Hallo,
Ich habe den Trojaner "TR/Crypt.XPACK.Gen" bei meiner Freundin eingeschleppt, da er selbst auf dem Speicher meiner digitalkamera war. Ich habe schon einen komplettscan mit Avira Antivir durchgeführt und SUPERAntiSpyware installiert und komplett scannen lassen....leider ohne erfolg bis jetzt! Avira Gibts beim Starten des Systems bzw der Internetverbindung folgende Meldungen:

In der Datei 'C:\Dokumente und Einstellungen\RosaKatharina\so7.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

In der Datei 'C:\Dokumente und Einstellungen\RosaKatharina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJBBXD0E\so7[1].exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Da meine Freundin gerade komplett durchdreht und ich versprechen musste, dass ich den Computer wieder clean kriege hoffe ich nun auf eure Hilfe!
Ist der Trojaner eigentlich gefährlich und muss ich jetzt alle Passwörter ändern?

Sie nutzt Windows XP mit Service Pack 2.

Hier schonmal das HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:45, on 01.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\ICQ6\ICQ.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\RosaKatharina\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 7085 bytes



Vielen Dank schonmal für eure Hilfe!

Gruß
Martin

Halli hallo r34V3r

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:

• Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
  Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
  .
• Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update der Viren-Signaturen deines Anti-Viren Programmes.
  .
• Treiberupdate der Hardware (Grafikkarte, Soundkarte).
  .
• Windows Update -> Der Frischmacher.
  .
• Installation des aktuellen ServicePacks:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Vernünftige Ordneransicht -> Einstellungen.
  .
• Abschalten unnötiger Dienste:
  • Vista_ TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume mit cCleaner auf; Punkte 1&2.
  .
  Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.
  
  Häufig gestellte Fragen: XP | Vista

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\RosaKatharina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJBBXD0E\so7[1].exe
C:\Dokumente und Einstellungen\RosaKatharina\so7.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Update die AntiVir Datenbanken und führe einen komplett scan durch. Nutze folgende Einstellungen: http://www.trojaner-board.de/54192-a...tellungen.html

Danach:


Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  
• Starte den Rechner neu. öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  
• Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Im Hauptfenster den Start Button drücken.
  
• Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Deaktiviere den AVZGuard!
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Hallo,
habe bis jetzt alles komplett so ausgeführt wie in der Anleitung beschrieben!
Beim Avenger reboot gab es ein kleines Problem, beim ersten mal ist er nur bis zum "windows wird gestartet" screen gekommen...danach hat sich nichts mehr getan, habe dann nochmal aus und wieder eingeschaltet, dann ist er problemlos hochgefahren!

Hier das Log:



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Dokumente und Einstellungen\RosaKatharina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJBBXD0E\so7[1].exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\RosaKatharina\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJBBXD0E\so7[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Dokumente und Einstellungen\RosaKatharina\so7.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\RosaKatharina\so7.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.






Werde dann jetzt weitermachen wie beschrieben...

Gruß
r34V3r

so, nun auch avira im agressivmodus durchlaufen lassen!
nur 2 Warnungen ausgespuckt worden...
hier das log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 3. Dezember 2008 03:01

Es wird nach 1069442 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: FEENSTAUB

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 16:51:13
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 15:01:15
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 15:01:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 15:01:16
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 13:11:20
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 20:17:22
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 21:03:27
ANTIVIR3.VDF : 7.1.0.176 132608 Bytes 02.12.2008 23:16:25
Engineversion : 8.2.0.36
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 11:42:45
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 20:17:26
AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 01:31:26
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 11:28:49
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 20:17:25
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 08.11.2008 01:31:25
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 08.11.2008 01:31:25
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.11.2008 16:02:44
AEGEN.DLL : 8.1.1.6 323955 Bytes 30.11.2008 15:36:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 11:42:38
AECORE.DLL : 8.1.5.2 172405 Bytes 30.11.2008 15:36:30
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 11:42:37
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 15:01:15
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 15:01:15
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 17:17:21
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 15:01:15
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 10:19:51
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 15:01:15
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 10:19:52
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 15:01:16
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 10:19:52
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 15:01:11
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 15:01:11

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 3. Dezember 2008 03:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '49557' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'psi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMXLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stsystra.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NicConfigSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '65' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 3. Dezember 2008 03:38
Benötigte Zeit: 37:36 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6745 Verzeichnisse wurden überprüft
282325 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
282323 Dateien ohne Befall
10412 Archive wurden durchsucht
2 Warnungen
0 Hinweise
49557 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden




sooo...weiter gehts...

sooo,
Systemanalyse wie beschrieben durchgeführt und das avzlog hochgeladen:

http://rapidshare.com/files/169712256/avz_sysinfo.zip.html


Falls jetzt alles gereinigt sein sollte...habe ich noch eine Frage.
Der Trojaner war ja auf der sd Karte der Kamera. Weiss auch nicht wie der da draufgekommen ist aber ich habe jetzt angst sie wieder zu benutzen!
wie gehe ich jetzt vor, wenn ich die karte wieder benutzen möchte? die daten darauf sind nicht wichtig, könnten also komplett gelöscht werden.
Anders ists mit meiner externen Festplatte. ich weiss nicht, ob der trojaner dort möglicherweise auch schon drauf ist....wie prüfe ich das am besten?

