Hi, mein Antivirus-Programm hat heute den Trojaner TR/Crypt.XPACK.Gen-Trojan auf meinem PC entdeckt.
Ich füge die logs von HijackThis (überprüfung.txt) und ComboFix (log.txt) an.
Was sollte ich tun?
Vielen Dank
Lizzy

hi lizzy_honda und

lasse Malwarebytes dein system scannen, funde löschen lassen, log hier posten.

====

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

• Bei nötigen Folgescans das Tool immer wie folgt starten:
• Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
  damit die alten Logdateien überschrieben werden.

gruß

schrauber

hallo schrauber,
danke für deine prompte antwort.
malwarebytes hat nichts mehr gefunden

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1122
Windows 5.1.2600 Service Pack 2

07.09.2008 10:32:10
mbam-log-2008-09-07 (10-32-10).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 104863
Laufzeit: 39 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Die logs von RSIT liegen als attachments bei.

gruß&nochmals danke
karin

Zitat:

C:\WINDOWS\system32\14904A8EBE.sys

bitte bei virustotal scannen lassen, button filter drücken, ergebnis hier posten

===

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Start => Programmzugriff und Standards => Programme ändern oder deinstallieren. Lösche nun folgende Ordner (falls noch vorhanden) und leere den Papierkorb, damit alle Reste der Vorgänger-Versionen entfernt werden:

• C:\Programme\JAVA
• C:\Windows\Sun
• C:\Dokumente und Einstellungen\*Dein Benutzername*\Anwendungsdaten\Sun
• C:\Dokumente und Einstellungen\*evtl. weiterer Benutzername*\Anwendungsdaten\Sun
• Vista User = C:\Users\*dein Benutzername*\AppData\LocalLow\Sun
• Achtung: nicht C:\Windows\Java

Starte den Rechner neu.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 7) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst.

===

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen)

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"MBMon"=-
         

Starte die regfix.reg duch Doppelklick.

===

Dienst beenden:
Start => ausführen => cmd.exe => OK. In der Dos-Box nacheinander die folgenden Befehle ausführen:

Code: Alles auswählenAufklappen

ATTFilter

sc stop PfModNT
sc delete PfModNT
exit
         

Rechner neu starten.

===

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• Eine Datei* sollte nun heruntergeladen werden.
  *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
• OTMoveit fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

===

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

gruß

schrauber

hi,
C:\WINDOWS\system32\14904A8EBE.sys
konnte ich nicht mehr scannen lassen, da nicht mehr vorhanden.
===========
vorhandene jre deinstalliert und neuestes installiert
===========
deine anweisungen bzgl. registry ausgeführt
===========
OTMoveIt2 ausgeführt
===========
Kaspersky Online-Scanner hat nichts gefunden

ich vermute, combofix hat den Trojaner entfernt.
wie sieht das für dich aus?
gruß
lizzy

Kannst Du mir das Log zeigen von Kaspersky?

Update dein AV-Prog und lass nen Komplettscan machen, arbeite ein paar Tage mit dem Rechner und melde Dich wieder.

Aber wie es aussieht bist Du sauber


gruß

schrauber

wie gesagt, der kapersky scanner hatte nichts gefunden.
Ich hab heute nochmal einen scan über die critical areas laufen lassen.
das ist der log:

Code: Alles auswählenAufklappen

ATTFilter

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
 Monday, September 8, 2008
 Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
 Kaspersky Online Scanner 7 version: 7.0.25.0
 Program database last update: Monday, September 08, 2008 12:05:32
 Records in database: 1201939
--------------------------------------------------------------------------------

Scan settings:
	Scan using the following database: extended
	Scan archives: yes
	Scan mail databases: yes

Scan area - Critical Areas:
	C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
	C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart
	C:\Program Files
	C:\Programme
	C:\WINDOWS

Scan statistics:
	Files scanned: 46993
	Threat name: 0
	Infected objects: 0
	Suspicious objects: 0
	Duration of the scan: 00:41:08

No malware has been detected. The scan area is clean.

The selected area was scanned.
         

wenn mein virus-scanner nochmal in den nächsten tagen muckt, melde ich mich. ansonsten vielen dank für deine mühe.