Trojaner-Board
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Crypt.XPACK.Gen3 (https://www.trojaner-board.de/91681-tr-crypt-xpack-gen3.html)

tekel 10.10.2010 20:44
TR/Crypt.XPACK.Gen3
 
Hallo,

ich habe ein ähnliches Problem, wie es Toppy in Ihrem Forum beschrieben hat: Avira AntiVir meldet mir den Trojaner TR/Crypt.XPACK.Gen3 in C:\WINDOWS\Temp\TMP8D.tmp; C:\WINDOWS\Temp\TMP8E.tmp; C:\WINDOWS\Temp\TMP6E.tmp; C:\WINDOWS\Temp\TMP83.tmp. Ich habe die Dateien in Quarantäne verschoben. Ein Scan mit Malwarebyte - Antimalware 1.46 (nach Deaktivierung des Wiederherstellungspunktes) lieferte keinen Virusfund. In Ihrem Forum empfehlen Sie dringend, dass ein Scan mit ComboFix nur nach Anweisung eines "Kompetenzlers" durchgeführt werden soll. Ich habe anbei die Log Files von Malwarebyte 1.46 bzw. OTL angehängt. Ich würde mich freuen, wenn Sie sich diese Files anschauen und mir raten könnten, wie ich das Virusproblem beseitigt bekomme. Im Voraus schon herzlichen Dank für Ihr Bemühen.
Tekel

cosinus 11.10.2010 11:35
Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

tekel 14.10.2010 20:31
Hallo Arne,

zunächst vielen Dank fürs Anschauen der logfiles. Ich habe heute einen weiteren Quick-scan mit Malywarebytes gemacht. Das logfile habe ich angehängt. Es wurde kein Fund festgestellt. Ich habe auch keine Funde gelöscht bzw. Dateien, die in Quarantäne verschoben wurden. Ein aktueller Scan mit Avira klappt momentan nicht, der Rechner stürzt mir nach ca. 68 % ab. Bei jedem neuen Booten des Rechners ist das anti-phishing Modul von Zone-Alarm deaktiviert. Ich habe das letzte log file von Avira vom 02.10.10 angehängt, dort hat es jeweils in .tmp-Dateien 51 Infizierungen gefunden. Diese hatte ich damals aus der Quarantäne gelöscht.

cosinus 15.10.2010 13:52
So, erstmal: Es ist ziemlich unsinnig, die Logs, als Textdatei vorliegend, in ein Worddokument zu gießen. Was ich brauch sind die reinen Textinformationen und die sind in der Original-Logdatei schon so drin wie ich sie brauche. Also lass die Logs so und speich sie nicht in ein Worddoc ab sondern poste einfach den Inhalt der Logdateien.

Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

tekel 15.10.2010 19:52
Hallo Cosinus,

anbei das neue logfile von Malwarebytes (Vollscan). Es wurden wieder keine infizierten Dateien gefunden. Ich habe auch nichts gelöscht oder es wurden Dateien in Quarantäne verschoben. die übrigen Auffälligkeiten bestehen aber nach wie vor.

cosinus 15.10.2010 20:17
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
DRV - (srescan) -- C:\WINDOWS\System32\ZoneLabs\srescan.sys File not found
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {66f2e20d-0da8-4c11-a9c8-dd8477b88acd} - C:\Programme\ZoneAlarm\tbZon1.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3357497900-2882494843-2153148228-1006\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
[2010.08.14 19:13:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
@Alternate Data Stream - 135 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 105 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:430C6D84
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

tekel 15.10.2010 20:57
Hallo Arne,

anbei das logfile von OTL. Habe den Eindruck, dass der Rechner wieder schneller läuft.

cosinus 15.10.2010 21:39
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

tekel 16.10.2010 23:39
Hallo Arne,

anbei nun das logfile von ComboFix

cosinus 17.10.2010 12:38
Code:
FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
Kaspersky Antihacker und ZoneAlarm sind ja schon allein jew. ziemlich sinnfrei, aber beide zusammen installiert und aktiv zu haben ist so das ziemlich schlechteste, was man seinem System antun kann :balla:
Ich würde beides umgehend deinstallieren und die Windows-Firewall dafür einschalten.


Wenn Du das gemacht hast bitte so fortfahren:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

tekel 18.10.2010 23:22
Hallo Arne,

ich war der Meinung, dass ich das Programm Kaspersky Antihacker längst deinstalliert hatte. Ich finde diesbezüglich keinen Hinweis, weder in der Liste installierter Programme noch wenn ich nach den entsprechenden Begriffen mit der Suchfunktion suchen lasse. Wie bekomme ich das Programm komplett deinstalliert?

cosinus 19.10.2010 08:40
Dann igonorier das, wahrscheinlich ist es ein verwaister Eintrag, der noch im Sicherheitscenter ist. Den kriegen wir aber auch weg.

Nimm statt dem o.g. einfach das Script für CF:

Code:
Seccenter::
FW: Kaspersky Anti-Hacker *enabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}

Filelook::
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe

tekel 24.10.2010 18:44
Hallo Arne,

sorry hat etwas gedauert. Anbei das log file. Bei der Ausführung wurde ich nicht aufgefordert neu zu starten, stattdessen der Hinweis Combofix läuft im reduzierten Funktionalitätsmodus.

Ich habe zwischenzeitlich auch einen Scan mit Avira und Malwarebytes durchgeführt, beide Programme ergeben keinen Fund, wobei bei Avira noch 112 Dateien in Quarantäne stehen. Was ich dabei auch nicht verstehe ist, dass ich diesmal kein log file erhalten habe, nur eine Meldung das der Scan erfolgreich war.

cosinus 24.10.2010 19:56
Zitat:
c:\windows\system32\Crypserv.exe
c:\windows\system32\Ckldrv.sys
c:\windows\Ckconfig.exe
c:\windows\Setup_ck.exe
c:\windows\Setup_ck.dll
c:\windows\Ckrfresh.exe
Bitte diese Dateien bei Virustotal auswerten lassen und von jeder den Ergebnislink posten. Falls Du die Dateien nicht siehst, musst Du sie evtl. vorher sichtbar machen.
Wenn eine Datei schon ausgewerte sein sollte, bitte eine weitere Auswertung starten.

tekel 25.10.2010 21:36
Hallo Arne,

anbei die Auswertungen von Virustotal (bin mir nicht sicher, ob es das ist, was Du meintest)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.
Seite 1 von 4 1 23 Letzte »
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131