TR/Crypt.XPACK.Gen Meldung / Logs vorhanden

#0
18.02.2009, 12:04
Member

Beiträge: 36
#1 Gestern folgende Antvir PE Classic Meldung.

"C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01"Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'detected in file

Danach wollte ich die Datei mit virustotal.com prüfen lassen. Der Browser sprang aber auf "Keine Rückmeldung" und es dauerte etwa vier Minuten bis er inklusive Microsoft dumprep.exe wieder lief.

Dazwischen folgende Meldung.

C:\Dokumente und Einstellungen\LokaleEinstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache.Trash\Trash\Cache\4DBBFC57d01

Danach lies sich die Datei nicht mehr auffinden.


Hier die gewünschten Logs. Habe auch die weiteren Punkte im Thread mit der Beiträge nleitung durchgeführt. Wäre für eine Einschätzung und Analyse dankbar.




Zitat

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1773
Windows 5.1.2600 Service Pack 2

18.02.2009 10:41:50
mbam-log-2009-02-18 (10-41-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 61248
Laufzeit: 8 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot.
C:\Programme\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.

Zitat

ComboFix 09-02-17.02 - 2009-02-18 11:41:20.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.511.261 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\autorun.inf
c:\windows\regedit.com
c:\windows\system32\dumphive.exe
c:\windows\system32\eaeddcdaac_s.dll
c:\windows\system32\IEDFix.exe
c:\windows\system32\Plugins
c:\windows\system32\Plugins\Mime.ini
c:\windows\system32\Plugins\MozillaEdit.exe
c:\windows\system32\Plugins\NPLeechGet.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\taskmgr.com
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-18 bis 2009-02-18 ))))))))))))))))))))))))))))))
.

2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\dokumente und einstellungen\Anwendungsdaten\Malwarebytes
2009-02-18 10:02 . 2009-02-18 10:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-18 10:02 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 10:02 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-18 11:24 . 2009-01-18 11:24 7,680 --ahs---- c:\windows\Thumbs.db

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 10:33 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-02-18 10:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-18 08:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-17 20:43 5,287 ----a-w c:\programme\hijackthis.log
2009-02-13 19:00 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore
2009-02-02 10:15 6,473,513 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-01-15 10:52 --------- d-----w c:\programme\backups
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 09:11 --------- d-----w c:\programme\McAfee
2008-12-19 14:23 --------- d-----w c:\programme\CCleaner
2008-12-05 18:29 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-06-09 13:12 5,959 ----a-w c:\programme\hijackthis22.log
2008-06-03 10:57 5,927 ----a-w c:\programme\hijackthis2.log
2008-05-13 18:58 5,430 ----a-w c:\programme\hijackthis1.log
2001-10-25 13:22 82,829 ------w c:\programme\LIESMICH.HTM
2001-10-25 13:22 81,924 ------w c:\programme\US Readme.htm
2001-10-25 13:22 81,924 ------w c:\programme\readme.htm
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2005-07-20 7110656]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2005-07-20 86016]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-05 136600]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-11-13 981904]
"nwiz"="nwiz.exe" [2005-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Aim6]
--a------ 2008-10-31 20:22 50480 c:\programme\AIM6\aim6.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 c:\programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-03 23:57 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 14:09 413696 c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-27 18:53 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
--a------ 2008-11-13 15:18 981904 c:\programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Aim6"=

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\Loader\\aolload.exe"=
"c:\\Programme\\FlashGet\\flashget.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programme\\AIM6\\aim6.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 206096]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [2001-09-30 1410768]
.
Inhalt des "geplante Tasks" Ordners

