Trojaner: TR/Crypt.XPACK.Gen -> Gefählich? |
||
---|---|---|
#0
| ||
12.06.2009, 12:04
Member
Beiträge: 31 |
||
|
||
12.06.2009, 12:07
Member
Beiträge: 3716 |
#2
poste ein malwarebytes und combofix log.
|
|
|
||
12.06.2009, 12:34
Member
Themenstarter Beiträge: 31 |
#3
Ok hab schonmal die Combofix-Logs, ist das malwarebytes noch unbedingt notwendig?
Mein Rechner: ComboFix 09-06-11.06 - Marci 12.06.2009 12:19.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3071.2552 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Marci\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-05-12 bis 2009-06-12 )))))))))))))))))))))))))))))) . 2009-06-12 09:45 . 2009-06-12 09:46 -------- d-----w- C:\HijackThis 2009-06-11 21:26 . 2009-06-11 21:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Electronic Arts 2009-06-10 11:36 . 2009-06-10 11:36 -------- d-----w- c:\dokumente und einstellungen\Marci\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment 2009-06-06 12:08 . 2009-06-06 12:08 10134 ----a-r- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-06-06 12:08 . 2009-06-06 12:08 -------- d-----w- c:\programme\Microsoft WSE 2009-05-21 20:38 . 2009-05-21 20:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-12 10:22 . 2008-12-07 13:12 67857696 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-06-12 10:21 . 2008-12-07 13:12 2081056 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-06-12 06:57 . 2001-08-18 10:00 78360 ----a-w- c:\windows\system32\perfc007.dat 2009-06-12 06:57 . 2001-08-18 10:00 442770 ----a-w- c:\windows\system32\perfh007.dat 2009-06-12 06:54 . 2008-12-07 13:12 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-06-11 22:24 . 2008-12-07 13:12 203120 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-06-11 22:24 . 2008-12-07 13:12 916688 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-06-11 17:08 . 2008-12-11 19:38 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\teamspeak2 2009-06-08 21:13 . 2008-12-07 19:12 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Hamachi 2009-06-06 11:59 . 2008-12-07 11:08 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-05-20 15:08 . 2008-12-07 13:12 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-05-20 15:08 . 2008-12-07 13:12 105395 ----a-w- c:\windows\system32\drivers\klin.dat 2009-05-07 15:32 . 2002-08-29 02:43 348160 ----a-w- c:\windows\system32\localspl.dll 2009-04-29 04:33 . 2006-06-23 12:27 672256 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:33 . 2004-08-04 07:57 81920 ------w- c:\windows\system32\ieencode.dll 2009-04-24 22:04 . 2009-04-24 22:04 -------- d-----w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\dvdcss 2009-04-19 19:46 . 2002-08-29 02:23 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-15 14:51 . 2004-03-06 02:16 585216 ----a-w- c:\windows\system32\rpcrt4.dll 2009-04-15 11:55 . 2008-12-21 22:49 84593 ----a-w- c:\windows\War3Unin.dat 2009-03-31 20:10 . 2009-03-31 20:10 152576 ----a-w- c:\dokumente und einstellungen\Marci\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ICQ"="c:\icq6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168] "PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168] "Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-03 5964800] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-07-26 13570048] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-07-26 86016] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-07-26 1657376] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-07-03 16876032] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Ventrilo\\Ventrilo.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Universe At War Earth Assault\\UAWEA.exe"= "c:\\WINDOWS\\system32\\PnkBstrA.exe"= "c:\\WINDOWS\\system32\\PnkBstrB.exe"= "d:\\Call of Duty - World at War\\CoDWaWmp.exe"= "d:\\Call of Duty - World at War\\CoDWaW.exe"= "d:\\CS 1.6\\hl.exe"= "c:\\ICQ6\\ICQ.exe"= "d:\\Call of Duty 2\\CoD2MP_s.exe"= "c:\\Kaspersky Anti-Virus 7.0\\avp.exe"= R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24.06.2008 00:21 150568] R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [07.12.2008 13:50 140800] R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [07.12.2008 13:50 5248] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [04.04.2007 15:58 24344] R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [07.12.2008 13:10 36864] S3 getPlus(R) Helper;getPlus(R) Helper;c:\programme\NOS\bin\getPlus_HelperSvc.exe [04.04.2009 14:45 33176] . Inhalt des "geplante Tasks" Ordners 2009-05-19 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.freenet.de/ IE: Nach Microsoft &Excel exportieren - c:\micros~1\OFFICE11\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-12 12:21 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-682003330-1935655697-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:9c,11,97,7e,92,69,b0,ec,8d,03,6f,ec,5b,4d,67,f0,40,39,bc,bd,80, da,34,92,25,18,5b,59,e4,03,7e,72,e1,c4,b7,0f,35,f6,84,dd,c5,d9,08,69,d8,2c,\ "rkeysecu"=hex:3a,a7,b3,45,5c,e3,5e,6a,bd,8c,3a,91,5b,be,c5,ce . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1280) c:\kaspersky anti-virus 7.0\miscr3.dll c:\windows\System32\klogon.dll - - - - - - - > 'lsass.exe'(1336) c:\kaspersky anti-virus 7.0\dnsq.dll c:\kaspersky anti-virus 7.0\miscr3.dll - - - - - - - > 'explorer.exe'(2100) c:\kaspersky anti-virus 7.0\miscr3.dll c:\kaspersky anti-virus 7.0\scrchpg.dll . Zeit der Fertigstellung: 2009-06-12 12:23 ComboFix-quarantined-files.txt 2009-06-12 10:23 Vor Suchlauf: 37 Verzeichnis(se), 51.389.657.088 Bytes frei Nach Suchlauf: 37 Verzeichnis(se), 54.612.795.392 Bytes frei 126 --- E O F --- 2009-06-11 09:48 Laptop meiner Freudnin: ComboFix 09-06-11.06 - Luna 12.06.2009 12:29.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3067.2647 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Luna\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2009-05-12 bis 2009-06-12 )))))))))))))))))))))))))))))) . 2009-06-12 09:46 . 2009-06-12 09:47 -------- d-----w- C:\HijackThis 2009-06-11 21:42 . 2009-06-11 21:42 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2009-06-11 17:31 . 2009-06-11 17:57 -------- d-----w- c:\windows\system32\Adobe 2009-06-06 12:14 . 2009-06-06 12:14 10134 ----a-r- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2009-06-06 12:14 . 2009-06-06 12:14 -------- d-----w- c:\programme\Microsoft WSE 2009-06-06 12:04 . 2009-06-06 12:19 -------- d-----w- C:\Die Sims 3 2009-05-27 15:10 . 2009-05-27 15:10 -------- d-----w- c:\dokumente und einstellungen\Luna\Lokale Einstellungen\Anwendungsdaten\Help 2009-05-16 22:44 . 2009-05-16 22:44 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Media Player Classic . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-11 17:00 . 2009-01-01 14:11 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\teamspeak2 2009-06-08 21:42 . 2008-12-26 22:31 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Hamachi 2009-06-06 12:14 . 2001-08-18 10:00 70976 ----a-w- c:\windows\system32\perfc007.dat 2009-06-06 12:14 . 2001-08-18 10:00 405692 ----a-w- c:\windows\system32\perfh007.dat 2009-06-06 12:04 . 2008-12-26 19:41 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-05-27 19:47 . 2008-12-26 20:35 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-05-01 15:05 . 2009-05-01 15:05 -------- d-----w- c:\dokumente und einstellungen\Luna\Anwendungsdaten\Leadertech 2009-05-01 04:50 . 2009-05-01 04:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\2DBoy 2009-04-28 09:47 . 2009-04-28 09:47 499712 ----a-w- c:\windows\system32\msvcp71.dll 2009-04-28 09:47 . 2009-04-28 09:47 348160 ----a-w- c:\windows\system32\msvcr71.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\daemon tools lite\daemon.exe" [2008-07-24 490952] "ICQ"="c:\icq6.5\ICQ.exe" [2009-03-01 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168] "PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2008-12-08 13594624] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2008-12-08 86016] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-08-18 794714] "avgnt"="c:\avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "BatteryManager"="c:\programme\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-04-11 2772992] "ACU"="c:\programme\Atheros WLAN Client\ACU.exe" [2008-07-07 450649] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-12-08 1657376] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Call of Duty 2\\CoD2MP_s.exe"= "c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\s2gs.exe"= "c:\\Programme\\Ascaron Entertainment\\Sacred 2 - Fallen Angel\\system\\sacred2.exe"= "c:\\Prince of Persia\\Prince of Persia.exe"= "c:\\Prince of Persia\\PrinceOfPersia_Launcher.exe"= R0 xmasbus;xmasbus;c:\windows\system32\drivers\xmasbus.sys [26.12.2008 22:48 140800] R0 xmasscsi;xmasscsi;c:\windows\system32\drivers\xmasscsi.sys [26.12.2008 22:48 5248] R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [27.12.2008 14:04 4300] R2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32coinst,serviceStartProc --> RUNDLL32.EXE ykx32coinst,serviceStartProc [?] R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [26.12.2008 19:36 41376] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [31.12.2008 16:57 57344] S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys --> c:\windows\system32\Drivers\gHidPnp.Sys [?] S3 gMouPS2;PS2 Scroll Mouse Device;c:\windows\system32\DRIVERS\gMouPS2.sys --> c:\windows\system32\DRIVERS\gMouPS2.sys [?] S3 gMouUsb;USB Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb.sys --> c:\windows\system32\DRIVERS\gMouUsb.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\micros~1\OFFICE11\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-12 12:31 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1275210071-706699826-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:f6,ac,d0,40,64,fb,2c,6a,92,6b,14,3b,75,29,66,4e,df,6e,ad,d1,95, 5b,04,13,6c,a9,6e,df,f4,02,7e,4d,d8,8a,e6,1d,03,bd,0b,53,e4,01,7e,12,64,49,\ "rkeysecu"=hex:e1,ae,a5,5a,5f,0d,3f,a8,60,92,60,77,9c,1e,34,d2 . Zeit der Fertigstellung: 2009-06-12 12:32 ComboFix-quarantined-files.txt 2009-06-12 10:32 Vor Suchlauf: 53 Verzeichnis(se), 154.644.058.112 Bytes frei Nach Suchlauf: 53 Verzeichnis(se), 154.788.753.408 Bytes frei 100 Danke |
|
|
||
12.06.2009, 13:41
Member
Beiträge: 3716 |
#4
also antivir hast du quasi als zweitscanner, der ist also nicht aktiv, weil 2 laufende scanner sind nicht gut.
