Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Crypt.XPACK.gen und Rbot50176.5 auf meinem Rechner (https://www.trojaner-board.de/37084-crypt-xpack-gen-rbot50176-5-meinem-rechner.html)

estpit 15.03.2007 10:18
Crypt.XPACK.gen und Rbot50176.5 auf meinem Rechner
 
Hallo zusammen,

Antivir meldet mir immer wieder neue Viren und ich stelle diese dann in Quarantäneoder lösche sie, habe aber das Gefühl das diese nie richtig gelöscht sind.
Es werden automatisch immer wieder Dienste beendet oder der Rechner wird runter gefahren.
Was kann ich tun? Bitte leicht verständlich schreiben, da ich am PC nicht so bewandert bin.

Folgende Viren wurden Heute gefunden:
Crypt.XPACK.gen
Rbot50176.5

Schon einmal vielen vielen Dank für eure Hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 10:09:44, on 15.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Pitti und Estefan\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{223B008B-B3B4-4453-99A3-42CF5DFF8E55}: NameServer = 13.191.74.18
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8E93275-D2DC-48C2-82C1-702A0977B65E}: NameServer = 213.0.184.85 213.0.184.88
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Franz1968 15.03.2007 10:38
Hallo,
Rbot klingt nicht gut. Um Näheres sagen zu können, wären genaue Pfadangaben wichtig. Sieh bitte im AntiVir-Log nach und melde dich wieder hier.

estpit 15.03.2007 12:25
Danke erstmal, reicht dies:

In der Datei 'C:\WINDOWS\system32\.exe'
wurde ein Virus oder unerwünschtes Programm 'Worm/Rbot.50176.5' [WORM/Rbot.50176.5] gefunden.

??

Franz1968 15.03.2007 12:30
Das ist das, was ich meinte. Dann poste bitte ein HijackThis-Logfile. Wie das geht, erfährst du hier in den FAQ.

estpit 15.03.2007 13:10
Danke Franz, hier ein aktueller Logfile, alles richtig?

Logfile of HijackThis v1.99.1
Scan saved at 13:08:06, on 15.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Pitti und Estefan\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [OSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{223B008B-B3B4-4453-99A3-42CF5DFF8E55}: NameServer = 13.191.74.18
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8E93275-D2DC-48C2-82C1-702A0977B65E}: NameServer = 213.0.184.85 213.0.184.88
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DCS Loader (DCSLoader) - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHALDCS.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

felix1 15.03.2007 13:48
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 10:09:44, on 15.03.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Als allererstes solltest du mal dein System updaten!! Installiere dir SP2!! Kein Wunder das du Probleme hast!

Gruss:teufel2:

felix1 15.03.2007 13:55
Zitat:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
Das solltest du mal fixen.

Franz1968 15.03.2007 14:02
Zitat:
Danke Franz, hier ein aktueller Logfile, alles richtig?
Öhm...jein. :o Du hast alles richtig gemacht - ich habe verschlafen, dass du bereits ein Logfile gepostet hattest. Das zweite wäre natürlich unnötig gewesen. Tut mir leid!
Davon abgesehen, tappe ich ein wenig im Dunkeln. Dein Logfile ist unauffällig; ich sehe nichts, was auf eine Rbot-Variante hindeutet. Versuche zunächst bitte Folgendes:
Gib in das Eingabefeld, das du oben rechts auf Virustotal findest, den folgenden Pfad ein:
Zitat:
C:\WINDOWS\system32\.exe
klicke "Send", warte das Scan-Ergebnis ab und poste es hier. Außerdem scanne deinen Rechner bitte mit Blacklight (über F-Secure zu beziehen). Poste auch das Ergebnis hier.
Noch eine Frage: Diesem Eintrag zufolge
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8E93275-D2DC-48C2-82C1-702A0977B65E}: NameServer = 213.0.184.85 213.0.184.88
bist du in Spanien. Ist das richtig?

estpit 15.03.2007 14:25
Ich habe gerade mit Virustotal gescannt wie du geschrieben hast, Ergebnis:

0 bytes size received / Se ha recibido un archivo vacio

Ich lebe in Spanien, ja!

Jetzt lade ich mir gerade (analog) Blacklight herunter und werde das Ergebnis dann sofort posten.

SP 2 werde ich auch noch runterladen,wird aber Stunden dauern.

estpit 15.03.2007 14:45
Blacklight hat nichts gefunden:

03/15/07 14:33:49 [Info]: BlackLight Engine 1.0.55 initialized
03/15/07 14:33:49 [Info]: OS: 5.1 build 2600 (Service Pack 1)
03/15/07 14:33:50 [Note]: 7019 4
03/15/07 14:33:50 [Note]: 7005 0
03/15/07 14:33:57 [Note]: 7006 0
03/15/07 14:33:57 [Note]: 7011 204
03/15/07 14:33:57 [Note]: 7026 0
03/15/07 14:33:57 [Note]: 7026 0
03/15/07 14:34:05 [Note]: FSRAW library version 1.7.1021
03/15/07 14:34:14 [Note]: 4013 56030
03/15/07 14:34:14 [Note]: 4020 18544 458752
03/15/07 14:34:14 [Note]: 4018 18544 458752
03/15/07 14:34:14 [Note]: 4020 18544 458752
03/15/07 14:34:14 [Note]: 4018 18544 458752
03/15/07 14:34:14 [Note]: 4020 18544 458752
03/15/07 14:34:14 [Note]: 4018 18544 458752
03/15/07 14:36:53 [Note]: 7007 0

Eben wurde von AntiVir schon wieder XPACK.gen gefunden und ausserdem wurde der Generic Host Process automatisch beendet.

Franz1968 15.03.2007 15:11
Zitat:
Zitat von estpit (Beitrag 258713)
0 bytes size received / Se ha recibido un archivo vacio
Also eine leere Datei? Ist sie denn im Explorer sichtbar? Wenn ja, dann versuche bitte, sie umzubenennen, meinetwegen nach "unbekannt.exe", und kopiere dann bei Virustotal den Pfad
"C:\WINDOWS\system32\unbekannt.exe"
in das Abfragefeld (natürlich ohne Anführungszeichen).

estpit 15.03.2007 18:47
Ich kann sie im Explorer nicht finden! Was sollich machen,wenn der AntiVir-Guard wieder was findet, löschen oder Quarantäne?

Berferd 15.03.2007 19:00
Hallo,

mache folgendes:
Start->Ausführen->cmd
und führe dort folgende Befehle der reihe nach aus:
1. cd\
2. cd windows\system32
3. attrib -h -r -s -a .exe
4. dir .exe

poste nun das Ergebnis

Gruß
Oskar

estpit 15.03.2007 19:31
Das habe ich jetzt auch gemacht, hier das Ergebnis:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Pitti und Estefan>cd\

C:\>cd windows\system32

C:\WINDOWS\system32>attrib -h -r -s -a .exe
Datei .exe nicht gefunden

C:\WINDOWS\system32>dir .exe
Datenträger in Laufwerk C: ist BOOT
Volumeseriennummer: 2C0C-6DBB

Verzeichnis von C:\WINDOWS\system32

Datei nicht gefunden

C:\WINDOWS\system32>

Berferd 15.03.2007 19:40
Hallo,

demnach ist die Datei definitiv nicht vorhanden.
Außer blacklight hätte einen Bug, der namenlose Dateien vor dem . nicht anzeigt.
Ich vermute aber eher dein VS hat die Datei gelöscht.

Gruß
Oskar

estpit 15.03.2007 19:44
Warum bekomme ich dann immer wieder CryptXPACK.gen auf den Rechner? Der Pfad ist der gleiche!

Noch mal was ganz anderes, weiß jemand woher sich Thunderbird die Uhrzeit holt die für eingehnde Mails angezeigt wird? Die unterscheidet sich bei mir um zwei Stunden von der realen Zeit.

Franz1968 15.03.2007 22:37
Zitat:
Zitat von estpit (Beitrag 258757)
Warum bekomme ich dann immer wieder CryptXPACK.gen auf den Rechner? Der Pfad ist der gleiche!
Weil du irgend etwas Trojaner-artiges, Verschlüsseltes auf dem Rechner hast. Um dich nicht misszuverstehen: "Crypt.XPACK.gen" findet AntiVir ebenfalls in der ominösen, nicht aufzufindenden .exe?
Als vorläufig letzte Idee schlage ich dir einen eScan vor. Er ist zeitaufwändig; bitte beachte darum die Anleitung, die du hier in den FAQ findest, genau.

Berferd 15.03.2007 22:47
Hallo,

gehe auf Start->Ausführen->cmd

Führe dort folgende Befehle aus (Achtung, wenn eine Zeile bestätigt wird kann sie nicht mehr einfach korrigiert werden):

cd\
copy con del.bat
@echo off
cd\ >Nul
cd windows\system32 >Nul
attrib -h -r -s -a .exe >Nul
if not exist c:\windows\system32\.exe goto LOG
echo "Datei exstiert" >>c:\log.txt
del .exe
echo "Datei geloescht" >>c:\log.txt
GOTO END
:LOG
echo "Datei existiert nicht" >>c:\log.txt
:END

und jetzt mit "Strg+Z" abschließen

Ok, nun regedit ausführen, und unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Einen neuen Schlüssel system erstellen (wenn nicht schon vorhanden) und als Wert c:\del.bat eingeben

führe jetzt einen Neustart aus und poste die logdatei c:\log.txt

Gruß
Oskar

estpit 16.03.2007 08:36
Danke erst noch einmal für eure Hilfe!

eScan werde ich mir heute am abend runterladen,da sonst meine analoge Leitung stundenlang blockiert ist!

Oscar: Kann es sein, dass in deinen angegebenen Befehlen etwas fehlt? Ich habe das Gefühl das ich das nur reinschreibe,es kommt aber keine Rückmeldung!
Eine logdatei wurde auch nicht erstellt.
????