2009-02-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Aim6 - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
TCP: {5576AB3A-FCF8-44FF-981D-4045C22C0D25} = 192.168.0.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - c:\dokumente und einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\
FF - prefs.js: browser.startup.homepage -
FF - component: c:\programme\McAfee\SiteAdvisor\components\McFFPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 11:42:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-616249376-682003330-1004\Software\Buhl Data Service\On4u2\nanoPEG-MPEG2\ExtData*]
"OfflineKey"="f2il02yz+PoZfjShe/bLtuIDuYUBXeXUSWODhqNUumuillSxrfUfT0bxarmfYtLp4zQvX/frLlkGRzjW8wFj1YIjNQTkcipaGHiRsqxfWeML3zNdlQAR2qpUclY4tqG7hrq0toHzSqNvyr03dnd293CDD57I+nETnlnnu4AKgI3ULnXKu/K2ZzeRLfLPDBgAPUy1D3ancm3tlUij0+XCew==XkW7KTUw4/ERXZYHib2UcoL0C2ZB96ivDmVp8Hxoud4WhbS+FPwy3zwTLhtuwow5VXDxMiadgorR9F/GSnOdBg=="
"InitTime"=dword:00009997
"LastTime"=dword:000099ac
"Keyindex"=dword:00000000
.
Zeit der Fertigstellung: 2009-02-18 11:47:45
ComboFix-quarantined-files.txt 2009-02-18 10:46:27

Vor Suchlauf: 22 Verzeichnis(se), 42.787.065.856 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 42,858,438,656 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

145 --- E O F --- 2009-02-11 10:08:17

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:45, on 18.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Bo\HTJ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5576AB3A-FCF8-44FF-981D-4045C22C0D25}: NameServer = 192.168.0.1
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4981 bytes

