TR/Crypt.ZPACK.Gen und eventuell noch mehr...
 

Hallo, bin sehr froh, dass ich dieses Board entdeckt habe. Wirklich sehr hilfreich!
Habe schon mehrere Threads zu diesem Trojaner durchgearbeitet und bin zu dem Schluss gekommen, dass da nur individuelle Hilfe nützt. Mein Hauptproblem ist, dass der Trojaner und auch andere Viren (siehe Anti-Malware-Bericht) nichtnur meinen PC, sondern auch den Laptop (TR/Crypt.ZPACK.Gen ist garantiert drauf) infiziert haben und ich allles säubern muss. Da sich das Teil nur über eine meiner externen Festplatten oder den USB-Stick verbreitet haben kann, müssen wohl auch die 3 überprüft werden...
Ich habe gestern einfach mal HijackThis und Anti-Malware über den PC laufen lassen um einen Anfang zu machen. Hier sind die Berichte:

HijackThis (vor dem Malware-Scan):
Anti-Malware-Scan:
was installiert ist:

Ich hoffe mir kann jemand weiterhelfen. Vielen Dank!

Hallo und Herzlich Willkommen! :)

Falls du doch für die Systemreinigung entscheidest (ein wenig umständig, dauert lang und garantiert keinen Erfolg!)

Das heißt, solltest die zwei Computer bzw PC + Laptop, voneinander trennen, unabhängig prüfen und säubern lassen. Die gepostete Ergebnisse stammen hier v. dein PC oder Laptop?

Gruß
Coverflow

Hi, die Logs gehören zu meinen normalen PC, wobei dazu zu sagen ist, dass der Rechner nurnoch bis Januar benutzt wird und ich den daher nicht unbedingt aufwendig säubern muss.
Den Laptop würde ich nur sehr ungern neu einrichten, da es ein Dell ist und das dann bedingt durch das Windows XP nur über den erweiterten Kundenservice laufen würde. (da XP auch schon 2007 nichtmehr mit einem Laptop ausgeliefert werden durfte usw...) Außerdem sind dort Programme installiert, die ich zum täglichen arbeiten benötige. Dort ist allerdings sicher der im Titel genannte Trojaner drauf.
Meine beiden externen Festplatten sind leider auch voll mit Daten, die ich nur sehr zeitaufwendig rekonstruierbar wären. (Weiß hier auch garnicht, ob es bei externen Festplatten besonderheiten für die Säuberung gibt.)

also kurz und bündig:
1. Desktop-PC ist relativ egal, solange ein wissendes Auge mir zumindest bestätigen kann, dass in den nächsten 3 Monaten keine kritischen Probleme auftreten werden.

2. Laptop und 2 externe Festplatten würde ich gerne säubern, wenn sich jemand bereit erklären würde mir zur Seite zu stehen.

Vielen Dank
jazzgun

Habe dann schonmal HijackThis über den Laptop laufen lassen (nur den Scan):
mfg jazzgun

zu 1.

bestätigen kann dir das niemand. du hast u torrent installiert, kann natürlich gut sein das du was gezogen hast was du besser gelassen hättest

geholfen werden kann dir hier natürlich, aber wie coverflow schon sagt, einen erfolg kann niemand garantieren.

Ich persönlich würde bei hartnäckiger malware immer das sytem neu aufsetzen. das kostet zeit, aber in der zeit zwischen gestern und heute hättest du schon ein neues system:kloppen:

hast du kein image und backup?

hi ChaosPC,
also der Desktop-PC ist nicht wirklich wichtig (keine wichtigen Daten oder sonst was drauf)... der soll halt nurnoch bis Januar laufen und wird dann verschrottet. (nach immerhin 5,5 Jahren) Da ist mir das zusammensuchen der Software und einrichten/updaten von Windows für nen bisschen surfen im Netz etc. einfach zu aufwendig.

Mein Hauptproblem ist eben der Laptop, den ich selber einfach nicht neu machen kann dank der Microsoft Firmenpolitik...

hi

na Ok, dann fangen wir an:

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft![/b]
• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** kannst Du die Logs bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

6.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

gruß
Coverflow
ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!

Hallo, vielen Dank für die ausführliche Anleitung.
Leider ist direkt zu Anfang ein Problem aufgetreten... ich kann "alle Dateien und Ordner anzeigen" nicht anwählen: kann den Punkt im entsprechenden Menu setzen und "übernehmen", aber es ändert sich nichts und wenn ich das Menu wieder aufrufe ist die Einstellung auch wieder zurückgesetzt.

ein weiteres Detail, das heute aufgetreten ist: wenn ich auf die Festplatte per "Windows Arbeitsplatz" zugreifen will, werde ich gefragt mit welchem Programm ich die Datei öffnen möchte. Über der Windows Explorer kann ich allerdings ganz normal auf die Festplatte zugreifen. (bevor sich der Arbeitsplatz überhaupt öffnet kommt auch die Antivir Meldung über den Trojaner)

mfg jazzgun

mache bitte einfach mal mit Punkt 2. weiter

Hallo, bin leider etwas im Stress, werde die Liste wohl erst morgen abarbeiten können... hier ist schonmal der Anfang:

zu 2.

3. passte nichtmehr ins post:

zu 4. hätte ich die Frage, wie ich Antivir ganz beenden kann... reicht AVguard deaktivieren?

mfg jazzgun

hi

1.
**Spybot Tea Timer bitte abstellen! Falls "Tea Timer" auch aktiviert:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit.

2.
Diese Dateinamen haben einige interessante Besonderheiten, lassen wir mal prüfen:

→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
→ Tipps für die Suche nach Dateien
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1)
► Beispiel - das zu postende Logfile von Virustotal soll so wie hier aussehen Also nicht auslassen, sondern wie Du es bekommst da reinkopieren!:

zu 4.

weiter komme ich jetzt leider nicht...

zu 5. Gmer Scan:

hi

kommt noch was von dir?

Hallo, tut mir leid aber ich bin wegen Semesterstart/neuer Job sehr eingebunden... wollte jetzt alles durch Virustotal jagen, was du mir geraten hast... allerdings habe ich direkt das Problem, dass ich den Pfad aus 6. nicht in das Feld zum Dateiupload kopieren kann, sondern mich durch die Ordner klicken soll... allerdings finde ich die Datei so nicht. (Windowssuche habe ich angewendet und kann auch dort weder die Datei noch eine der ersten 5 aus deinem späteren Post finden)
Kann es damit zusammenhängen, dass ich die versteckten Datein nicht anzeigen lassen kann?
Hat da vielleicht jamand mal nen Tipp, was ich falsch mache?... :confused:

Danke jazzgun

damit Du reinkopieren kannst:

Danke, dann mal die Scans:

und nochmehr:

und nochmehr 2:

und nochmehr 3:
das war dann alles... hoffe es ist so ok...
mfg jazzgun

hi

Tut mir leid für jede nicht so erfreuliche Diagnose und Empfehlungen:
Da Dein System ist "tief" kompromittiert, d.h. keine einzigen Komponente davon ist mehr Vertrauenswürdig, komplettes löschen und neu installieren ist der *einzige* Ratschlag, der dir ernsthaft gegeben werden kann.
Also empfehle ich Dir sofort dementsprechend die geeigneten Maßnahmen zu ergreifen:
- Dein System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen
- Alle Datenträger neu formatieren und sämtliche Software von den Originaldatenträgern neu einzuspielen
- Daten sichern: Möglichst nicht solche Daten sichern, die ausführbare Dateien beinhalten können - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern oder sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen.
- Anleitung: Neuaufsetzen des Systems + Absicherung
- SETI@home -
[Sicherheit] Sicherheitskonzept
- Lesestoff: Trojanische Pferde

gruß
Cf

boah, alter schalter, ganz schön verseucht:killpc:

Hi, vielen Dank für die Mühe... habe mal echt garkeinen Schimmer wo der ganze kram herkommt... naja werde mich dann mal mit Dell rumschlagen um Windows irgendwie neu aufspielen zu können...

habter vielelicht noch 1-2 Tipps für Sicherheitsprogramme, die ich dann nach dem neumachen installieren sollte? hatte bisher nur Spybot und Antivir drauf...

mfg jazzgun

hi

Spybot, Antivir und 1 Firewall reichen sehr gut aus:)
Die beste Free AntiViren Software ist: ein selbstbewusster Computer-Anwender!
"Erfolg beginnt zuerst im Kopf" - Erst denken, dann klicken!
Erstmal Antivirenprogramme schützen dich vor Schädlingen, aber nicht vor Dir selbst. **Wenn die heruntergeladene Datei oder Programm ursprunglich selbst infiziert oder man mit Trojanern verseuchte E-Mails öffnet, Verseuchte USB-Geräte und Speicherkarten von ein Guter Freund nutzt, auf "unsicheren" Seiten surft (z.B Warez), nutzt P2P / Tauschbörsen, wer sich Cracks runterläd und diese nutzt...
es gibt kein Antivirenprogramm und/oder Sicherheitstool der Welt, die Dir Schutz bieten bzw das Eindringen von Trojanern zu verhindern kann!:o
Solltest du vielleicht mal über deine Ohren nachdenken bzw dich zu erinnern, wie hast Du die Schädling auf deinem PC geholt hast?!

Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 2-3 Monate ändern)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home -
  [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com
• 
  `Die sieben Todsünden beim Surfen` - von Tobias Weidemann/pcwelt.de
  

wünsch Dir alles Gute:)

Hallo,
vielen Dank für die ausführliche Antwort!
Werde mir dein Ratschläge zu Herzen nehmen.

mir stellt sich dann nurnoch die Frage, ob es im Moment eine nützliche Firewall gibt, die eventuell auch als Freeware erhältlich ist (armer Student usw...^^).

mfg jazzgun

hi

*hier klicken*
aber Windows XP sowie Windows Vista haben eine eingebaute Firewall...würd schon ausreichen;)
- da der Angreifer kann sich jeder Zeit erhöhte Rechte verschaffen, Antiviren-, Firewall- und andere Schutzprogramme einfach abschalten...Je mehr verschiedene Programme man als Nutzer installiert um so mehr muss man sich mit Probleme begeben. Ausserdem heutige Anwendungen sind so komplex, dass nicht mehr garantiert werden kann, dass sie fehlerfrei sind. Man geht in der Regel sogar davon aus, dass zahlreiche Fehler enthalten sind. Also darunter eine spezielle Mauer, `Firewall` auch!
Generell ist je weniger offene Ports, ist ein System um so sicherer.
http://www.world-of-smilies.com/wos_computer/254.gif
"in diesem Sinne"... ist die Auswahl offen
immer brav aufpassen ist besser!

gruß
Cf