hallo zusammen,

heute morgen bekamm ich aus heiterem Himmes von meinem AntiVir PersonalEdition folgende Warnmeldung:C:\WINDOWS\SYSTEM32\SVKP.SYS enthält die Signatur von dem Trojanische Pferd TR/Pakes.2!.
Was ist das ???

hier mal mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:45:50, on 09.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\OO Software\Defrag Professional\oodcnt.exe
C:\WINDOWS\system32\notepad.exe
D:\Downloads\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nachtlager.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1091893929468
O17 - HKLM\System\CCS\Services\Tcpip\..\{17B3BA14-F4C4-4F06-86D3-5E4F2367FE7C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F204891-F892-4B8E-AB75-443EB78D7A60}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E8609D2-82BE-4FBA-84AA-C987D3B5CF67}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hallo,

in deinem Log-File sind keine Auffäligkeiten.

Lade und scanne deshalb mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

ok,ich bin schon dabei...melde mich gleich noch mal.

Danke

so,hab alles so gemacht wie du es beschrieben hast.
Das Logfile von Escan ist sauber,zum glück ;-)

Kann es sich da um eine Fehlmeldung von Antivir handeln ?
Ich hab ein wenig gegoogelt und es scheint so das ich nicht der einzige bin der das problem hat.
Ich hab ja auch schon heir im Forum was darüber lesen können

Sat Apr 09 10:10:12 2005 => Total Files Scanned: 3965
Sat Apr 09 10:10:12 2005 => Total Virus(es) Found: 0
Sat Apr 09 10:10:12 2005 => Total Disinfected Files: 0
Sat Apr 09 10:10:12 2005 => Total Files Renamed: 0
Sat Apr 09 10:10:12 2005 => Total Deleted Files: 0
Sat Apr 09 10:10:12 2005 => Total Errors: 5
Sat Apr 09 10:10:12 2005 => Time Elapsed: 00:03:55
Sat Apr 09 10:10:12 2005 => Virus Database Date: 2005/04/09
Sat Apr 09 10:10:12 2005 => Virus Database Count: 125240

Sat Apr 09 10:10:12 2005 => Scan Completed.

Zitat:

so,hab alles so gemacht wie du es beschrieben hast.

Nein, hast du nicht.
Du hast eScan weder im abgesicherten Modus ausgeführt noch die richtige Einstellung verwendet! Vermutlich hast du eScan auch nicht aktualisert.

Führe deshalb den Scan nochmals richtig aus.

Zitat:

Kann es sich da um eine Fehlmeldung von Antivir handeln ?

Eventuell, aber laut Google gibt es etliche Malware die diese Datei erstellt und benutzt.

Die Einstellungen bei Ecan bitte wie folgt setzen:



@ Cidre

aktualisiert hat er doch:

Zitat:

Sat Apr 09 10:10:12 2005 => Virus Database Date: 2005/04/09

@ cronos

Wenn er/sie eScan erst heute runtergeladen hat, dann steht freilich das Datum von heut drin, d.h. aber noch lange nicht, dass eScan per kavupd.exe aktualisiert worden ist.

Hallo zusammen,

Ich habe heute genau diesselbe Meldung vom AV Guard erhalten, dass ich einen sog. TR/Pakes.2 besitze und das kuriose ist, dass ich gestern erst meine Systemfestplatte formatiert habe und ich jetzt auf anhieb wirklich nicht sagen kann, woher ich mir diesen Trojaner einfangen hätte können. (Die Meldung kam zusätzlich immer als ich eine Version von Tweak XP 3.0) starten wollte. Kann jedoch auch Zufall gewesen sein.
Ich hab auch schon bei diversen Homepages im Internet gesurft... aber nirgends ist dieser "Trojaner" bekannt, bzw. zu finden.

Ich hoffe irgendjemand kann mir helfen?!?

Gruß BuFFaLo

@BuFFaLo
http://www.google.com/search?q=Win32...utf-8&oe=utf-8

lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Zitat:

Zitat von Cidre

@ cronos

Wenn er/sie eScan erst heute runtergeladen hat, dann steht freilich das Datum von heut drin, d.h. aber noch lange nicht, dass eScan per kavupd.exe aktualisiert worden ist.

So,jetzt habe ich alles so gemacht wie gewollt (Hoffe ich )
Ich hatte zwar das Update ausgeführt jedoch wohl nicht richtig.
Ich habe den kompletten c:/bases Ordner gelöscht und dann die Datei noch mal neu runter geladen und dann entpackt nach c:/bases...dann das Update ausgeführt und mit allen Einstellungen wie oben beschrieben im Abgesicherten Modus gescannt.

Nach ca 2,5 Stunden habe ich dann dieses Ergebniss:

File C:\Programme\AIDA32 - Enterprise System Information\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File C:\System Volume Information\_restore{8C4C7328-645B-4770-A2BF-4D660018B5DC}\RP364\A0081339.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.
File C:\System Volume Information\_restore{8C4C7328-645B-4770-A2BF-4D660018B5DC}\RP364\A0081345.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken.


Da Aida32 ein Systemcheck Tool ist und kein Virus bin ich wohl Virenfrei...
Ich habe es aber trozdem gelöscht da ich es nicht brauche.Auch die Systemwiederherstellungs Punkte habe ich gelöscht.


Ist das soweit richtig ?

Sieht schonmal gut aus.

Überprüfe trotzdem diese Datei 'C:\WINDOWS\SYSTEM32\SVKP.SYS' bei http://virusscan.jotti.org/de und poste das Ergebnis:

Kann ich nicht mehr,die Datei würde bereits gelöscht von dem Virenprogram.
Sie ist nicht mehr auf dem System vorhanden....

@ yodee

OK.

@ BuFFaLo

Wie sieht's mit Dir aus?
Hast du eScan AntiVirus schon ausgeführt?

Sooo bei mir hat er sehr viel gefunden, jedoch bin ich mir nicht sicher, welche dieser gefundenen (tagged) Dateien ich löschen muss/kann/darf?!? Zudem weiss ich nicht ob hier jetzt der Trojaner "TR/Pakes.2" mit dabei ist, da die Datei 'C:\WINDOWS\SYSTEM32\SVKP.SYS' auch nicht mehr vorhanden ist...

Hier nun meine mwav.log Auswertung:

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

=> File F:\System Volume Information\_restore{4C41CF52-E929-4A5C-BF3D-7970612C1913}\RP201\A0122632.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File F:\System Volume Information\_restore{4C41CF52-E929-4A5C-BF3D-7970612C1913}\RP201\A0122720.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\DOKUME~1\BuFF\LOKALE~1\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\Audio\Drivers\COMMON\killapps.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\Dokumente und Einstellungen\BuFF\Lokale Einstellungen\Temp\CRF000\creaf_ms.cab tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002139.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002140.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002245.exe tagged as not-a-virus:Tool.Win32.HTPatch.c. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002249.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002250.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002252.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002254.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002264.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002266.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002267.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002316.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002325.exe tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002345.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002346.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002348.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=>File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002418.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002419.exe tagged as not-a-virus:RiskWare.FTP.BulletProof.221. No Action Taken.

=> File D:\System Volume Information\_restore{A27BF48D-C697-48B4-96C8-8D05BF050EB5}\RP10\A0002424.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Ich hoffe jemand kann damit was anfangen?!?

@ BuFFaLo

Poste auch mal die infected Einträge aus der mwav.log.
Die tagged Funde kannst du vernachlässigen.