TR/Crypt.ZPACK.Gen

Knopsbods · 15.07.2009, 11:43

Hallo,

vielen dank für eure hilfe im vorraus...

habe seit gestern abend einen trojaner an bord. zumindest sagt mir das mein antivir.

TR/Crypt.ZPACK.Gen

er ist mir gestern abend das erstemal gemeldet worden:
C:\Windows\System32\drivers\PnkBstrK.sys

und etwas später dann hier
C:\Users\*****\AppData\Local\PunkBuster\COD4\pb\PnkBstrK.sys

nun habe ich auch das Malwarebytes laufen lassen und er sagt mir dieses:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2432
Windows 6.0.6002 Service Pack 2

15.07.2009 09:58:28
mbam-log-2009-07-15 (09-58-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 255027
Laufzeit: 2 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

nun noch mein logs von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:24, on 15.07.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\test\Desktop\Downloadordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://account.maxdome.de/presentation/script/HWTest.CAB
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-27-0.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O20 - AppInit_DLLs: eNetHook.dll
O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - C:\Program Files\TeamViewer3\TeamViewer_Host.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7286 bytes

nun, was muss ich weiteres tun?
ps.: wiederherstellungspunkte habe ich nicht, da ich die volumenschattenkopie deaktiviert hatte.

mfg Knopsbods

nochdigger · 15.07.2009, 16:56

Hallo und

Zitat:

habe seit gestern abend einen trojaner an bord. zumindest sagt mir das mein antivir.

TR/Crypt.ZPACK.Gen

er ist mir gestern abend das erstemal gemeldet worden:
C:\Windows\System32\drivers\PnkBstrK.sys

und etwas später dann hier
C:\Users\*****\AppData\Local\PunkBuster\COD4\pb\Pn kBstrK.sys

die Meldung über Punkbuster scheinen ein Fehlalarm zu sein (gab schon intern eine Meldung

) aber du solltest dein System mal mit Navilog und der Option 1 überprüfen (deaktiviere vorher den Hintergrundwächter deines Antivirenprogramms)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
lade dir die Datei auf den Desktop und führe sie als Admin aus.
Entweder deaktivierst du UAC http://www.trojaner-board.de/72647-b...ktivieren.html
oder klickst die Datei mit einem rechtsklick an und wählst als Admin ausführen o.ä.
Poste anschließend das entstandene Log hierher.

MFG

Knopsbods · 15.07.2009, 17:27

hy, danke dir... hab jetzt auch schon von gelesen, das es ein fehler von antvir wäre.
natürlich habe ich den scanne durchgeführt, den du mir empfohlen hast und hier die logs:

Fix Navipromo version 4.0.1 begonnen am 15.07.2009 18:03:12,08

!!! Achtung, dieser Abschnitt kann legitime Dateien und Programme auflisten!!!
!!! Posten sie diesen Bericht im Forum, um ihn auswerten zu lassen !!!

Programm ausgefuehrt in: C:\Program Files\navilog1

Zuletzt von IL-MAFIOSO aktualisiert am 14.07.2009 um 14h00

Microsoft® Windows Vista™ Home Premium ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz )
BIOS : ZD1 v1.3813 3H11
USER : test ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:88 Go (Free:11 Go)
D:\ (Local Disk) - NTFS - Total:84 Go (Free:73 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

Suche Im normalen Modus ausgefuehrt

Bereinigung beim Neustart des Rechners durchgefuehrt.

Bereinigung in C:\Windows\Temp ausgefuehrt!
Bereinigung in C:\Users\test\AppData\Local\Temp ausgefuehrt!

*** Sicherung der Registry im Ordner Safebackup ***

Sicherung der Registry erfolgreich abgeschlossen!

*** Bereingung der Registry ***

Registry Bereinigung Ok

*** Scan beendet 15.07.2009 18:23:50,10 ***

vielen dank nochmal... hoffe das ich jetzt ruhig schlaffen kann.
hab da nur noch ne frage.
bei dem logs von malwarebytes, hat er mir doch auch einen Infizierte Registrierungsschlüssel: 1 angezeigt

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

nochdigger · 15.07.2009, 18:15

Hallo

Navilog ist i.O.
poste bitte mal die Liste der installierten Programme, da sollte wohl einiges upgedatet werden.
http://www.trojaner-board.de/51464-a...-ccleaner.html
Unter Extras -> Programme deinstallieren klicke auf als Textdatei speichern und poste bitte die Liste hierher.