antivir version neun instaliert? wenn nein, nachhohlen und bescheid sagen, nun bitte malwarebytes. |
|
|
||
12.06.2009, 15:46
Member
Themenstarter Beiträge: 31 |
#5
Ich benutze Kaspersky.
Meine Freundin benutzt AntiVir. Dementsprechend ist pro System nur ein Viren Programm. Mein Rechner: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2266 Windows 5.1.2600 Service Pack 3 12.06.2009 15:41:27 mbam-log-2009-06-12 (15-41-27).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 277702 Laufzeit: 35 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: K:\autorun.inf (Worm.Agent.H) -> Delete on reboot. Laptop meiner Freundin: Malwarebytes' Anti-Malware 1.37 Datenbank Version: 2182 Windows 5.1.2600 Service Pack 3 12.06.2009 15:18:17 mbam-log-2009-06-12 (15-18-17).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 181677 Laufzeit: 45 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
|
||
12.06.2009, 16:52
Member
Beiträge: 3716 |
#6
start ausfüren
combofix /u enter besorge dir personal secunia software inspector aktualisiert damit eure software, sonst sieht alles io aus, oder gibts noch probleme? |
|
|
||
12.06.2009, 17:00
Member
Themenstarter Beiträge: 31 |
#7
Ist halt nur die eine Datei, bei der Antivir immer anspringt und da wollte ich auf nummer sicher gehen.
Scheint also ok zu sein alles. Danke dir |
|
|
||
12.06.2009, 17:01
Member
Beiträge: 3716 |
#8
kannst du die datei mal posten?
|
|
|
||
12.06.2009, 17:06
Member
Beiträge: 301 |
#9
Ist K ne Festplatte? Partition? Oder Usb stick ?
Zitat Infizierte Dateien: __________ Mein Leben verläuft streng nach Murphys Gesetz |
|
|
||
Seid ein paar Tagen ärgert mich an meinem PC und meine Freundin an ihrem Laptop ein Trojaner.
Allerdings wird er nur von Antivir auf dem Laptop gefunden, allerdings nicht von Kaspersky auf meinem Rechner. Allerdings habe ich meine Datei zu ihr geschickt worauf dann auch direkt Antivir angesprungen ist.
Hierbei handelt es sich um den Trojaner: TR/Crypt.XPACK.Gen
Ich hab mich schon ein wenig schlau gemacht über google und hab verschiedene Ergebnise gefunden von "einfache decodierung -> Ungefährlich" bis hin zu "tja format c: angesagt" ...
Jetzt wollte ich mal fragen was ihr dazu sagt. Der Trojaner befindet sich auch nur in einer Datei.
Zur sicherheit habe ich noch einen kompletten Scan gemacht bei beiden Geräten, die allerdings ohne Ergebnis blieben (nach Löschen der infizierten datei).
Jetzt wollte ich schauen ob wirklich alles weg ist, da mein Kaspersky ja von vornherein nichts gefunden hatte ... Drum habe ich anbei schonmal direkt Hijack Protokolle angehängt.
Mein Rechner:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:29, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6\ICQ.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
--
End of file - 4545 bytes
Nun der Laptop meiner Freundin:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:47:29, on 12.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Atheros WLAN Client\ACU.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros WLAN Client\ACU.exe" -nogui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6.5\ICQ.exe" silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
--
End of file - 3710 bytes
Ich bedanke mich schonmal im vorraus, besonders für die mühe die beiden Logs auszuwerten.