Zitat

Uninstall List

Ad-Aware
Adobe Flash Player 10 Plugin
AIM 6
Apple Software Update
a-squared Anti-Malware 2.1
AVG Anti-Rootkit Free
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
EVEREST Home Edition v2.20
FireLogXP 1.3
Foxit Reader
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB914440)
Hotfix für Windows XP (KB952287)
Java(TM) 6 Update 11
Kaspersky Online Scanner
MAGIX Xtreme Foto Designer 6 6.0.19.0 (D)
Malwarebytes' Anti-Malware
McAfee SiteAdvisor
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mozilla Firefox (3.0.6)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Nero 6
NeroVision Express 2
NVIDIA Drivers
OpenOffice.org 3.0
Opera 9.63
PC Inspector smart recovery
QuickTime
RealPlayer
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Media Player (KB911564)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 6.4 (KB925398)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows Media Player 9 (KB936782)
Sicherheitsupdate für Windows XP (KB893756)
Sicherheitsupdate für Windows XP (KB896358)
Sicherheitsupdate für Windows XP (KB896423)
Sicherheitsupdate für Windows XP (KB896424)
Sicherheitsupdate für Windows XP (KB896428)
Sicherheitsupdate für Windows XP (KB899587)
Sicherheitsupdate für Windows XP (KB899591)
Sicherheitsupdate für Windows XP (KB900725)
Sicherheitsupdate für Windows XP (KB901017)
Sicherheitsupdate für Windows XP (KB901214)
Sicherheitsupdate für Windows XP (KB902400)
Sicherheitsupdate für Windows XP (KB904706)
Sicherheitsupdate für Windows XP (KB905414)
Sicherheitsupdate für Windows XP (KB905749)
Sicherheitsupdate für Windows XP (KB908519)
Sicherheitsupdate für Windows XP (KB911562)
Sicherheitsupdate für Windows XP (KB911927)
Sicherheitsupdate für Windows XP (KB912919)
Sicherheitsupdate für Windows XP (KB913580)
Sicherheitsupdate für Windows XP (KB914388)
Sicherheitsupdate für Windows XP (KB914389)
Sicherheitsupdate für Windows XP (KB917344)
Sicherheitsupdate für Windows XP (KB917422)
Sicherheitsupdate für Windows XP (KB917953)
Sicherheitsupdate für Windows XP (KB918118)
Sicherheitsupdate für Windows XP (KB918439)
Sicherheitsupdate für Windows XP (KB919007)
Sicherheitsupdate für Windows XP (KB920213)
Sicherheitsupdate für Windows XP (KB920670)
Sicherheitsupdate für Windows XP (KB920683)
Sicherheitsupdate für Windows XP (KB920685)
Sicherheitsupdate für Windows XP (KB921503)
Sicherheitsupdate für Windows XP (KB922819)
Sicherheitsupdate für Windows XP (KB923191)
Sicherheitsupdate für Windows XP (KB923414)
Sicherheitsupdate für Windows XP (KB923689)
Sicherheitsupdate für Windows XP (KB923694)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB923980)
Sicherheitsupdate für Windows XP (KB924191)
Sicherheitsupdate für Windows XP (KB924270)
Sicherheitsupdate für Windows XP (KB924496)
Sicherheitsupdate für Windows XP (KB924667)
Sicherheitsupdate für Windows XP (KB925902)
Sicherheitsupdate für Windows XP (KB926255)
Sicherheitsupdate für Windows XP (KB926436)
Sicherheitsupdate für Windows XP (KB927779)
Sicherheitsupdate für Windows XP (KB927802)
Sicherheitsupdate für Windows XP (KB928090)
Sicherheitsupdate für Windows XP (KB928255)
Sicherheitsupdate für Windows XP (KB928843)
Sicherheitsupdate für Windows XP (KB929123)
Sicherheitsupdate für Windows XP (KB930178)
Sicherheitsupdate für Windows XP (KB931261)
Sicherheitsupdate für Windows XP (KB931784)
Sicherheitsupdate für Windows XP (KB932168)
Sicherheitsupdate für Windows XP (KB933729)
Sicherheitsupdate für Windows XP (KB935839)
Sicherheitsupdate für Windows XP (KB935840)
Sicherheitsupdate für Windows XP (KB936021)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938829)
Sicherheitsupdate für Windows XP (KB941202)
Sicherheitsupdate für Windows XP (KB941568)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB941644)
Sicherheitsupdate für Windows XP (KB941693)
Sicherheitsupdate für Windows XP (KB943055)
Sicherheitsupdate für Windows XP (KB943460)
Sicherheitsupdate für Windows XP (KB943485)
Sicherheitsupdate für Windows XP (KB944653)
Sicherheitsupdate für Windows XP (KB945553)
Sicherheitsupdate für Windows XP (KB946026)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB948590)
Sicherheitsupdate für Windows XP (KB948881)
Sicherheitsupdate für Windows XP (KB950749)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB960715)
Smart Link 56K Voice Modem
Spybot - Search & Destroy
SpywareBlaster 4.1
Tweak GUI 2.3.03
UltimateZip 2007
Update für Windows XP (KB894391)
Update für Windows XP (KB898461)
Update für Windows XP (KB900485)
Update für Windows XP (KB904942)
Update für Windows XP (KB908531)
Update für Windows XP (KB910437)
Update für Windows XP (KB911280)
Update für Windows XP (KB916595)
Update für Windows XP (KB920872)
Update für Windows XP (KB922582)
Update für Windows XP (KB925720)
Update für Windows XP (KB927891)
Update für Windows XP (KB929338)
Update für Windows XP (KB930916)
Update für Windows XP (KB931836)
Update für Windows XP (KB932823-v3)
Update für Windows XP (KB933360)
Update für Windows XP (KB938828)
Update für Windows XP (KB942763)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB955839)
UpdateScanner
VC 9.0 Runtime
VIA Platform Device Manager
Winamp
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live installer
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 2
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB891781
WinMerge 2.6.8.0
XML Paper Specification Shared Components Language Pack 1.0
Z-DBackup
ZoneAlarm
Seitenanfang Seitenende
18.02.2009, 12:27
Member

Beiträge: 3716
#2 hallo,
start ausfüren
combofix /u
antivir so einstellen, zusätzlich rootkitsuche aktiviren:
http://board.protecus.de/t23979.htm
funde in quarantäne log posten.
Seitenanfang Seitenende
18.02.2009, 14:02
Member

Themenstarter

Beiträge: 36
#3 Hallo -

Kann eine vorläufige Diagnose gestellt werden?