Lass dein System bitte auch mit SUPERAntiSpyware untersuchen und poste ebenfalls das Log hierher.

MFG

Knopsbods · 15.07.2009, 19:59

so erstmal die liste der installierten programme:

3DMark06 Futuremark Corporation 04.06.2009 1.278,6MB
Acer Arcade Deluxe CyberLink Corp. 11.07.2007 380,9MB
Acer Crystal Eye webcam Sonix 11.07.2007
Acer eAudio Management 11.07.2007 1.745,0MB
Acer eDataSecurity Management HiTRUST Inc. 10.05.2007 30,0MB
Acer eLock Management Acer Inc. 10.05.2007 11,3MB
Acer Empowering Technology Acer Inc. 10.05.2007 141,9MB
Acer eNet Management Acer Inc. 11.07.2007 8,81MB
Acer ePower Management Acer Inc. 11.07.2007 16,8MB
Acer ePresentation Management Acer Inc. 10.05.2007 2,30MB
Acer eSettings Management Acer Inc. 11.07.2007 10,6MB
Acer GridVista 11.07.2007 1,30MB
Acer Mobility Center Plug-In Acer Inc. 10.05.2007 5,58MB
Acer ScreenSaver Acer Inc. 11.07.2007
Acer Tour Acer Inc. 10.05.2007 147,3MB
Acer VCM Acer 11.07.2007 18,2MB
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 11.07.2007 14,0MB
Ad-Aware Lavasoft 28.02.2009 47,4MB
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 02.01.2009
Adobe Reader 9.1.2 - Deutsch Adobe Systems Incorporated 24.06.2009 158,0MB
Adobe Shockwave Player Adobe Systems, Inc. 23.08.2008 7,27MB
ANNO 1404 Ubisoft 28.06.2009 3.271,4MB
AOL Deinstallation 08.09.2007
AOL Installations-Manager AOL Deutschland 08.09.2007 69,2MB
Application Suite 15.10.2008 0,79MB
Avira AntiVir Personal - Free Antivirus Avira GmbH 05.04.2009 62,2MB
AVM FRITZ!Box USB-Fernanschluss FRITZ!Box 29.10.2008
Battlefield 1942 26.02.2009 1.112,0MB
Battlefield 2(TM) 29.11.2008 2.098,5MB
Battlefield 2: Special Forces 27.03.2009 847,6MB
Broadcom Gigabit Integrated Controller Broadcom Corporation 01.03.2009 0,75MB
Call of Duty(R) - World at War(TM) Activision 18.12.2008 6.737,5MB
Call of Duty(R) 4 - Modern Warfare(TM) Activision 27.12.2008 6.997,1MB
CCleaner (remove only) Piriform 14.07.2009 2,55MB
Command & Conquer Generals Electronic Arts 18.02.2009 1.260,6MB
Command and Conquer(TM) Generäle Die Stunde Null Electronic Arts
DivX Content Uploader DivX, Inc. 31.01.2008 7,27MB
DivX Web Player DivX,Inc. 31.01.2008 7,27MB
DVD Shrink 3.2 DVD Shrink 12.10.2007 1,67MB
EA Download Manager Electronic Arts 20.06.2008 6,89MB
ElsterFormular 2005/2006 Steuerverwaltung des Bundes und der Länder 08.03.2008 5.853,1MB
ElsterFormular 2007/2008 Steuerverwaltung des Bundes und der Länder 15.02.2008 65,3MB
ElsterFormular 2008/2009 Steuerverwaltung des Bundes und der Länder 29.01.2009 159,0MB
EPSON-Drucker-Software 16.10.2007
EVEREST Ultimate Edition v5.00 Lavalys, Inc. 16.06.2009 15,3MB
FormatFactory 1.80 Free Time 04.04.2009 57,3MB
Hamachi 1.0.2.5 29.03.2009 0,84MB
HDAUDIO Soft Data Fax Modem with SmartCP 10.05.2007 0,71MB
HijackThis 2.0.2 TrendMicro 14.07.2009
HP Customer Participation Program 9.0 HP 08.10.2008 212,8MB
HP Imaging Device Functions 9.0 HP 08.10.2008 4,23MB
HP OCR Software 9.0 HP 08.10.2008 4,21MB
HP Photosmart All-In-One Software 9.0 HP 08.10.2008 18,9MB
HP Photosmart Essential 2.01 HP 08.10.2008 4,21MB
HP Smart Web Printing Ihr Firmenname 22.06.2008 6,33MB
HP Solution Center 9.0 HP 08.10.2008 4,21MB
HP Update Hewlett-Packard 22.06.2008 3,71MB