Franz1968 16.03.2007 08:45
Oskar, nur zu meinem besseren Verständnis: Was versprichst du dir davon, eine Datei zu löschen, die offenbar im Zusammenhang mit einem Backdoor-Trojaner steht?
Estpit, mach dich bitte schon mal mit dem Gedanken vertraut, Windows neu aufzusetzen. Es ist zwar noch nicht gelungen, den Backdoor-Trojaner zu lokalisieren, aber die Symptome, die du beschrieben hast, passen imho zu "gut", als dass man einen Fehlalarm von AntiVir in Betracht ziehen könnte.
Ich erwähne das, weil ein eScan viel Zeit und Konzentration erfordert. Er kann aber dein Problem nicht lösen, sondern nur besser eingrenzen (wobei... das wäre es ja wert).

Berferd 16.03.2007 11:13
Hallo,

@Franz: Da die Datei so nicht gefunden wird, könnte es ja sein, daß sie bei winlogon gefunden wird. Aber ich merke, daß ich mit meiner Aktion den einen oder anderen user vielleicht zuviel zumute :rolleyes:


@estpit: Du solltest dich mit dem Rat von Franz, das System neu aufzusetzen anfeunden. Möglicherweise sind bei dir Kernel-Funktionen umgeleitet worden.
Für die Neuinstallation findest du hier interessante Tipps:
http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Gruß
Oskar

estpit 18.03.2007 17:19
Hallo mal wieder,
ich habe jetzt genau nach Anleitung mit eScan gescannt und es wurde auch etwas gefunden. Soll ich die Log-Datei hier posten ?? Die ist ziemlich lang!!

Berferd 18.03.2007 17:27
Hallo,

nein, das Stichwort heißt "find.bat".
Näheres kannst du hier nachlesen:
http://www.trojaner-board.de/17492-anleitung-escan-antivirus-unterstuetzt-aeltere-versionen-bis-7-x.html

Gruß
Oskar

estpit 18.03.2007 17:37
Ach soo! Danke Oskar

Also das hier:

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Mar 18 16:59:04 2007 => Version 9.1.7 (C:\DOKUME~1\PITTIU~1\LOKALE~1\Temp\mexe.com)
Sun Mar 18 13:36:44 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 13:54:15 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:51:42 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:55:50 2007 => Virus Database Date: 3/16/2007
Sun Mar 18 16:59:08 2007 => Virus Database Date: 3/16/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 18 13:55:58 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Mar 18 15:28:17 2007 => File {} infected by "Email-Worm.Win32.Zhelatin.k" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Mar 18 13:55:58 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\CurrentControlSet\Services\iprip !!!
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\ControlSet001\Services\iprip !!!
Sun Mar 18 13:55:49 2007 => Offending Key found: HKLM\System\ControlSet003\Services\iprip !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Franz1968 18.03.2007 22:25
Hallo estpit,
Zitat:
Zitat von estpit (Beitrag 259089)
~~~~ Infected files
~~~~~~~~~~~
Sun Mar 18 15:28:17 2007 => File {} infected by "Email-Worm.Win32.Zhelatin.k" Virus! Action Taken: No Action Taken.
was heißt "File {}"? Schau mal bitte im "eigentlichen" eScan-Log nach, ob du etwas darüber findest, wo die infizierte Datei ist (im \system32-Ordner?).
Das Log sollte sich hier befinden: C:\bases_x\mwav.log

ordell1234 18.03.2007 23:37
my two cents:

zu "HKLM\System\CurrentControlSet\Services\iprip" meint Sophos Backdoor

zur ".exe", falls es dich noch interessiert, könnte man es mit Darkspy oder Icesword (links siehe google) versuchen, keine Ahnung obs hinhaut (Datei lokalisieren, kopieren, umbenennen, bei Virustotal auswerten). Eine andere Möglichlichkeit wäre noch das Suchen/Scannen mittels LiveCD wie knoppix. Gruß

Achja, Anleitung zum Neuaufsetzen findest du bei den faq.

Franz1968 19.03.2007 09:50
Zitat:
Zitat von ordell1234 (Beitrag 259131)
my two cents:
zu "HKLM\System\CurrentControlSet\Services\iprip" meint Sophos Backdoor
Das sind dann wohl die 2 Cent, die den Euro voll machen. Weiter zu versuchen, die Backdoor ausfindig zu machen, hat dann keinen Sinn mehr.
In diesem Fall:
- Backdoor-Verdacht in einer nicht zu fassenden .exe-Datei
- offenbar durch eine Backdoor verursachter Registry-Eintrag
- ein weiterer Trojaner, möglicherweise in den vergangenen Tagen erst dazu gekommen
kann ich dir nur den Rat geben, dein System neu aufzusetzen. Bitte halte dich dabei an Cidres Anleitung, die, wie ordell schon gesagt hat, in den FAQ zu finden ist.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:30 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130