TR/Crypt.XPACK.Gen wirklich gelöscht? |
||
---|---|---|
#0
| ||
02.10.2008, 12:50
Member
Beiträge: 32 |
||
|
||
02.10.2008, 13:46
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo,
im log von Combofix ist nichts weiter zu erkennen - wende bitte datfindbat an + poste hier das Log (bitte von jedem nur den letzten Monat abkopieren - sind nach Datum geordnet) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.10.2008, 14:06
Member
Themenstarter Beiträge: 32 |
#3
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\system32 02.10.2008 11:49 692 eRLog.ini 29.09.2008 18:21 1.158 wpa.dbl 2099 Datei(en) 412.877.906 Bytes 0 Verzeichnis(se), 4.825.661.440 Bytes frei [hr] Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\DOKUME~1\Farkas\LOKALE~1\Temp 02.10.2008 12:33 0 etilqs_mBoakhafpQOgN6Aqwyp9 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 4.823.859.200 Bytes frei [hr] Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS 02.10.2008 12:33 383.715 setupapi.log 02.10.2008 12:29 216.295 setupact.log 02.10.2008 11:49 259 wiadebug.log 02.10.2008 11:49 0 0.log 02.10.2008 11:48 4.230 ModemLog_Agere Systems AC'97 Modem.txt 02.10.2008 11:48 2.048 bootstat.dat 01.10.2008 22:32 50 wiaservc.log 01.10.2008 22:32 1.729.847 WindowsUpdate.log 13.09.2008 18:53 534 win.ini [hr] Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\ 02.10.2008 14:07 0 sys.txt 02.10.2008 14:06 7.639 system.txt 02.10.2008 14:06 300 systemtemp.txt 02.10.2008 14:04 102.495 system32.txt 02.10.2008 12:28 4.247 ComboFix.txt 02.10.2008 11:48 468.242.432 hiberfil.sys 02.10.2008 11:48 704.643.072 pagefile.sys |
|
|
||
02.10.2008, 15:41
Moderator
Beiträge: 5694 |
#4
spiderfab
>> JAVA Update: Download http://java.sun.com/javase/downloads/index.jsp Scrolle runter nach ---->Java Runtime Environment (JRE) 6 Update 7 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf "Download" Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u7-windows-i586-p.exe ” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Auch auf C:\Programme\Java entfernen! Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe >> Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log: (Vor der Anwendung Update nicht vergessen) http://virus-protect.org/artikel/tools/malwarebytes.html >> Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm Nach dem Scann die Heuristik auf "mittel" zurückdrehen >> Poste ein neues HJT Log. Dafür vorher die neue Version laden. Deine ist: v1.99.1 Aktuell ist: v2.0.2 http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe Gruss Swiss Dieser Beitrag wurde am 02.10.2008 um 15:45 Uhr von Tonstudio editiert.
|
|
|
||
02.10.2008, 16:16
Member
Themenstarter Beiträge: 32 |
#5
Mal ne Frage: Ist das Java-Update vonnöten oder nur eine Option (wenn man eh schon mal dabei ist)? Hab ein ungutes Gefühl dabei, den Comp wieder neu zu starten...
Greetz ----------------------------------------- Soooo, Java hab ich wegen o.g. Befürchtung weggelassen. Malwarebytes hat nix gefunden, auch das Log hatte keine Info. Antivir hatte auch mit den verschärften Sachen nix, ausser das übliche C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <ACERDATA> Hijackthis ist wie folgt, viele Grüße und vielen Dank: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24:20, on 02.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Acer\eManager\anbmServ.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\keyhook.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\acer\eRecovery\Monitor.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\iTunes\iTunes.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blackle.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155476534812 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155476517125 O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://neptun.ibs-b.hu/TSWeb/msrdp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{15795C1F-F04E-40D1-855C-4F56AF428C1D}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{15B9C853-F146-4F20-8E34-25D08F5AB59F}: NameServer = 192.168.1.1,194.98.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C5D5B745-3F38-499A-9768-2FC459C3626C}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{15795C1F-F04E-40D1-855C-4F56AF428C1D}: NameServer = 192.168.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 7529 bytes Dieser Beitrag wurde am 02.10.2008 um 23:26 Uhr von spiderfab editiert.
|
|
|
||
02.10.2008, 23:56
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
das System sollte soweit wieder sauber sein. -------------------------------------------------- Zitat O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -krechtsklick auf Arbeitsplatz -> Eigenschaften -> Erweitert -> "Starten und Wiederherstellen" -> Taste "Einstellungen" -> Häkchen vor "Automatisch Neustart durchführen" wegnehmen. Wenn er dann wieder abgestürtzt ist, gehe ins Systemprotrokoll (wenn möglich) -> Start -> Ausführen -> eventvwr.msc Schau nach Fehlern unter System und Anwendung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.10.2008, 12:51
Member
Themenstarter Beiträge: 32 |
#7
Moin, hab den Neustart gemacht, funktionierte alles reibungslos...
@Sabina: Soll ich die "Automatisch Neustart durchführen"-Sache wieder aktivieren? @Tonstudio: Was hatte es nun mit diesem JAVA Update auf sich? Ansonsten danke für alles, ihr seid ein spitzen Team! Viele Grüße |
|
|
||
03.10.2008, 14:57
Moderator
Beiträge: 5694 |
#8
Gelegentlich wird in der Java Runtime ein Sicherheitsleck gefunden. Deshalb stellt Sun ab und zu aktualisierte Versionen ihrer Laufzeitumgebung bereit, in denen die Lücken gestopft sind. Also sollte Java aus Sicherheitsgründen geupdatet werden.
Gruss Swiss |
|
|
||
Hab danach jezz mal Comp runtergefahren und neu gestartet, hat etwa 8-9mal nicht geklappt, immer ein Freeze von Maus, dann Tastatur, dann Rest spätestens beim Öfnen der Autostart-Sachen. Bin dann beim 10x mal relativ smooth drin, Virenprüfung hat nix gefunden... Bin natürlich nicht sicher obs in Bezug auf qkarc war, würde daher gerne mal eure Meinung hören.
In der zip ist der Virenbericht von AntiVir und ne Hijack+Combofix von heute.
www.wtunet.de/business/cryptxpack.zip
Vielen Dank im Voraus!