HPSSupply Ihr Firmenname 22.06.2008 0,96MB
ICQ6 ICQ 26.04.2008 38,3MB
Intel Matrix Storage Manager 07.08.2007 37,1MB
Intel(R) PROSet/Wireless WiFi-Software Intel(R) Corporation 04.03.2009 78,4MB
Java(TM) 6 Update 3 Sun Microsystems, Inc. 20.11.2007 133,2MB
Launch Manager 11.07.2007 2,01MB
Malwarebytes' Anti-Malware Malwarebytes Corporation 14.07.2009 4,19MB
Medal of Honor Allied Assault 18.02.2009 3,27MB
Medal of Honor Allied Assault(tm) Spearhead 19.02.2009 1,13MB
Medal of Honor Allied Assault(tm) Spearhead Patch 2.15 19.02.2009 1,11MB
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 02.02.2009 37,0MB
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 30.01.2009 37,0MB
Microsoft IntelliPoint 6.1 Microsoft 08.08.2007 11,4MB
Microsoft Office Live Add-in 1.4 Microsoft Corporation 25.06.2009 0,49MB
Microsoft Office Outlook 2007 Trial Microsoft Corporation 26.05.2009 255,7MB
Microsoft Picture It! Foto 7.0 Microsoft Corporation 17.11.2007 212,3MB
Microsoft Silverlight Microsoft Corporation 26.05.2009
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 10.10.2007 2,37MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 14.12.2008 0,58MB
Microsoft Word 2002 Microsoft Corporation 09.06.2009
Microsoft Works Microsoft Corporation 09.06.2009
Microsoft Works 2003-Setup-Start 17.11.2007 6,62MB
Microsoft Works 7.0 Microsoft Corporation 17.11.2007 179,4MB
Microsoft Works Suite-Add-Ins für Microsoft Word Microsoft Corporation 17.11.2007 36,6MB
Move Networks Media Player for Internet Explorer 23.06.2009 1,09MB
Nero 7 Premium Nero AG 29.09.2007 1.543,7MB
NVIDIA Drivers NVIDIA Corporation 25.06.2009
NVIDIA PhysX NVIDIA Corporation 24.05.2009 119,9MB
Paint Shop Pro 7 ESD Jasc Software Inc 03.05.2009 43,9MB
PC Inspector File Recovery 18.03.2009 5,93MB
PunkBuster Services Even Balance, Inc. 28.10.2008
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 11.07.2007 14,7MB
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01 11.07.2007 1,93MB
RouterControl 1.92 04.07.2009 6,96MB
RTC Client API v1.2 Microsoft 08.09.2007 0,11MB
Saitek SD6 Programming Software 6.2.2.4 Saitek 19.08.2008 5,24MB
Spelling Dictionaries Support For Adobe Reader 9 Adobe Systems Incorporated 24.06.2009 29,7MB
System Requirements Lab 04.01.2008 0,73MB
TeamSpeak 2 RC2 Dominating Bytes Design 31.10.2008
TeamViewer 3 TeamViewer GmbH 14.06.2008 3,48MB
TerraTec Headset Master 5.1 USB 17.05.2009 40,8MB
TmNationsForever Nadeo 10.07.2009 717,3MB
TuneUp Utilities 2007 TuneUp Software 04.11.2008 107,9MB
USB Disk Win98 Driver 09.01.2008 1,38MB
Viewpoint Media Player 08.09.2007 7,30MB
Warcraft III Blizzard Entertainment 18.02.2009 606,5MB
WIDCOMM Bluetooth Software 6.0.1.4900 Broadcom Corporation 23.05.2009 40,8MB
Winamp Nullsoft, Inc 21.05.2008 27,2MB
Winamp Remote Orb Networks 21.05.2008 33,1MB
Winbond CIR Drivers Winbond Electronics 10.05.2007 2,10MB
Windows Live ID-Anmelde-Assistent Microsoft Corporation 25.06.2009 4,69MB
Windows Live Toolbar Microsoft Corporation 04.12.2007 5,67MB
Windows Mobile-Gerätecenter Microsoft Corporation 15.10.2008 27,5MB
Windows Mobile-Ressourcen Microsoft Corporation 15.10.2008 7,20MB
WinRAR Archivierer 08.09.2007 3,34MB
Xfire (remove only) 17.03.2008 10,2MB

