TR/Crypt.XPACK.Gen wirklich gelöscht?

#0
02.10.2008, 12:50
Member

Beiträge: 32
#1 Moin, hab mir übern USB-Stick die netten Files qkarc.exe und p.cmd eingefangen, die vor quasi gleichzeitig mit ihrem Autostart von Antivir manuell noch erkannt und gelöscht worden sind. Antivir erkannte TR/Crypt.XPACK.Gen.

Hab danach jezz mal Comp runtergefahren und neu gestartet, hat etwa 8-9mal nicht geklappt, immer ein Freeze von Maus, dann Tastatur, dann Rest spätestens beim Öfnen der Autostart-Sachen. Bin dann beim 10x mal relativ smooth drin, Virenprüfung hat nix gefunden... Bin natürlich nicht sicher obs in Bezug auf qkarc war, würde daher gerne mal eure Meinung hören.

In der zip ist der Virenbericht von AntiVir und ne Hijack+Combofix von heute.
www.wtunet.de/business/cryptxpack.zip

Vielen Dank im Voraus!

Seitenanfang Seitenende
02.10.2008, 13:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,
im log von Combofix ist nichts weiter zu erkennen - wende bitte datfindbat an + poste hier das Log (bitte von jedem nur den letzten Monat abkopieren - sind nach Datum geordnet)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.10.2008, 14:06
Member

Themenstarter

Beiträge: 32
#3 Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

02.10.2008 11:49 692 eRLog.ini
29.09.2008 18:21 1.158 wpa.dbl

2099 Datei(en) 412.877.906 Bytes
0 Verzeichnis(se), 4.825.661.440 Bytes frei

[hr]

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Farkas\LOKALE~1\Temp

02.10.2008 12:33 0 etilqs_mBoakhafpQOgN6Aqwyp9
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 4.823.859.200 Bytes frei

[hr]

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

02.10.2008 12:33 383.715 setupapi.log
02.10.2008 12:29 216.295 setupact.log
02.10.2008 11:49 259 wiadebug.log
02.10.2008 11:49 0 0.log
02.10.2008 11:48 4.230 ModemLog_Agere Systems AC'97 Modem.txt
02.10.2008 11:48 2.048 bootstat.dat
01.10.2008 22:32 50 wiaservc.log
01.10.2008 22:32 1.729.847 WindowsUpdate.log
13.09.2008 18:53 534 win.ini

[hr]

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

02.10.2008 14:07 0 sys.txt
02.10.2008 14:06 7.639 system.txt
02.10.2008 14:06 300 systemtemp.txt
02.10.2008 14:04 102.495 system32.txt
02.10.2008 12:28 4.247 ComboFix.txt
02.10.2008 11:48 468.242.432 hiberfil.sys
02.10.2008 11:48 704.643.072 pagefile.sys
Seitenanfang Seitenende
02.10.2008, 15:41
Moderator

Beiträge: 5694
#4 spiderfab

>>
JAVA Update:
Download http://java.sun.com/javase/downloads/index.jsp
Scrolle runter nach ---->Java Runtime Environment (JRE) 6 Update 7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u7-windows-i586-p.exe ” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Stelle Antivir so ein wie hier beschrieben http://board.protecus.de/t23979.htm
Nach dem Scann die Heuristik auf "mittel" zurückdrehen

>>
Poste ein neues HJT Log. Dafür vorher die neue Version laden.
Deine ist: v1.99.1
Aktuell ist: v2.0.2
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Gruss Swiss
Dieser Beitrag wurde am 02.10.2008 um 15:45 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
02.10.2008, 16:16
Member

Themenstarter

Beiträge: 32
#5 Mal ne Frage: Ist das Java-Update vonnöten oder nur eine Option (wenn man eh schon mal dabei ist)? Hab ein ungutes Gefühl dabei, den Comp wieder neu zu starten...

Greetz
-----------------------------------------

Soooo,

Java hab ich wegen o.g. Befürchtung weggelassen.

Malwarebytes hat nix gefunden, auch das Log hatte keine Info.
Antivir hatte auch mit den verschärften Sachen nix, ausser das übliche
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <ACERDATA>


Hijackthis ist wie folgt, viele Grüße und vielen Dank:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:24:20, on 02.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.blackle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155476534812
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155476517125
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://neptun.ibs-b.hu/TSWeb/msrdp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15795C1F-F04E-40D1-855C-4F56AF428C1D}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{15B9C853-F146-4F20-8E34-25D08F5AB59F}: NameServer = 192.168.1.1,194.98.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5D5B745-3F38-499A-9768-2FC459C3626C}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{15795C1F-F04E-40D1-855C-4F56AF428C1D}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 7529 bytes
Dieser Beitrag wurde am 02.10.2008 um 23:26 Uhr von spiderfab editiert.
Seitenanfang Seitenende
02.10.2008, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

das System sollte soweit wieder sauber sein.
--------------------------------------------------

Zitat

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
rechtsklick auf Arbeitsplatz -> Eigenschaften -> Erweitert -> "Starten und Wiederherstellen" -> Taste "Einstellungen" -> Häkchen vor "Automatisch Neustart durchführen" wegnehmen. Wenn er dann wieder abgestürtzt ist, gehe ins Systemprotrokoll (wenn möglich) -> Start -> Ausführen -> eventvwr.msc

Schau nach Fehlern unter System und Anwendung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.10.2008, 12:51
Member

Themenstarter

Beiträge: 32
#7 Moin, hab den Neustart gemacht, funktionierte alles reibungslos...

@Sabina: Soll ich die "Automatisch Neustart durchführen"-Sache wieder aktivieren?

@Tonstudio: Was hatte es nun mit diesem JAVA Update auf sich?

Ansonsten danke für alles, ihr seid ein spitzen Team!

Viele Grüße
Seitenanfang Seitenende
03.10.2008, 14:57
Moderator

Beiträge: 5694
#8 Gelegentlich wird in der Java Runtime ein Sicherheitsleck gefunden. Deshalb stellt Sun ab und zu aktualisierte Versionen ihrer Laufzeitumgebung bereit, in denen die Lücken gestopft sind. Also sollte Java aus Sicherheitsgründen geupdatet werden.

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: