Hallo liebe Helferlein

Da ich PC-technisch ein ziemliches Nackerpazerl bin, hoffe ich, dass ihr mir mit nachstehendem Problem helfen könnt.

Seit einigen Tagen meldet AntiVir nach Starten:

C:\WINDOWS\system32\traffic32.dll
Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

Datei lässt nicht löschen.
Was muss ich machen um den Plagegeist wieder loszuwerden?


Die Programme Cleaner, Malware und RSIT mal abgearbeitet:

Bei Cleaner bleibt bei Registry 1 Fehlerfund totz mehrmaligem wiederholen, wie in eurer Anleitung beschrieben.
Diesen findet er immer wieder, auch wenn bei Fehlber beheben meldet, dass behoben wurde.
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}


Malware – keine Probleme (uff)

Log Malware: Anhang 4288


Rsit – info log ist von gestern, log von heute. Lesen sollte man können , hatte es eilig und dachte mist hab gestern vergessen, das log zu speichern zum hochladen und habe daher RSIT heute nochmal gestartet. (Hatte überlesen dass auf c gespeichert wird, und der heute nochmal start hat das log überschrieben). Hoffe das ist kein Problem.

Log Info: Anhang 4286

Log: Anhang 4287


lg
siah

Hallo und

Zitat:

Zitat von siah

C:\WINDOWS\system32\traffic32.dll
Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen

Bitte diese Datei hier bei uns hochladen => Anleitung

In der Zwischenzeit schau ich mir mal die Logs an.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Mozilla1.7.8\Mozilla.exe" -turbo
         

Sag nicht, Du verwendest immer noch die mittlerweile uralte Mozilla-Suite?
Die wird längst nicht mehr weiterentwickelt und Du solltest unbedingt auf was aktuelles wie Firefox 3.5 oder Seamonkey umsteigen!!

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\DAP\DAPBHO.DLL
         

Lade dir danach Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Hallo cosinus

Danke für die rasche Antwort und dein Bemühen.

Habe mal deine Liste abgearbeitet:

Die Datei traffic32.dll hochgeladen

Virustotal bringt folgendes Ergebnis zur Datei DAPBHO.dll
Da ich aus dem für mich Buchstabensalat nicht wusste, was da die Prüfsummen sind, gesamtes ergebnis kopiert.

Virustotal meint zur Datei: Anhang 4298

Scanbericht Lop: Anhang 4299

Zitat:

Sag nicht, Du verwendest immer noch die mittlerweile uralte Mozilla-Suite?

jein, den Browser verwende ich nicht mehr, sondern Firefox, aber das Mailprogramm. Habe Thunderbird einfach ned hinbekommen.

lg
siah

Da ist irgendwas schiefgegangen beim Upload der traffic32.dll, die ist zwar angekommen, aber hat eine Größe von Null Bytes (leere Datei). Versuch doch erstmal die traffic32.dll auch wie die andere Datei bei Virustotal auszuwerten und poste dann wieder die Ergebnisse.

Hallo cosinus

Habe die Datei bei Vitustoal hochgeladen, kommt nur Meldung:

0 bytes size received / Se ha recibido un archivo vacio

Wenn ich die Datei markiere bekomme ich bei Datails jedoch die Info Grösse 119KB.

lg
siah

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\traffic32.dll
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Du hast ein neues Verzeichnis C:\avenger\ - die backup.zip dadrin bitte bei file-upload.net hochladen und hier verlinken.

Hallo cosinus

Sodale hier mal das Log von Avenger: Anhang 4302

und hier noch der link:
File-Upload.net - backup.zip

AntiVir hat auch nix gemeckert nach Neustart. Mal hoffe dass das ein gutes Zeichen ist.

lg
siah

Sehr gut, hatte alles geklappt und die Datei wurde ausgewertet: Virustotal. MD5: 2a08b9535f6556109f9fe15e420bdf80 Trojan.Crypt.ZPACK.Gen TR/Crypt.ZPACK.Gen Suspicious File

Eine Mail an die AV-Labs ist raus, da die Datei wohl noch von rel. wenig Scannern erkannt wird.

Mach nun mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Guten Abend cosinus

Deine letzten Anweisungen abgearbeitet und hier
das Log von ComboFix: Anhang 4319

lg
siah

Bzgl. der alten Mozilla-Suite solltest Du auf jeden Fall umsteigen. Das Programm ist uralt und enthält viele Lücken! Was hast Du im Thunderbird nicht hinbekommen?

ZoneAlarm solltest Du deinstallieren und stattdessen die Windows-Firewall verwenden - Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Außerdem ist Deine Systempartition auf FAT32 und nciht auf NTFS formatiert, sollte man ändern, dazu aber mehr später.

Nun müssen wir mit Combofix erstmal scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Driver::
mailKmd
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Servus cosinus

Boah bin mir nimmer sicher woran ich bei Thunderbird gescheitert bin. Glaube aber war beim Account erstellen. Muß ich mir nochmal angucken. (Aber nicht heute, schau ich mir am Weekend in Ruhe an.)

ZoneAlarm habe ich mal deinstalliert.


Und bevor ich jetzt nen Pfusch bau:

Zitat:

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

welche XXX ?

lg
siah

Zitat:

Zitat von siah

welche XXX ?

Das ist nur ein Standardtext, ich hab sowas eigentlich immer stehen, falls da persönliche Pfadangaben stehen bzw. bei diesen persönlichen Pfadangaben aus dem Usernamen zwecks Datenschutz eben drei Sternchen oder XXX wurden.

Kannst Du ignorieren, weil im Script sowas nicht vorkommt.

Hallo cosinus

Sodale heute ohne Knopf im Hirn ;-)

Hier das Log von Combofix: Anhang 4339

lg
siah

Ok, das dürfte soweit wieder ok sein
Kontrollscans wären aber gut:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.


Und eben die drei angesprochenen Dinge bzgl:

• Mozilla-Suite durch Thunderbird ersetzen (Thunderbird müsste alle Einstellungen und Mails importieren können)
• ZoneAlarm deinstallieren, Windows-Firewall aktivieren
• Systempartition nach NTFS konvertieren:

1) Start, Ausführen, cmd eintippen und ok
2) Befehl convert c: /fs:ntfs eintippen bestätigen mit Return oder Enter
3) Die aktuelle Bezeichnung von C: eintippen (siehst Du im Arbeitsplatz auf C:, wenn "Lokaler Datenträger" da nur steht, hat C: keine Bezeichnung also nichts eintippen bei aktueller Laufwerksbezeichnung)
4) Hinweis, dass das Laufwerk beim nächsten Windows-Start konvertiert werden soll mit J bestätigen und Windows neustarten lassen, geduldig sein!

Servus cosinus

Kapersky Onlinescanner steht zur Zeit nicht zur Verfügung. Habe diesen Punkt daher mal gespritzt.

PrevXCSI findet nix

Thunderbird läuft (was auch immer ich anno dazumals ned hinbekommen habe, diesmal gleich geschafft, dass tut was ich will)

Mozilla Suite und ZoneAlarm gemistkübelt

C nach NTFS konvertiert (nach deinem Hinweis geduldig sein, war ich drauf eingestellt, dass das ewig dauert und war überrascht, dass nur ca. 15 min gebraucht hat)

lg
siah