das SUPERAntiSpyware lasse ich noch durchlaufen

Knopsbods · 16.07.2009, 09:47

so nun das log von sasw:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/16/2009 at 10:26 AM

Application Version : 4.26.1006

Core Rules Database Version : 3996
Trace Rules Database Version: 1936

Scan type : Complete Scan
Total Scan Time : 08:46:31

Memory items scanned : 658
Memory threats detected : 0
Registry items scanned : 8748
Registry threats detected : 0
File items scanned : 34331
File threats detected : 14

Adware.Tracking Cookie
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@toplist[2].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@atwola[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@serving-sys[2].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@adtech[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@www.googleadservices[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@de.at.atwola[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@doubleclick[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@advertising[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@www.googleadservices[2].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@toplist[3].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@bs.serving-sys[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@tradedoubler[1].txt
C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\test@adfarm1.adition[2].txt

Adware.Vundo/Variant-MSFake
C:\PROGRAM FILES\NAVILOG1\REG.EXE

wärend des durchlaufend hat mein antivir angeschlagen und folgendesgebracht:

In der Datei 'C:\Windows\winsxs\x86_microsoft-windows-advapi32_31bf3856ad364e35_6.0.6002.16497_none_e4d4b12683ea737d\advapi32.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/DNSChanger.G' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

also langsam verzweifle ich...

xXxSandroxXx · 16.07.2009, 11:50

schau mal in meinen Thread nach. Habe eine Anleitung zur behebung des Trojaners erstellt.

Knopsbods · 16.07.2009, 13:02

hatte ich auch gemacht bevor ich mich hier gemeldet habe. dies hat leider nix genützt. habe dann erfahren das es ein fehler war von avira. also habe ich ihn ignoriert und die sachen durchlaufen lassen die mir "nochdigger" gegeben hat.
trotzdem danke schön

mfg Knopsbods

Knopsbods · 16.07.2009, 13:06

im übrigen habe ich antivir nochmal in der datei suchen lassen, wo er mir das letztemal einen gezeigt hat (C:\Windows\winsxs\x86_microsoft-windows-advapi32_31bf3856ad364e35_6.0.6002.16497_none_e4d4 b12683ea737d\advapi32.dll)
hat mir nix mehr anzeigt. wie schon gesagt, die meldung kam als ich Super*Antispyware durchgelaufen ist. vielleicht nur eine nebenwirkung.

mfg Knopsbods

Cpt.Bizeps · 16.07.2009, 15:16

Hallo
Ich habe das selbe Problem. Antivir meldet bei Speistart ( Americas Army ) den
TR/Crypt.ZPACK.Gen. Ich hab mal nacheschaut. Das ist ne Punkbuster exe.

Hier mein Hijack this log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:06, on 16.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: CaptureSaver - {5148AB7D-8868-4490-B6DA-F98368488582} - C:\Programme\CaptureSaver\CaptureSaverIE.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to CaptureSaver - C:\Programme\CaptureSaver\\AddFromIE.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: CaptureSaver - {3BD9DD3E-F9B6-45b9-9ED3-5E1980C2686F} - C:\Programme\CaptureSaver\CaptureSaverIE.dll
O9 - Extra 'Tools' menuitem: CaptureSaver - {3BD9DD3E-F9B6-45b9-9ED3-5E1980C2686F} - C:\Programme\CaptureSaver\CaptureSaverIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCDAD128-2C15-4B6F-9C17-FF454266DF5A}: NameServer = 213.191.74.18 62.109.123.196
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/ADMINI~1/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 5590 bytes