Und wie siehts mit den Passwörtern aus? alle ändern?

Vielen vielen dank auf jeden fall schonmal bis hierhin...

Falls noch nicht alles clean sein sollte, sag mir wie es weitergehen soll!

Gruß
r34V3r

Auf dem System läuft ein Backdoor!

Da der Angreifer Vollzugriff auf den PC hat sollte dieser formatiert werden.!.
Denn selbst wenn wir den Schädling entfernen können kann niemand sagen ob sich der Remote Admin kein zweites Hintertürchen eingebaut hat... Und das erste ist schon ziemlich gut versteckt...

Die SD Karte der Kamera sollte formatiert werden!
Da ich allerdings momentan nicht weiss wie sich der Trojaner verbreitet solltest du das mit einer Live CD zum Beispiel BartPE machen. Wie das geht sagt dir google..


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

c:\windows\system32\wltray.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Führe mit AVZ folgendes Skript aus(File -> Custom Skripts:

Zitat:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}');
QuarantineFile('c:\programme\bonjour\mdnsresponder.exe','');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Der Rechner startet dabei neu!

Das Skript beseitigt zwar den Schädling aber der Rechner ist danach nicht vertrauenswürdig!!!

So geht's weiter:

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.2.2 2008.12.03 -
AntiVir 7.9.0.36 2008.12.03 -
Authentium 5.1.0.4 2008.12.02 -
Avast 4.8.1281.0 2008.12.02 -
AVG 8.0.0.199 2008.12.03 -
BitDefender 7.2 2008.12.03 -
CAT-QuickHeal 10.00 2008.12.03 -
ClamAV 0.94.1 2008.12.03 -
DrWeb 4.44.0.09170 2008.12.03 -
eSafe 7.0.17.0 2008.12.02 -
eTrust-Vet 31.6.6240 2008.12.03 -
Ewido 4.0 2008.12.02 -
F-Prot 4.4.4.56 2008.12.02 -
F-Secure 8.0.14332.0 2008.12.03 -
Fortinet 3.117.0.0 2008.12.03 -
GData 19 2008.12.03 -
Ikarus T3.1.1.45.0 2008.12.03 -
K7AntiVirus 7.10.540 2008.12.02 -
Kaspersky 7.0.0.125 2008.12.03 -
McAfee 5452 2008.12.02 -
McAfee+Artemis 5452 2008.12.02 -
Microsoft 1.4205 2008.12.03 -
NOD32 3659 2008.12.02 -
Norman 5.80.02 2008.12.02 -
Panda 9.0.0.4 2008.12.02 -
PCTools 4.4.2.0 2008.12.02 -
Prevx1 V2 2008.12.03 -
Rising 21.06.21.00 2008.12.03 -
SecureWeb-Gateway 6.7.6 2008.12.03 -
Sophos 4.36.0 2008.12.03 -
Sunbelt 3.1.1832.2 2008.12.01 -
Symantec 10 2008.12.03 -
TheHacker 6.3.1.2.172 2008.12.02 -
TrendMicro 8.700.0.1004 2008.12.03 -
VBA32 3.12.8.10 2008.12.02 -
ViRobot 2008.12.3.1497 2008.12.03 -
VirusBuster 4.5.11.0 2008.12.02 -
weitere Informationen
File size: 696425 bytes
MD5...: 4998b9dce09c712627f67dc84413086e
SHA1..: 2ecc9c8c84073f81cb88fa57fd8b5bc61ad5c8d4
SHA256: 8f13aca487e04e068a9ebd2a580e4d33cf86f9f34b23e82129d169508b253a98
SHA512: fc0541d566e8873db021af3c056ea435cabe6c54aadb0709cc15e15247469304
32445eee310dfdabf6a36413eb90cd78377373014eee114b3de25b1bd5018e4f
ssdeep: 3072:Kux1SKhQf6b/3/1lejaXSGaY4JWddnfiVvEC6hwQq7t5mGQa2iKuqEgCJCp
cfUpi:jjR3/mjcSG91ddf9x2PwVmfNPo0
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x411c16
timedatestamp.....: 0x41b4c730 (Mon Dec 06 20:55:12 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1327d 0x14000 5.89 0553ebc922bb2f7ba90c484d890df078
.rdata 0x15000 0x6286 0x7000 4.22 7469adf96347aaf979466505032bf425
.data 0x1c000 0x1888 0x2000 4.37 6e2bf1ff245acf029794dfcb3c7adf21
.rsrc 0x1e000 0x8b328 0x8c000 4.44 dcc9cd879a1c2bad4bfdf6d0a2923a21