Zitat

Avira AntiVir Personal
Report file date: Mittwoch, 18. Februar 2009 13:00

Scanning for 1253458 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: STAR

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 10:04:35
AVSCAN.DLL : 8.1.4.0 40705 Bytes 18.07.2008 09:47:00
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 09:47:01
LUKERES.DLL : 8.1.4.0 12033 Bytes 18.07.2008 09:47:01
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:23:15
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 20:55:50
ANTIVIR2.VDF : 7.1.2.13 2048 Bytes 11.02.2009 20:55:51
ANTIVIR3.VDF : 7.1.2.42 180224 Bytes 18.02.2009 11:59:03
Engineversion : 8.2.0.83
AEVDF.DLL : 8.1.1.0 106868 Bytes 31.01.2009 20:45:08
AESCRIPT.DLL : 8.1.1.47 348539 Bytes 13.02.2009 20:57:03
AESCN.DLL : 8.1.1.7 127347 Bytes 13.02.2009 20:57:01
AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 18:18:45
AEPACK.DLL : 8.1.3.8 397684 Bytes 04.02.2009 20:49:10
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 12.12.2008 09:20:21
AEHEUR.DLL : 8.1.0.94 1606006 Bytes 17.02.2009 20:57:20
AEHELP.DLL : 8.1.2.0 119159 Bytes 18.11.2008 20:12:05
AEGEN.DLL : 8.1.1.17 332148 Bytes 17.02.2009 20:57:11
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 16:08:52
AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 20:57:07
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 16:08:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 09:47:00
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 09:47:00
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 15:02:50
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 09:47:00
AVARKT.DLL : 1.0.0.23 307457 Bytes 21.04.2008 11:55:56
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 09:47:00
SQLITE3.DLL : 3.3.17.1 339968 Bytes 21.04.2008 11:55:57
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 09:47:01
NETNT.DLL : 8.0.0.1 7937 Bytes 21.04.2008 11:55:57
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 09:46:53
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 09:46:53

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\programme\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: quarantine
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: off
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: high
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Mittwoch, 18. Februar 2009 13:00

Starting search for hidden objects.
'56012' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'McSACore.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '46' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Dokumente und Einstellungen\Eigene Dateien\ComboFix.exe
[DETECTION] Contains recognition pattern of the APPL/NirCmd.3 application
[DETECTION] Contains recognition pattern of the APPL/NirCmd.3 application
[NOTE] The file was moved to '4a08fa86.qua'!
C:\Dokumente und Einstellungen\Eigene Dateien\SmitfraudFix.exe
[0] Archive type: RAR SFX (self extracting)
--> SmitfraudFix\restart.exe
[DETECTION] Contains recognition pattern of the SPR/Tool.Hardoff.A program
[NOTE] The file was moved to '4a04faa1.qua'!
C:\Dokumente und Einstellungen\Eigene Dateien\WUCDCreatorSetup-1.0.1.exe
[0] Archive type: NSIS
--> Settings/reboot.exe
[DETECTION] Contains recognition pattern of the SPR/Agent.FB program
[NOTE] The file was moved to '49de29b1.qua
C:\Dokumente und Einstellungen\Eigene Dateien\zaSetup_80_065_000_en.exe
[0] Archive type: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archive type: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNING] No further files can be extracted from this archive. The archive will be closed


End of the scan: Mittwoch, 18. Februar 2009 13:55
Used time: 55:11 Minute(s)

The scan has been done completely.

6022 Scanning directories
235816 Files were scanned
4 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
235812 Files not concerned
2064 Archives were scanned
2 Warnings
2 Notes
56012 Objects were scanned with rootkit scan
0 Hidden objects were found
Seitenanfang Seitenende
18.02.2009, 14:07
Member

Beiträge: 3716
#4 Hallo, firefox chache leeren:
www.firefox-browser.de/wiki/Cache - 13k -
kannst ja noch mal malwarebytes updaten full scan wählen und schauen ob was gefunden wird. sieht aber gut aus.
Seitenanfang Seitenende
18.02.2009, 14:30
Member

Themenstarter

Beiträge: 36
#5 Was mich auch schon gestern erstaunt hat war, dass ich nach den beiden AntiVir Meldungen die Datei, die als infiziert gemeldet wurde, nicht mehr im Cache gefunden habe, obwohl andere Dateien noch da waren, die ich mittlerweile mit cclearner gelöscht habe. Anfangs habe ich die Datei noch in der Liste gesehen, dann gab es ja den Browsercrash und danach war sie weg. Kann dies mit "Neue Sitzung erstellen" zusammenhängen?

Und die fünf von Malwarebytes gemeldeten Dateien? Wurden zwar mittlerweile gelöscht, aber lädt diese Art Trojaner nichts nach?

Kompletter Scan läuft.


Stehen im HijackThis Log irgendwelche unnötigen und eventuell gefährliche Einträge?
Seitenanfang Seitenende
18.02.2009, 14:33
Member

Beiträge: 3716
#6 vllt wurde die datei von avira gekillt.
logs sehen unauffällig aus, wir können aber wenn du willst, noch online scans machen.
auch sollte windows geupdatet werden also sp3 und ie 7
Seitenanfang Seitenende
18.02.2009, 14:49
Member

Themenstarter

Beiträge: 36
#7 Gekillt? Also ohne meinen Befehl z.B. Quarantäne, Ignorieren etc?

Laut secunia vulnerability scanning läuft IE 7.0.6000.16791, aber
laut IE Info nur Version 7.0.5730.11? Was bedeutet das?

Ich update nach dem Malwarebytes Scan auf SP3.

Welchen Onlinescan würdest du vorschlagen?
Seitenanfang Seitenende
18.02.2009, 15:06
Member

Beiträge: 3716
#8 hmm da müsste man in dem log von antivir schauen.
f-secure:
http://support.f-secure.com/ger/home/ols.shtml
warum secunia das anzeigt weiß ich net...
Seitenanfang Seitenende
18.02.2009, 15:22
Member

Themenstarter

Beiträge: 36
#9 Meinst du mit Log die urspüngliche Meldung?


Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01.
Action performed: Deny access


Dann

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01.
Action performed: Allow access

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache.Trash\Trash\Cache\4DBBFC57d01.
Action performed: Allow access

Dazwischen habe ich es mit virustotal versucht, die Datei konnte aber nicht mehr gefunden werden.

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01.
Action performed: Allow access





Wurde folgende Malware gestern also nicht ausgelöst und hat Schaden angerichtet?


C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot.
C:\Programme\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.


Kompletter Scan hat nach einer Stunde nichts gefunden. Läuft aber noch.
Seitenanfang Seitenende
18.02.2009, 15:24
Member

Beiträge: 3716
#10 Warum ist dein programm auf englisch ;-)
doch die malware war aktiv. aber nicht jede läd zwangsweise etwas nach.
und warum hast du zugriff erlauben gewählt...? das ist die falsche aktion!
vllt hat sich die datei selbst gelöscht das währe auch möglich.
Seitenanfang Seitenende
18.02.2009, 15:34
Member

Themenstarter

Beiträge: 36
#11 Du sprichst mit einem Neuling. Ich dachte während Virustotal sollte der Zugriff erlaubt sein und danach in Quarantäne schieben. Wenn ich gewußt hätte, dass die Datei zwischen Browsercrash und neuer Sitzung verschwindet, hätte ich sofort Quarantäne gewählt. Während der drei Allow access Meldungen, habe ich zum Virustotal Upload auf die Datei geklickt und dann kam es zu den weiteren Meldungen. Wenn ich den Crash geahnt hätte........ Naja jetzt habe ich vorläufig bei jeder Meldung als primäre Aktion "Quarantäne" gewählt.
Seitenanfang Seitenende
18.02.2009, 15:36
Member

Beiträge: 3716
#12 zugriff erlauben heißt das die datei ausgefürt werden kann. aber wie gesagt es sieht ja nicht schlimm aus!
Seitenanfang Seitenende
18.02.2009, 15:58
Member

Themenstarter

Beiträge: 36
#13 Also generell erstmal alle Dateien in Quarantäne (primäre Aktion)?

Es kommt mir zwar noch "spanisch" vor, aber vorläufig danke für die Hilfe and Analyse. Ich melde mich wieder, falls Malwarebytes oder F-Secure was findet.

Das vorläufig letzte IE Update fand lauft "Software" am 11.02. statt. Automatische Updates streikt im Moment, auch was SP3 betrifft.
Seitenanfang Seitenende
18.02.2009, 16:05
Member

Beiträge: 3716
#14 wie meinst du streigt?
Seitenanfang Seitenende
18.02.2009, 16:26
Member

Themenstarter

Beiträge: 36
#15 Ich meinte, dass im Sicherheitscenter, Automatische Updates (täglich um x Uhr) die ganze Zeit kein SP3 Update mehr angezeigt wurde. Jetzt update ich über IE und die Microsoft Seite, wo als wichtiges Update "nur" SP3 angezeigt wird und nichts was den IE betrifft !?
Seitenanfang Seitenende