Und hier der von Virus Total:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.16 -
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.215 2009.07.16 -
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.16 -
AVG 8.5.0.387 2009.07.16 -
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.16 -
ClamAV 0.94.1 2009.07.16 -
Comodo 1670 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.16 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.16 -
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.16 -
Ikarus T3.1.1.64.0 2009.07.16 -
Jiangmin 11.0.800 2009.07.16 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.16 -
Microsoft 1.4803 2009.07.16 -
NOD32 4250 2009.07.16 -
Norman 6.01.09 2009.07.16 -
nProtect 2009.1.8.0 2009.07.16 -
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.34.00 2009.07.16 -
Sophos 4.43.0 2009.07.16 -
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.16 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.16.1839 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.16 -
weitere Informationen
File size: 189392 bytes
MD5...: bb67daf467df597a7df6f5ae67174ea4
SHA1..: a3d17c937964a99921acf1f135b645f663d08665
SHA256: cd7c3bf1e73c37d50e8f680ce22ea115a5e836a5ed03ed452258222dc1053616
ssdeep: 3072:wsudzFf6Ckz2pr2OThGvlRtuCP6nvmJMYW3wWsVv8:wFfRM2l7Te6CP6nvI
MYpWuv8
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xeb4c
timedatestamp.....: 0x49d3c6f4 (Wed Apr 01 19:56:36 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15b72 0x16000 6.74 af11f61b34719992d89f811b3d1a45dc
.rdata 0x17000 0x2aec 0x3000 4.94 5e64265f44ae43ee331313a3c39a13e9
.data 0x1a000 0x12e96 0x12e96 4.39 f88669420480845ddecbfb78ff3f622a

( 7 imports )
> KERNEL32.dll: FileTimeToLocalFileTime, SystemTimeToFileTime, GetFileAttributesA, SetFileAttributesA, lstrcmpA, lstrcpyW, FileTimeToSystemTime, MultiByteToWideChar, FormatMessageA, lstrlenA, LocalAlloc, LocalFree, LoadLibraryA, GetProcAddress, DeviceIoControl, GetPriorityClass, GetCurrentThread, GetThreadPriority, CloseHandle, CreateFileA, SetEnvironmentVariableA, CompareStringW, CompareStringA, HeapSize, SetEndOfFile, SetStdHandle, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, InitializeCriticalSection, VirtualProtect, GetOEMCP, GetACP, GetTickCount, GetSystemDirectoryA, CopyFileA, Sleep, GetVersionExA, GetSystemInfo, GetCurrentProcess, GetLastError, FreeLibrary, GetCurrentProcessId, ExitProcess, HeapAlloc, HeapFree, RtlUnwind, DeleteFileA, GetSystemTimeAsFileTime, WideCharToMultiByte, GetModuleHandleA, GetCommandLineA, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, QueryPerformanceCounter, GetModuleFileNameA, LCMapStringA, LCMapStringW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, ReadFile, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, SetFilePointer, InterlockedExchange, VirtualQuery, WriteFile, FlushFileBuffers, GetTimeZoneInformation, TerminateProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetStringTypeA, GetStringTypeW, GetCPInfo, GetLocaleInfoA, CreateDirectoryA
> USER32.dll: wsprintfA
> ADVAPI32.dll: OpenServiceA, RegQueryValueExA, RegOpenKeyExA, DeleteService, ControlService, CloseServiceHandle, OpenSCManagerA, StartServiceA, CreateServiceA, SetServiceStatus, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHELL32.dll: SHGetFolderPathA
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -
> WINTRUST.dll: WinVerifyTrust
> CRYPT32.dll: CryptDecodeObject, CertFreeCertificateContext, CryptMsgClose, CertCloseStore, CertVerifyTimeValidity, CertFindCertificateInStore, CryptMsgGetParam, CryptQueryObject, CertGetNameStringA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

Ich hoffe jemand kann ir helfen.
Danke im Voraus
-

Knopsbods · 16.07.2009, 19:46

hy, also ich habe es so gemacht. ich habe bei der meldung die kam, auf ignorieren gedrückt. habe mein punkbuster und appdata/lokal/punkbuster alles gelöscht und mit einer neuen exe von punkbuster alles neuinstalliert. und seit dem nix mehr, habe natürlich noch die programme durchlaufen lassen, die mir "nochdigger" gesagt hat.um sicher zugehen...
mfg Knopsbods

TR/Crypt.ZPACK.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen