12 10:32

Vor Suchlauf: 53 Verzeichnis(se), 154.644.058.112 Bytes frei
Nach Suchlauf: 53 Verzeichnis(se), 154.788.753.408 Bytes frei

100



Danke
Seitenanfang Seitenende
12.06.2009, 13:41
Member

Beiträge: 3716
#4 also antivir hast du quasi als zweitscanner, der ist also nicht aktiv, weil 2 laufende scanner sind nicht gut.
antivir version neun instaliert? wenn nein, nachhohlen und bescheid sagen, nun bitte malwarebytes.
Seitenanfang Seitenende
12.06.2009, 15:46
Member

Themenstarter

Beiträge: 31
#5 Ich benutze Kaspersky.
Meine Freundin benutzt AntiVir.

Dementsprechend ist pro System nur ein Viren Programm.


Mein Rechner:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2266
Windows 5.1.2600 Service Pack 3

12.06.2009 15:41:27
mbam-log-2009-06-12 (15-41-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 277702
Laufzeit: 35 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
K:\autorun.inf (Worm.Agent.H) -> Delete on reboot.



Laptop meiner Freundin:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 3

12.06.2009 15:18:17
mbam-log-2009-06-12 (15-18-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 181677
Laufzeit: 45 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
12.06.2009, 16:52
Member

Beiträge: 3716
#6 start ausfüren
combofix /u
enter
besorge dir personal secunia software inspector aktualisiert damit eure software, sonst sieht alles io aus, oder gibts noch probleme?
Seitenanfang Seitenende
12.06.2009, 17:00
Member

Themenstarter

Beiträge: 31
#7 Ist halt nur die eine Datei, bei der Antivir immer anspringt und da wollte ich auf nummer sicher gehen.
Scheint also ok zu sein alles.

Danke dir
Seitenanfang Seitenende
12.06.2009, 17:01
Member

Beiträge: 3716
#8 kannst du die datei mal posten?
Seitenanfang Seitenende
12.06.2009, 17:06
Member
Avatar chrischahn87

Beiträge: 301
#9 Ist K ne Festplatte? Partition? Oder Usb stick ?

Zitat

Infizierte Dateien:
K:\autorun.inf (Worm.Agent.H) -> Delete on reboot.

__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: