hallo zusammen,

heute morgen bekamm ich aus heiterem Himmes von meinem AntiVir PersonalEdition folgende Warnmeldung:C:\WINDOWS\SYSTEM32\SVKP.SYS enthält die Signatur von dem Trojanische Pferd TR/Pakes.2!.
Was ist das ???

hier mal mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:45:50, on 09.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\OO Software\Defrag Professional\oodcnt.exe
C:\WINDOWS\system32\notepad.exe
D:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nachtlager.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1091893929468
O17 - HKLM\System\CCS\Services\Tcpip\..\{17B3BA14-F4C4-4F06-86D3-5E4F2367FE7C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F204891-F892-4B8E-AB75-443EB78D7A60}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E8609D2-82BE-4FBA-84AA-C987D3B5CF67}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo,

in deinem Log-File sind keine Auffäligkeiten.

Lade und scanne deshalb mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

ok,ich bin schon dabei...melde mich gleich noch mal.

Danke

so,hab alles so gemacht wie du es beschrieben hast.
Das Logfile von Escan ist sauber,zum glück ;-)

Kann es sich da um eine Fehlmeldung von Antivir handeln ?
Ich hab ein wenig gegoogelt und es scheint so das ich nicht der einzige bin der das problem hat.
Ich hab ja auch schon heir im Forum was darüber lesen können

Sat Apr 09 10:10:12 2005 => Total Files Scanned: 3965
Sat Apr 09 10:10:12 2005 => Total Virus(es) Found: 0
Sat Apr 09 10:10:12 2005 => Total Disinfected Files: 0
Sat Apr 09 10:10:12 2005 => Total Files Renamed: 0
Sat Apr 09 10:10:12 2005 => Total Deleted Files: 0
Sat Apr 09 10:10:12 2005 => Total Errors: 5
Sat Apr 09 10:10:12 2005 => Time Elapsed: 00:03:55
Sat Apr 09 10:10:12 2005 => Virus Database Date: 2005/04/09
Sat Apr 09 10:10:12 2005 => Virus Database Count: 125240

Sat Apr 09 10:10:12 2005 => Scan Completed.

Zitat:

so,hab alles so gemacht wie du es beschrieben hast.

Nein, hast du nicht.
Du hast eScan weder im abgesicherten Modus ausgeführt noch die richtige Einstellung verwendet! Vermutlich hast du eScan auch nicht aktualisert.

Führe deshalb den Scan nochmals richtig aus.

Zitat:

Kann es sich da um eine Fehlmeldung von Antivir handeln ?

Eventuell, aber laut Google gibt es etliche Malware die diese Datei erstellt und benutzt.

Die Einstellungen bei Ecan bitte wie folgt setzen:



@ Cidre

aktualisiert hat er doch:

Zitat:

Sat Apr 09 10:10:12 2005 => Virus Database Date: 2005/04/09

Sooo bei mir hat er sehr viel gefunden, jedoch bin ich mir nicht sicher, welche dieser gefundenen (tagged) Dateien ich löschen muss/kann/darf?!? Zudem weiss ich nicht ob hier jetzt der Trojaner "TR/Pakes.2" mit dabei ist, da die Datei 'C:\WINDOWS\SYSTEM32\SVKP.SYS' auch nicht mehr vorhanden ist...

Hier nun meine mwav.log Auswertung:

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

=> File F:\System Volume Information\_restore{4C41CF52-E929-4A5C-BF3D-7970612C1913}\RP201\A0122632.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File F:\System Volume Information\_restore{4C41CF52-E929-4A5C-BF3D-7970612C1913}\RP201\A0122720.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002139.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002140.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002245.exe tagged as not-a-virus:Tool.Win32.HTPatch.c. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002249.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002250.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002252.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002254.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002264.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002266.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002267.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002316.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002325.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002345.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002346.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002348.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=>File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002418.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002419.exe tagged as not-a-virus:RiskWare.FTP.BulletProof.221. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002424.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Ich hoffe jemand kann damit was anfangen?!?

@ BuFFaLo

Poste auch mal die infected Einträge aus der mwav.log.
Die tagged Funde kannst du vernachlässigen.

hab keine infected gefunden!

Ok, dann poste abschliessend noch ein HJT Log-File.