TR/Crypt.XPACK.Gen Meldung / Logs vorhanden |
||
---|---|---|
#0
| ||
18.02.2009, 12:04
Member
Beiträge: 36 |
||
|
||
18.02.2009, 12:27
Member
Beiträge: 3716 |
#2
hallo,
start ausfüren combofix /u antivir so einstellen, zusätzlich rootkitsuche aktiviren: http://board.protecus.de/t23979.htm funde in quarantäne log posten. |
|
|
||
18.02.2009, 14:02
Member
Themenstarter Beiträge: 36 |
#3
Hallo -
Kann eine vorläufige Diagnose gestellt werden? Zitat Avira AntiVir Personal |
|
|
||
18.02.2009, 14:07
Member
Beiträge: 3716 |
#4
Hallo, firefox chache leeren:
www.firefox-browser.de/wiki/Cache - 13k - kannst ja noch mal malwarebytes updaten full scan wählen und schauen ob was gefunden wird. sieht aber gut aus. |
|
|
||
18.02.2009, 14:30
Member
Themenstarter Beiträge: 36 |
#5
Was mich auch schon gestern erstaunt hat war, dass ich nach den beiden AntiVir Meldungen die Datei, die als infiziert gemeldet wurde, nicht mehr im Cache gefunden habe, obwohl andere Dateien noch da waren, die ich mittlerweile mit cclearner gelöscht habe. Anfangs habe ich die Datei noch in der Liste gesehen, dann gab es ja den Browsercrash und danach war sie weg. Kann dies mit "Neue Sitzung erstellen" zusammenhängen?
Und die fünf von Malwarebytes gemeldeten Dateien? Wurden zwar mittlerweile gelöscht, aber lädt diese Art Trojaner nichts nach? Kompletter Scan läuft. Stehen im HijackThis Log irgendwelche unnötigen und eventuell gefährliche Einträge? |
|
|
||
18.02.2009, 14:33
Member
Beiträge: 3716 |
#6
vllt wurde die datei von avira gekillt.
logs sehen unauffällig aus, wir können aber wenn du willst, noch online scans machen. auch sollte windows geupdatet werden also sp3 und ie 7 |
|
|
||
18.02.2009, 14:49
Member
Themenstarter Beiträge: 36 |
#7
Gekillt? Also ohne meinen Befehl z.B. Quarantäne, Ignorieren etc?
Laut secunia vulnerability scanning läuft IE 7.0.6000.16791, aber laut IE Info nur Version 7.0.5730.11? Was bedeutet das? Ich update nach dem Malwarebytes Scan auf SP3. Welchen Onlinescan würdest du vorschlagen? |
|
|
||
18.02.2009, 15:06
Member
Beiträge: 3716 |
#8
hmm da müsste man in dem log von antivir schauen.
f-secure: http://support.f-secure.com/ger/home/ols.shtml warum secunia das anzeigt weiß ich net... |
|
|
||
18.02.2009, 15:22
Member
Themenstarter Beiträge: 36 |
#9
Meinst du mit Log die urspüngliche Meldung?
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01. Action performed: Deny access Dann Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01. Action performed: Allow access Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache.Trash\Trash\Cache\4DBBFC57d01. Action performed: Allow access Dazwischen habe ich es mit virustotal versucht, die Datei konnte aber nicht mehr gefunden werden. Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01. Action performed: Allow access Wurde folgende Malware gestern also nicht ausgelöst und hat Schaden angerichtet? C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot. C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\systems.txt (Trojan.Vundo) -> Delete on reboot. C:\Programme\Setup.exe (Rogue.Installer) -> Quarantined and deleted successfully. C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot. Kompletter Scan hat nach einer Stunde nichts gefunden. Läuft aber noch. |
|
|
||
18.02.2009, 15:24
Member
Beiträge: 3716 |
#10
Warum ist dein programm auf englisch ;-)
doch die malware war aktiv. aber nicht jede läd zwangsweise etwas nach. und warum hast du zugriff erlauben gewählt...? das ist die falsche aktion! vllt hat sich die datei selbst gelöscht das währe auch möglich. |
|
|
||
18.02.2009, 15:34
Member
Themenstarter Beiträge: 36 |
#11
Du sprichst mit einem Neuling. Ich dachte während Virustotal sollte der Zugriff erlaubt sein und danach in Quarantäne schieben. Wenn ich gewußt hätte, dass die Datei zwischen Browsercrash und neuer Sitzung verschwindet, hätte ich sofort Quarantäne gewählt. Während der drei Allow access Meldungen, habe ich zum Virustotal Upload auf die Datei geklickt und dann kam es zu den weiteren Meldungen. Wenn ich den Crash geahnt hätte........ Naja jetzt habe ich vorläufig bei jeder Meldung als primäre Aktion "Quarantäne" gewählt.
|
|
|
||
18.02.2009, 15:36
Member
Beiträge: 3716 |
#12
zugriff erlauben heißt das die datei ausgefürt werden kann. aber wie gesagt es sieht ja nicht schlimm aus!
|
|
|
||
18.02.2009, 15:58
Member
Themenstarter Beiträge: 36 |
#13
Also generell erstmal alle Dateien in Quarantäne (primäre Aktion)?
Es kommt mir zwar noch "spanisch" vor, aber vorläufig danke für die Hilfe and Analyse. Ich melde mich wieder, falls Malwarebytes oder F-Secure was findet. Das vorläufig letzte IE Update fand lauft "Software" am 11.02. statt. Automatische Updates streikt im Moment, auch was SP3 betrifft. |
|
|
||
18.02.2009, 16:05
Member
Beiträge: 3716 |
#14
wie meinst du streigt?
|
|
|
||
18.02.2009, 16:26
Member
Themenstarter Beiträge: 36 |
#15
Ich meinte, dass im Sicherheitscenter, Automatische Updates (täglich um x Uhr) die ganze Zeit kein SP3 Update mehr angezeigt wurde. Jetzt update ich über IE und die Microsoft Seite, wo als wichtiges Update "nur" SP3 angezeigt wird und nichts was den IE betrifft !?
|
|
|
||
"C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache\4DBBFC57d01"Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'detected in file
Danach wollte ich die Datei mit virustotal.com prüfen lassen. Der Browser sprang aber auf "Keine Rückmeldung" und es dauerte etwa vier Minuten bis er inklusive Microsoft dumprep.exe wieder lief.
Dazwischen folgende Meldung.
C:\Dokumente und Einstellungen\LokaleEinstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hbwn5auf.default\Cache.Trash\Trash\Cache\4DBBFC57d01
Danach lies sich die Datei nicht mehr auffinden.
Hier die gewünschten Logs. Habe auch die weiteren Punkte im Thread mit der Beiträge nleitung durchgeführt. Wäre für eine Einschätzung und Analyse dankbar.
Zitat
Zitat
Zitat
Zitat