Hallo ihr lieben Helferlein,

Antivir meldet sich immer wenn ich eine bestimmte (gekauft, original und schon einmal umgetauscht) DVD eines Programms einlege den Trojaner TR/crypt.xpack.gen in einem .dll file auf der DVD.
Wenn die DVD nicht drin ist, meldet es nichts. Früher lief die DVD ohne Probleme. Jetzt kann ich nichts mehr mit ihr machen...
Ich habe mit CCleaner schon alles gereinigt, dann mit Combofix ausprobiert ( da tut sich aber nix, was immer das Programm auch macht). Malaware laufen lassen und 3 Einträge bereinigt.

Systemwiederherstellung deaktiviert.

Habe dann AntiVir durchlaufen lassen - Kein Fund (ohne DVD).
Dann Windows im abgesicherten Modus gestartet, AntiVir laufen lassen (kein Fund) dann Symantec online Scan (auch kein Fund).

Hijacjkthis Logfile ist folgendes (normaler Boot):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:43, on 11.05.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Users\acey90\temp\TeamViewer\Version4\TeamViewer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\Windows\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  C:\Windows\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 8193 bytes
         

ich verzweifel schon. Irgendwas muss es doch sein, oder? Wenn nicht, wie bekomme ich dann die DVD wieder ans laufen?

Schonmal herzlichsten Dank für eure Hilfe!!!!


Gruß

Rubaen

ich schätze mal, das ist ein fehlalarm! packe die datei(en) mal in ein Zip-Archiv und schickse hier mal unter dem typ Verdacht auf Fehlalarm ein: Submit your sample

Danach solltest du eine Mail bekommen, ob es ein Fehlalarm ist, oder doch malware. falls aber doch malware, kann ich dir hier nicht mehr weiterhelfen und muss passen...

Zitat:

Zitat von maximilian11

ich schätze mal, das ist ein fehlalarm! packe die datei(en) mal in ein Zip-Archiv und schickse hier mal unter dem typ Verdacht auf Fehlalarm ein: Submit your sample

Danach solltest du eine Mail bekommen, ob es ein Fehlalarm ist, oder doch malware. falls aber doch malware, kann ich dir hier nicht mehr weiterhelfen und muss passen...

Vielen Dank dafür schonmal. Ich werde die Datei heute Abend uploaden.
Aber wieso funktioniert die DVD dann nicht, wenn es ein Fehlalarm ist??? Das verstehe ich nicht so ganz...

Danke.

Rubaen

Wahrscheinlich weil ein Programm darauf die .dll Datei benötigt, was aber (zum Glück) von Antivir gestoppt wird.

Zitat:

Zitat von maximilian11

Wahrscheinlich weil ein Programm darauf die .dll Datei benötigt, was aber (zum Glück) von Antivir gestoppt wird.

Das stimmt. Der Alarm von AntiVir wird bei der Installation ausgelöst!

Das heißt wäre es ein Fehlalarm von Antivir, würde die DVD trotzdem nicht funktionieren? Kann man das umgehen?

Ich verstehe das nicht. Früher hat die DVD funktioniert (gleiches System)

Zitat:

Zitat von Rubaen

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia
O23 - Service: RelevantKnowledge - RelevantKnowledge - C:\Program Files\RelevantKnowledge\rlservice.exe

kennst du das erste??? Das zweite kann Adware sein!

wenn es ein fehlalarm wäre, würde deine datei aus der virendefinitionsdatei genommen werden und nicht mehr geblockt werden...

Kurz einmisch xD

@maxi (ich darf dich doch so nennen?

Zitat:

O4 - HKCU\..\Run: [qmkia] "c:\users\acey90\appdata\local\qmkia.exe" qmkia

Das ist Navipromo.

Besiegen kann man es mit Navilog. Versucht es mal damit

Der zweite Eintrag würde ich entweder hier beim Upload Channel hochladen lassen, oder auf Virustotal.com auswerten lassen, wenn du dir nicht sicher bist.

Nun ausmische

hi,

darfst mich gerne maxi nennen...

mit navipromo kenne ich mich nicht so gut aus... könnte vielleicht einer, der sich damit auskennt helfen???

Lade die zweite Datei bitte mal bei VirusTotal hoch! Falls die Datei schon mal analysiert wurde, klicke auf Erneut analysieren!

Zitat:

kennst du das erste??? Das zweite kann Adware sein!

wenn es ein fehlalarm wäre, würde deine datei aus der virendefinitionsdatei genommen werden und nicht mehr geblockt werden...

Kenne beides nicht. Nach dem ich den Hijack scan gemacht hatte, habe ich die automatische Auswertung machen lassen. Da hat er auch die beiden beanstandet die ich eigentlich gefeixt hatte...

Zitat:

Das ist Navipromo.

Besiegen kann man es mit Navilog. Versucht es mal damit

Werde das ausprobieren. Ist das denn die Quelle alles Übels?

Danke für die schnelle Hilfe!!!

Rubaen

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

Zitat:

Zitat von maximilian11

hi,
Lade die zweite Datei bitte mal bei VirusTotal hoch! Falls die Datei schon mal analysiert wurde, klicke auf Erneut analysieren!

Werde ich später machen. Bin gerade nicht am infizierten Notebook.
Ich melde mich gegen ganz spät nochmal :-)

Dann bis später oder morgen!

Vielen Dank für die Tipps!

Rubaen

lade die .dll von der dvd heute bitte auch noch bei avira, link oben, hoch, das dauert meistens 2-3 Tage!

Zitat:

Navilog
Starte navilog1.exe und installiere die Anwendung, eventuelle Fehlermeldungen Deines
Virescanners sind zu ignorieren (Anwendung erlauben!)
Alle anderen Anwendungen bitte beenden!
Danach sollte navilog automatisch starten, sonst per Doppelklick dem Desktop starten.
Im Sprachmenü bitte Englisch auswählen.
Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
Während der Suche nichts am Rechner machen, nur auf Programmaufforderung!
Nach dem Durchlauf sollte sich der Editor mit dem Log (fixnavi.txt) öffnen,
Inhalt kopieren und in Thread einfügen.
Das Log findest Du auch im Hauptverzeichnis (z.B.: "C:\").
http://pagesperso-orange.fr/il.mafio...x/Navilog1.exe

und

Zitat:

Zitat von maximilian11

lade die .dll von der dvd heute bitte auch noch bei avira, link oben, hoch, das dauert meistens 2-3 Tage!

Ich poste die Ergebnisse sobald ich was habe!!!

Danke an euch!!! Ihr seid meine Retter

Rubaen

nachdem du das navilog log gepostet hast, arbeitet bitte folgende schritte ab:

1. Bereinigung mit CCleaner
2. Scan mit Malwarebytes Anti-Malware
3. Poste danach bitte noch ein neues Log von Hijackthis!

Ach ja, im Avira Forum brauchste nicht nochmal posten, hier langt, und hier wird dir ja schon geholfen...

Zitat:

Zitat von maximilian11

Ach ja, im Avira Forum brauchste nicht nochmal posten, hier langt, und hier wird dir ja schon geholfen...

Bin auch nur noch hier aktiv! Danke nochmal.Werde mich jetzt auf den Heimweg machen und alle Schritte durchführen.

Rubaen