Trojaner-Board - conhost.exe (Crypt.XPACK.Gen)

Seite 1 von 2

100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - conhost.exe (Crypt.XPACK.Gen) (https://www.trojaner-board.de/95753-conhost-exe-crypt-xpack-gen.html)

ArXs	16.02.2011 19:04

conhost.exe (Crypt.XPACK.Gen)

Hallo Trojaner-Board Team,

ich habe mir vorab bereits den Thread

http://www.trojaner-board.de/95681-b...gomeo-usw.html

durchgelesen, welcher auch die Symptome beschreibt, wie sie bei mir auch vorliegen.

Ich habe vor lauter Panik den Temp Ordner in dem sich der Trojaner befand gelöscht und das System 2 Tage zurückgesetzt.

Nachdem ich dies gemacht hatte, verschwand die conhost.exe wieder aus dem Taskmanger und erscheint auch nicht mehr. Die Internetseiten kann ich auch alle wieder besuchen, ohne das die Fehlermeldung:

Bad Request

Your browser sent a request that this server could not understand.
Request header field is missing ':' separator.

erschient.

Ich bin mir nun sehr Unsicher, ob ich den PC wieder Besorgnisslos benutzen kann.

In der Anlage habe ich alle erforderlichen Logs und Berichte angefügt.

PS auf meinem Desktop befindet sich eine txt. Datei mit diversen kompletten Angaben zu Visa und Masterkarten. Besteht Gefahr für diese Daten?

Anlage:
# Log von MBAM
# defogger_disable.log ( falls vorhanden )
# Gmer.txt ( falls vorhanden )
# OTL.txt
# Extras.txt
# avira_ergeignisse.txt

Anhang 13665

cosinus

16.02.2011 20:40

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ArXs	17.02.2011 06:21

Guten Morgen cosinus,

Danke dass du mir bei meinem Problem behilflich bist.

Nach vorheriger Aktualiseriung von Malewarebytes habe ich den Vollscan Suchlauf gestartet. Diesmal ohne weitere Funde.

Den ersten Malewarebytes Suchlauf habe ich in meiner Ausgangsnachricht gepostet.
Mehr Berichte habe ich nicht bzw. habe ich noch nie ausgeführt.

Vollständiger Suchlauf:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 5777

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

16.02.2011 23:57:28
mbam-log-2011-02-16 (23-57-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|I:\|J:\|N:\|)
Durchsuchte Objekte: 367156
Laufzeit: 1 Stunde(n), 5 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus

17.02.2011 12:24

Zitat:

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com

Erklärung für diese Einträge?
Warum werden diese Adobe Adressen auf deinem Rechner gesperrt?

ArXs	17.02.2011 12:58

Anonymität und die Sicherheit meiner Daten sind mir im Internet sehr wichtig.
Mehr dazu unter:

Adobe spioniert Nutzer aus:
hxxp://www.ratschlag24.com/index.php/adobe-spioniert-nutzer-aus-so-schuetzen-sie-sich/

Falls von Interesse, ich arbeite Hauptberuflich aus Mediengestalter.

cosinus

17.02.2011 13:24

Zitat:

Anonymität und die Sicherheit meiner Daten sind mir im Internet sehr wichtig.

Wie sinnvoll das ist, ist eine andere Frage. Wenn man Adobe nicht traut, sollte man sich überlegen, ob man wirklich noch ihre Produkte nutzen/kaufen sollte. Ich würde es definitiv nicht mehr machen wenn Anonymität eine so hohe Priorität hat :balla:

=> Adobe - Produktaktivierungszentrale : Antworten auf hufig gestellte Fragen (FAQ)

Zitat:

Ich habe gehört, dass bei der Aktivierung Daten auf der Festplatte, außerhalb des normalen Dateisystems, gespeichert werden. Ist das nicht gefährlich?

Die Aktivierungstechnologie verwendet einen stabilen und bewährten Algorithmus, um die Lizenzdaten sicher auf einen ungenutzten Bereich der Festplatte in Spur Null zu schreiben. Diese Technologie wurde in zahlreichen Softwareinstallationen auf Millionen Computern weltweit verwendet und von unabhängigen Quellen als sicher eingestuft. Sie bildet die Grundlage dafür, dass die Lizenzdaten auch dann gesichert sind, wenn das Produkt bzw. das Betriebssystem neu installiert werden muss.
In seltenen Fällen stellt der Algorithmus einen potenziellen Konflikt beim Schreiben auf Spur Null fest und verwendet dann alternativ einen dateisystembasierten Anker für die Lizenzdaten.
Nähere Informationen zum Aktivierungsvorgang finden Sie in unserem technischen White Paper zur Produktaktivierung.

cosinus

17.02.2011 13:28

Nachtrag: ich versteh aber nicht so ganz, warum du auch noch alle anderen Adressen sperrst. Wie willst du jemals Adobesoftware aktivieren, wenn du die entsprechenden Adressen auf den localhost erdest? :balla:

ArXs	17.02.2011 14:29

Habe die Einträge erst weit nach der Lizensierung angelegt.

Falls Besorgniss um illegale Software besteht kann ich dir gerne den orginalen Kaufbeleg + Rechnung bereitstellen.

Ansonsten kann ich mir die Nachfragen nicht erklären oder habe ich den roten Faden verloren und dass trägt zur Lösung des Problems bei?

cosinus

17.02.2011 14:38

Nee, ist nur eine Diskussion am Rande ;)
Natürlich werden manche illegalen Versionen auch mit diesen Hosts-Einträgen "geschützt" aber diesen Verdacht hatte ich bei dir nicht ;)

Es ging mir bei der Randdiskussion darüber, dass man a) dem Hersteller zwar überhaupt nicht über dem Weg traut aber b) unbedingt dessen Softwareprodukte verwenden will, wo dann durch Tricks Schnüffelgeschichten mehr oder weniger zuverlässig (fragwürdig?) unterbunden werden. Das ist ein wenig "wasch mich aber mach mich nicht nass" Mentalität ;)

Nur so als Anregung, ich hör jetzt auch auf, weil es natürlich nicht immer eine adäquate Alternative gibt und man mit den Unzulänglichkeiten halt eben klarkommen muss.

Ich seh mir jetzt dein Log weiter an :)

cosinus

17.02.2011 14:41

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

[2011.02.14 06:46:58 | 000,006,987 | ---- | M] () -- C:\Users\Jonas\AppData\Roaming\8E5A.32F

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{51dd6b94-f86e-11de-9ad8-00192149f3e6}\Shell - "" = AutoRun

O4 - HKLM..\Run: []  File not found

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

ArXs	17.02.2011 16:46

Alles nach deinen Ausführungen erledigt.
Nach Ende des Fixes fand ein Reboot statt.

Zitat:

All processes killed
========== OTL ==========
C:\Users\Jonas\AppData\Roaming\8E5A.32F moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{51dd6b94-f86e-11de-9ad8-00192149f3e6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51dd6b94-f86e-11de-9ad8-00192149f3e6}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Jonas
->Temp folder emptied: 700265 bytes
->Temporary Internet Files folder emptied: 122607 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 4747487 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5326 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,00 mb

OTL by OldTimer - Version 3.2.20.6 log created on 02172011_164053

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus

17.02.2011 16:55

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

cosinus

17.02.2011 16:56

Zitat:

[resethosts]

Ups, hab deine Hosts-Datei zurücksetzen lassen. Wenn du musst, stellst du die Einträge in die Hosts-Datei wieder rein. Sry fällt mir jetzt erst auf :schmoll:

ArXs	17.02.2011 17:05

Nicht so wild.
Also, noch mal zur Absicherung damit nix schief geht.
Zuerst soll ich mit den CCleaner ladern und ausführen und danach dann Combofix starten und ausführen?

cosinus

17.02.2011 17:05

Genau so ist es ;)

Alle Zeitangaben in WEZ +1. Es ist jetzt 03:22 Uhr.

Seite 1 von 2

100 Beiträge dieses Themas auf einer Seite anzeigen

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129