|
Log-Analyse und Auswertung: WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.11.2009, 20:27 | #1 |
| WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden Hallo, bin durch einen Facebook-Link auf eine Seite gekommen - daraufhin öffnete sich Antivir und verkündete mit den Fund von Koobface. Ich habe als Option "löschen" ausgewählt und auf der Website keinerlei weitere Eingaben getätigt. Vor einigen Wochen habe ich mir auch noch TR/Crypt.XPACK.Gen eingefangen und ebenfalls mit Antivir gelöscht. Die Antivir Meldungen 1. In der Datei 'C:\Windows\Temp\TMP0000000B0F5B3DC3E0BF17F5' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Datei löschen 2.In der Datei 'C:\Users\meinUser\AppData\Local\Mozilla\Firefox\Profiles\d6r4nmu3.default\Cache\FAFBD738d01' wurde ein Virus oder unerwünschtes Programm 'WORM/Koobface.csa' [worm] gefunden. Ausgeführte Aktion: Datei löschen Mein System: Win 7, Antivir, Firefox -> alles up2date CCleaner wurde ausgeführt, Antimalware hat keinen Befund gebracht, nachfolgend noch der HijackThis Log. Wäre nett, wenn da nochmal jemand rüber schauen könnte. Vielen Dank für die Hilfe ! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:07:51, on 30.11.2009 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Windows\system32\notepad.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [Remote Control Editor] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: CCC.lnk = ? O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe -- End of file - 4401 bytes |
07.12.2009, 15:43 | #2 | |
/// Helfer-Team | WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden Hallo und Herzlich Willkommen!
__________________- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: **Vista und Win7 User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 2. Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern) - (ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben 3. Ich würde gerne noch all deine installierten Programme sehen: Ccleaner starten→ klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
Coverflow |
07.12.2009, 21:34 | #3 |
| WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden Hallo,
__________________vielen Dank für die Antwort! 1. nichts gefunden, Log: Code:
ATTFilter -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0: scan report Monday, December 7, 2009 Operating system: Microsoft Home Edition (build 7600) Kaspersky Online Scanner version: 7.0.26.13 Last database update: Monday, December 07, 2009 16:55:42 Records in database: 3340390 -------------------------------------------------------------------------------- Scan settings: scan using the following database: extended Scan archives: yes Scan e-mail databases: yes Scan area - My Computer: C:\ D:\ E:\ Scan statistics: Objects scanned: 87274 Threats found: 0 Infected objects found: 0 Suspicious objects found: 0 Scan duration: 01:52:48 No threats found. Scanned area is clean. Selected area has been scanned. 2. ebenfalls ohne Befund, habe leider nach dem Scan keine Möglichkeit gefunden, einen Log zu erstellen?! 3. Code:
ATTFilter 7-Zip 4.65 23.11.2009 Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 21.11.2009 10.0.32.18 Adobe Flash Player 10 Plugin Adobe Systems Incorporated 22.11.2009 10.0.32.18 Adobe Reader 9.2 - Deutsch Adobe Systems Incorporated 23.11.2009 238,9MB 9.2.0 AMP WinOFF 22.11.2009 Areca 24.11.2009 ATI Catalyst Install Manager ATI Technologies, Inc. 22.11.2009 13,4MB 3.0.604.0 Avira AntiVir Personal - Free Antivirus Avira GmbH 22.11.2009 CCleaner Piriform 25.11.2009 CDBurnerXP CDBurnerXP 05.12.2009 4.2.7.1801 Cinergy T USB XXS V2.03.03.29 24.11.2009 2.03.03.29 HijackThis 2.0.2 TrendMicro 29.11.2009 2.0.2 ICQ6.5 ICQ 22.11.2009 6.5 Java(TM) 6 Update 17 Sun Microsystems, Inc. 24.11.2009 97,7MB 6.0.170 JDownloader AppWork UG (haftungsbeschränkt) 23.11.2009 0.89 Malwarebytes' Anti-Malware Malwarebytes Corporation 29.11.2009 Messenger Plus! Live Patchou 22.11.2009 4.83.0.372 Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 23.11.2009 0,25MB 8.0.50727.4053 Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 24.11.2009 0,34MB 8.0.59193 Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 23.11.2009 0,20MB 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 21.11.2009 0,58MB 9.0.30729 Mozilla Firefox (3.5.5) Mozilla 22.11.2009 3.5.5 (de) Mozilla Thunderbird (2.0.0.23) Mozilla 22.11.2009 2.0.0.23 (de) MSXML 4.0 SP2 (KB954430) Microsoft Corporation 24.11.2009 35,00KB 4.20.9870.0 MSXML 4.0 SP2 (KB973688) Microsoft Corporation 24.11.2009 1,33MB 4.20.9876.0 Nokia Connectivity Cable Driver 02.12.2009 6.80.5.1 OpenOffice.org 3.1 OpenOffice.org 23.11.2009 364,8MB 3.1.9420 Panda ActiveScan 2.0 Panda Security 29.11.2009 3,91MB 01.03.04.0001 Realtek High Definition Audio Driver Realtek Semiconductor Corp. 24.11.2009 6.0.1.5983 Siedler3 25.11.2009 SpeedFan (remove only) 27.11.2009 Synaptics Pointing Device Driver Synaptics Incorporated 21.11.2009 14.0.3.0 TerraTec Home Cinema 24.11.2009 6.11.5 TV-Browser 2.7.4 25.11.2009 2.7.4 ViceVersa Free 1.0.4 TGRMN Software 24.11.2009 1 VLC media player 1.0.3 VideoLAN Team 22.11.2009 1.0.3 Winamp Nullsoft, Inc 02.12.2009 5.56 Windows Live Anmelde-Assistent Microsoft Corporation 22.11.2009 1,94MB 5.000.818.5 Windows Live Essentials Microsoft Corporation 22.11.2009 14.0.8089.0726 Windows Live-Uploadtool Microsoft Corporation 22.11.2009 0,22MB 14.0.8014.1029 Also nochmals danke! Gruß |
08.12.2009, 10:25 | #4 |
/// Helfer-Team | WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden hi es sieht gut aus 1. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar. c:\windows\temp - anschließend den Papierkorb leeren 2. reinige dein System mit Ccleaner:
3.
** Hast du jetzt noch irgendwelche Probleme? |
Themen zu WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden |
adobe, antivir, antivir guard, avg, avira, bho, c:\windows\temp, desktop, explorer, firefox, hijack, hijackthis, home, icq, internet, internet explorer, löschen, malwarebytes, malwarebytes' anti-malware, microsoft, object, plug-in, realtek, remote control, software, system, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen', tr/crypt.xpack.gen' [trojan], windows, windows\temp |