( 10 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, _strdup, _setmbcp, free, __CxxFrameHandler, strtoul, _mbsicmp, atoi, _mbstok, fgetws, _controlfp, wcsncpy, malloc, _mbscmp, strncpy, _CxxThrowException, _mbsnbcpy, __dllonexit, _onexit, __1type_info@@UAE@XZ, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr
> KERNEL32.dll: CreateToolhelp32Snapshot, Process32Next, Sleep, lstrlenA, MultiByteToWideChar, CreateMutexA, WinExec, CreateEventA, SetEvent, ExpandEnvironmentStringsA, OutputDebugStringA, GetUserDefaultLangID, LoadLibraryW, FindResourceExA, EnumResourceNamesA, FreeLibrary, GetWindowsDirectoryA, CreateProcessA, WaitForSingleObject, GetExitCodeProcess, CloseHandle, GetProcAddress, LoadLibraryA, GetVersionExA, FindResourceA, LoadResource, LockResource, GetLastError, GetModuleHandleA, GetModuleFileNameA, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, GetStartupInfoA, Process32First
> USER32.dll: GetSubMenu, FindWindowA, InSendMessage, GetSystemMetrics, GetClientRect, ModifyMenuA, BroadcastSystemMessage, EndMenu, DeleteMenu, GetForegroundWindow, BringWindowToTop, SetWindowPos, MessageBoxA, SetWindowLongA, CallWindowProcA, AttachThreadInput, CopyIcon, MessageBeep, LoadMenuA, PostQuitMessage, PostMessageA, IsWindow, GetDesktopWindow, SetForegroundWindow, KillTimer, GetClassInfoA, UpdateWindow, SetTimer, RegisterWindowMessageA, LoadStringA, GetWindow, LoadIconA, SendMessageA, InvalidateRect, SetMenuItemInfoA, SetCursor, LoadCursorA, SetDlgItemTextA, GetWindowRect, EnableWindow, GetCursorPos, GetWindowThreadProcessId
> GDI32.dll: CreateCompatibleDC, CreateFontIndirectA, GetStockObject, StretchBlt, BitBlt, GetDeviceCaps, GetObjectA, CreateDIBitmap, CreatePalette, RealizePalette
> ADVAPI32.dll: RegEnumKeyExA, GetUserNameA, RegEnumValueA, RegDeleteValueA, RegNotifyChangeKeyValue, RegSetValueExA, RegQueryValueExA, RegCreateKeyExA, RegOpenKeyExA, RegDeleteKeyA, RegCloseKey
> SHELL32.dll: Shell_NotifyIconA
> ole32.dll: CoInitialize, CLSIDFromString, CoCreateInstance, CoCreateGuid, StringFromCLSID, CoTaskMemFree
> OLEAUT32.dll: -
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4998b9dce09c712627f67dc84413086e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4998b9dce09c712627f67dc84413086e</a>

MBR gibt folgendes aus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Habe eine Frage bezüglich der neuinstallation.
wie kann ich denn dann alte Daten sichern? Ich habe viele wichtige Daten auf dem Rechner! Kann ich die auf eine externe Festplatte spielen und die extern (unter linux o.ä.) prüfen lassen?

Gut, der MBR ist in Ordnung. Dann kannst du weitermachen..

Zitat:

Kann ich die auf eine externe Festplatte spielen und die extern (unter linux o.ä.) prüfen lassen?

Jap, das kannst du. Steht unten auch alles beschrieben..

unter den dateiendungen die ich nicht sichern soll steht u.a. *.pdf *.doc, etc....
dies sind aber alles Dateien die ich wegen meines Studiums unbedingt noch brauche...
programme etc kann ich gerne alle löschen, aber fotos videos, mp3s und dokumente würde ich schon gerne behalten.

ach ja, und von welchem rechner aus sollte ich die sd-karten, und externen Festplatten denn jetzt sichern und formatieren?
habe angst das wenn ich die an einen anderen rechner anschließe der auch den virus bekommt, will den aber auch nicht wieder auf meinem eigenen rechner haben weil ich ja auch nicht weiss auf welchen laufwerken er möglicherweise ist!
irgendwie kommt mir das wie ein teufelskreis vor


danke aber trotzdem für all die Hilfe!!

Zitat:

unter den dateiendungen die ich nicht sichern soll steht u.a. *.pdf *.doc, etc....
dies sind aber alles Dateien die ich wegen meines Studiums unbedingt noch brauche...
programme etc kann ich gerne alle löschen, aber fotos videos, mp3s und dokumente würde ich schon gerne behalten.

tja was soll ich dazu noch sagen: Eigenes Risiko. Steht alles in der Anleitung drinn...

Zitat:

ach ja, und von welchem rechner aus sollte ich die sd-karten, und externen Festplatten denn jetzt sichern und formatieren?

auch darauf habe ich dir schon eine Antwort gegeben. =>

Zitat:

Da ich allerdings momentan nicht weiss wie sich der Trojaner verbreitet solltest du das mit einer Live CD zum Beispiel BartPE machen. Wie das geht sagt dir google..

Du erstellst dir eine live CD, am besten Linux aber wenn du willst auch Windwos, startest den Rechner von dort aus und formatierst die SD Karte. Den Rechner formatierst du ja sowieso.

Übrigens würde ich von der SD Karte wirklich garkeine Daten sichern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..