Kaspersky dauernder Alarm Packed.Win32.Krap.ag

Axel · 29.01.2010, 20:15

Guten Abend

Ich hatte vor einiger Zeit eine Malware namens msa.exe, a.exe, b.exe und c.exe auf dem PC. Da sich nur a.exe löschen ließ wurden die anderen unter Quarantäne von Kaspersky gestellt.
Jetzt meldet das Schutzcenter von Kaspersky aber jeden Tag, dass es die Dateien msa.exe, b.exe und c.exe gefunden habe. Kurz darauf kommt, dass der Schutz von Kaspersky nicht funktioniere.
Ich habe bereits einen Logfile mit HijackThis erstellt und die msa.exe damit gefixed dann habe ich noch einen vollständigen Scan mit DrWeb CureIT gemacht der hat aber nichts gefunden. Dann habe ich noch einen Scan mit Malwarebytes gemacht der hat dann schon wieder mehr gefunden. Die Sachen hab ich alle gelöscht. Unter anderem waren das Registrierungseinträge, welchen einen Fake Alarm hervorrufen sollten.

Hier mal nur die Ereignisse von Kasperskys Schutz-Center heute:

Code:

ATTFilter

 Schutz-Center  (Ereignisse: 18)	
29.01.2010 07:05:59	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 07:05:59	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 07:05:59	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\b.exe			
29.01.2010 07:06:00	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\c.exe			
29.01.2010 07:12:27	Der Schutz funktioniert nicht	Kaspersky Internet Security					
29.01.2010 14:34:44	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 14:34:44	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 14:34:44	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\b.exe			
29.01.2010 14:34:44	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\c.exe			
29.01.2010 15:13:43	Der Schutz funktioniert nicht	Kaspersky Internet Security					
29.01.2010 17:36:34	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 17:36:35	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 17:36:35	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\b.exe			
29.01.2010 17:36:35	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\c.exe			
29.01.2010 19:50:47	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 19:50:47	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Windows\msa.exe			
29.01.2010 19:50:47	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\b.exe			
29.01.2010 19:50:47	Gefunden: Packed.Win32.Krap.ag	Kaspersky Internet Security		C:\Users\***\AppData\Local\Temp\c.exe

MfG Axel

cosinus · 30.01.2010, 15:23

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Axel · 30.01.2010, 21:49

Danke für die schnelle Antwort.

Also als ich das System gescannt hatte habe ich auch immer die externe Festplatte mit eingebunden. Die ganzen Logfiles hatte ich bis zum 13. Januar erstellt. Ich denke das das aber ziemlich egal ist da sich seitdem eigentlich nichts an den Warnmeldungen getan hat. Der einzige neue Logfile ist von RSIT.

Erkannte Bedrohungen von Kaspersky
Ereignisse in Kaspersky (seit der Erstellung von diesem Logfile gab es wie im letzten Beitrag beschrieben jeden Tag die gleichen Meldungen)
HijackThis Logfile
Malwarebytes Logfile (die dabei gefundenen Sachen habe ich jetzt alle gelöscht)
RSIT Log
RSIT Info
Alles in 1

Das waren glaube ich alle.

MfG Axel

cosinus · 01.02.2010, 12:27

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Axel · 01.02.2010, 19:20

Habe ich gemacht allerdings kommt am Ende "Parameterformat falsch - 850".
Hier der Logfile von Lop S&D.

MfG Axel

cosinus · 01.02.2010, 19:28

Zitat:

Zitat von Axel

Habe ich gemacht allerdings kommt am Ende "Parameterformat falsch - 850".

Kein Wunder, Du hast ein 64-Bit-Windows, das hab ich irgendwie übersehen ist aber kein Problem

Allerdings muss ich immer diesen Hinweis posten: Du nutzt ein 64-Bit-Windows. Viele Tools, die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64-Bit-Windows nicht kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Sagmal, ist das zufällig ein Firmenrechner? Die Kiste ist randvoll mit sündhaft teurer Adobe CS3/4 Suites

was für Privatleute doch eher das Budget sprengen dürfte

Zitat:

Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\keygen.exe (Malware.Tool) -> No action taken.

keygen.exe macht die ganze Sache auch nicht besser

Axel · 01.02.2010, 20:09

Ich hab ein paar Sachen von meinem Vater aus der Firma bekommen weiß gar nicht ob er das überhaupt durfte^^
Den Keygen hab ich auch schonmal mit einem Scanprogramm gefunden hab eigentlich gedacht der wäre gelöscht.

MfG Axel

cosinus · 01.02.2010, 20:18

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Axel · 01.02.2010, 21:30

Guten Abend nommel

Hier die 2 OTL Files.

Nen guten Abend noch Axel

@cosinus: und Herzlichen Glückwunsch zu deinem 5000ten Beitrag

cosinus · 01.02.2010, 22:02

Zitat:

Zitat von Axel

@cosinus: und Herzlichen Glückwunsch zu deinem 5000ten Beitrag

Danke

Eigentlich müsste ich schon bei ca. 13500 Beiträgen hier sein, warum will ich jetzt aber nicht näher erläutern

cosinus · 01.02.2010, 22:15

Zitat:

C:\Windows\SysNative\drivers\tap0901t.sys
C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

Bitte diese beiden Dateien bei virustotal.com auswerten lassen und Ergebnislinks posten.

Axel · 01.02.2010, 22:49

www.VirusTotal.com:
tap0901t.sys
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
Gab keine Ergbenisse!

MfG Axel

cosinus · 01.02.2010, 22:53

Trotzdem sehr merkwürdige Dateien. Lad die bitte bei uns mal hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Axel · 01.02.2010, 23:17

Also ich hab mal nachgeschaut und Windows zeigt an, dass tap0901t.sys von Tunngle.net ausgeht.
Was die andere Datei angeht sieht etwas komisch aus was dadrin steht.
Ich werde beide morgen mal hochladen.

MfG Axel

Axel · 04.02.2010, 22:33

Guten Abend nochmal

Also irgendiwie habe ich das Gefühl, dass ich den nicht mehr wegbekomm.
Ich habe mir jetzt überlegt Windows 7 zu installieren und bei der Installation die Formatierung drüberlaufen zu lassen. Wäre der Trojaner danach sicher weg?

MfG Axel

01.02.2010, 22:53	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Kaspersky dauernder Alarm Packed.Win32.Krap.ag Trotzdem sehr merkwürdige Dateien. Lad die bitte bei uns mal hoch: http://www.trojaner-board.de/54791-a...ner-board.html __________________ Logfiles bitte immer in CODE-Tags posten

Kaspersky dauernder Alarm Packed.Win32.Krap.ag

Plagegeister aller Art und deren Bekämpfung: Kaspersky dauernder Alarm Packed.Win32.Krap.ag