| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AIWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.01.2011, 22:28
| #1 |
 |  TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI Hallo und schon mal im Vorab vielen Dank für eure Hilfe. Die genannten Viren wurden heute beim Suchlauf von Antivir gemeldet. TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI Code:
ATTFilter In der Datei 'C:\System Volume Information\_restore{2F1DED08-A174-4643-ACA0-6FB86C5B9394}\RP1084\A0154196.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Die Datei 'C:\Dokumente und Einstellungen\musterfrau\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25\44b0f759-5b8d1f63'
enthielt einen Virus oder unerwünschtes Programm 'JAVA/OpenConnect.AI' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ignoriert.
In der Datei 'C:\System Volume Information\_restore{2F1DED08-A174-4643-ACA0-6FB86C5B9394}\RP1083\A0154123.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Spyeye.H.36' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Ich habe Malwarebytes laufen lassen und folgendes Log erhalten: Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Datenbank Version: 5570
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
22.01.2011 19:02:31
mbam-log-2011-01-22 (19-02-22).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163435
Laufzeit: 10 Minute(n), 32 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\portwexexe.exe (Trojan.SpyEyes) -> Value: portwexexe.exe -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
c:\portwexexe (Trojan.SpyEyes) -> No action taken.
Infizierte Dateien:
c:\portwexexe\config.bin (Trojan.SpyEyes) -> No action taken.
Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-22 22:11:26
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_MP0804H rev.UE100-11
Running: 1tzy49cr.exe; Driver: C:\DOKUME~1\mustermann\LOKALE~1\Temp\uxtdqpoc.sys
---- System - GMER 1.0.15 ----
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwClose [0xF867C818]
SSDT F8DE61DE ZwCreateKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xF8670A20]
SSDT F8DE61D4 ZwCreateThread
SSDT F8DE61E3 ZwDeleteKey
SSDT F8DE61ED ZwDeleteValueKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF86712A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF867C910]
SSDT F8DE61F2 ZwLoadKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwOpenKey [0xF867C794]
SSDT F8DE61C0 ZwOpenProcess
SSDT F8DE61C5 ZwOpenThread
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryKey [0xF86712C8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwQueryValueKey [0xF867C866]
SSDT F8DE61FC ZwReplaceKey
SSDT F8DE61F7 ZwRestoreKey
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xF867C0B0]
SSDT F8DE61E8 ZwSetValueKey
SSDT F8DE61CF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 428 804E2A94 4 Bytes CALL 904708FA
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Mozilla Firefox\firefox.exe[3324] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 82E968E0
Device \FileSystem\Fastfat \FatCdrom 82C27D88
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Mausklassentreiber/Microsoft Corporation)
Device \Driver\Cdrom \Device\CdRom0 82BED9A0
Device \FileSystem\Rdbss \Device\FsWrap 828E9798
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82C28C68
Device \Driver\atapi \Device\Ide\IdePort0 82C28C68
Device \Driver\atapi \Device\Ide\IdePort1 82C28C68
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 82C28C68
Device \Driver\Cdrom \Device\CdRom1 82BED9A0
Device \FileSystem\Srv \Device\LanmanServer 8295CEA8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82A148F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 82A148F8
Device \FileSystem\Npfs \Device\NamedPipe 829BF938
Device \FileSystem\Msfs \Device\Mailslot 82C00968
Device \Driver\d347prt \Device\Scsi\d347prt1Port2Path0Target0Lun0 828E7750
Device \Driver\d347prt \Device\Scsi\d347prt1 828E7750
Device \FileSystem\Fastfat \Fat 82C27D88
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82C02968
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82C02968
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82C02968
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82C02968
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82C02968
Device \FileSystem\Cdfs \Cdfs 82B8A8C8
---- Modules - GMER 1.0.15 ----
Module _________ F85DA000-F85F2000 (98304 bytes)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SOFTWARE\Classes\CLSID\{25A785AE-3892-CA84-EA9A006458EDF41F}\{C494D2DB-9D8B-1943-CDB4B7EB0238E0C7}\{76739E62-5E8B-35F4-1BE90E5C477012C5}
Reg HKLM\SOFTWARE\Classes\CLSID\{25A785AE-3892-CA84-EA9A006458EDF41F}\{C494D2DB-9D8B-1943-CDB4B7EB0238E0C7}\{76739E62-5E8B-35F4-1BE90E5C477012C5}@AM6FPN5EWURMVLO6FVTISKWF1F1 0x01 0x00 0x01 0x00 ...
Reg HKLM\SOFTWARE\Classes\CLSID\{B2D6F484-260A-7B5D-9DECE03114A71318}\{16279713-416B-AABF-512733F99CDDA7F7}\{FB965560-4DCA-8EF0-2DC335C1EACB0D08}
Reg HKLM\SOFTWARE\Classes\CLSID\{B2D6F484-260A-7B5D-9DECE03114A71318}\{16279713-416B-AABF-512733F99CDDA7F7}\{FB965560-4DCA-8EF0-2DC335C1EACB0D08}@AM6FPN5EWURMVLO6FVTISKWF1F1 0x01 0x00 0x01 0x00 ...
---- EOF - GMER 1.0.15 ----
Danke für die Mühen. |
| Themen zu TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI |
| antivir, bios, datensicherung, e-mails, einstellungen, explorer, firefox, harddisk, java/openconnect.ai, log, malwarebytes, microsoft, mozilla, neu, ntdll.dll, portwexexe.exe, programm, programme, registry, server, software, system, system volume information, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojan, trojan.spyeyes, ups, viren, virus |
Baum-Darstellung