Hi, seit einigen Tagen hab ich mir wohl bisschen was eingefangen. Vielleicht war es als ich bei einem bekannten im Netzwerk unterwegs war, dort kam Antivir das erste Mal mit der Meldung. Hab schon einiges entfernt, vor allem mit Antivir u.ä..
Der Trojaner TR/Crypt.ZPACK.Gen in C:\Windows\Temp\rmwc.tmp\svchost.exe weigert sich allerdings auch bei mir, wie es anscheinend bei vielen anderen auch der Fall ist (wenn man sich die anderen Threads so durchliest). Alle x Minuten kommen die Warnungen von Antivir wieder (immer gleich 2 zu dem oben genannten Trojaner)
Der Trojaner wird allerdings nur von Antivir erkannt, Malwarebytes findet ihn nicht, dafür aber folgendes: C:\Windows\system32\Drivers\soccx.sys (Rootkit.Agent). Im Log steht zwar. dass er entfernt wurde, beim nächsten Scan wird er allerdings wieder erkannt.
Hier erstmal Antivir und
Malwarebytes Log:
Zitat:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 10. April 2010 12:08
Es wird nach 1986969 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BAYER04
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:09:23
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:09:23
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:09:23
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 10:37:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 10:59:23
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 15:53:10
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 15:53:10
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 15:53:10
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 15:53:10
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 15:53:10
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 15:53:10
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 15:53:10
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 15:53:10
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 15:53:10
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 15:25:08
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 17:30:49
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 17:30:49
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 17:30:57
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 17:30:58
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 17:33:23
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 17:31:13
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 17:31:28
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 17:31:33
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 17:31:33
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 17:31:37
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 17:31:38
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 17:20:35
VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 11:07:10
VBASE027.VDF : 7.10.6.34 136192 Bytes 06.04.2010 19:21:05
VBASE028.VDF : 7.10.6.44 232448 Bytes 07.04.2010 19:21:05
VBASE029.VDF : 7.10.6.45 2048 Bytes 07.04.2010 19:21:05
VBASE030.VDF : 7.10.6.46 2048 Bytes 07.04.2010 19:21:05
VBASE031.VDF : 7.10.6.54 96256 Bytes 09.04.2010 14:19:00
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 09:52:43
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 03.04.2010 11:07:14
AESCN.DLL : 8.1.5.0 127347 Bytes 26.02.2010 10:37:39
AESBX.DLL : 8.1.2.1 254323 Bytes 17.03.2010 18:03:47
AERDL.DLL : 8.1.4.3 541043 Bytes 17.03.2010 18:03:38
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 17:31:32
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 18:03:32
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 27.03.2010 17:31:43
AEHELP.DLL : 8.1.11.3 242039 Bytes 03.04.2010 11:07:13
AEGEN.DLL : 8.1.3.6 373108 Bytes 03.04.2010 11:07:13
AEEMU.DLL : 8.1.1.0 393587 Bytes 10.11.2009 17:59:12
AECORE.DLL : 8.1.13.1 188790 Bytes 03.04.2010 11:07:12
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 11.11.2009 17:31:14
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:10:18
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:09:22
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, F:, I:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Samstag, 10. April 2010 12:08
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\errorcontrol
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\jd6c2nsr0
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\lk0q8eclb
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\soccx\jw0vt3infm6
[INFO] Der Registrierungseintrag ist nicht sichtbar.
OrbIR.exe
[INFO] Der Prozess ist nicht sichtbar.
Es wurden '23352' Objekte überprüft, '8' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Orb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'quickset.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PPAP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hidfind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sttray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OrbTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEstSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'stacsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '66' Prozesse mit '66' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '42' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Windows\System32\drivers\soccx.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Windows\System32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Musik>
Beginne mit der Suche in 'E:\' <Downloads>
Beginne mit der Suche in 'F:\' <RECOVERY>
F:\zonealarm8en.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Archivtyp: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
Beginne mit der Suche in 'I:\' <Elements>
I:\$RECYCLE.BIN\S-1-5-21-1981820849-1269703919-3846408820-1001\$REJ4925\HiddenTarget.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
I:\Images\Batman Arkham Asylum\BatmanArkhamAsylum.Data.001
[WARNUNG] Die Datei konnte nicht gelesen werden!
Beginne mit der Desinfektion:
C:\Windows\System32\drivers\soccx.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[WARNUNG] Die Datei konnte nicht zum Löschen nach dem Neustart markiert werden.Mögliche Ursache: Ein an das System angeschlossenes Gerät funktioniert nicht.
I:\$RECYCLE.BIN\S-1-5-21-1981820849-1269703919-3846408820-1001\$REJ4925\HiddenTarget.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c2460ee.qua' verschoben!
Ende des Suchlaufs: Samstag, 10. April 2010 13:27
Benötigte Zeit: 1:17:44 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
23663 Verzeichnisse wurden überprüft
452351 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
452345 Dateien ohne Befall
3543 Archive wurden durchsucht
6 Warnungen
4 Hinweise
23352 Objekte wurden beim Rootkitscan durchsucht
8 Versteckte Objekte wurden gefunden
|
Malwarebytes (Quickscan):
Zitat:
Datenbank Version: 3973
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
10.04.2010 13:51:21
mbam-log-2010-04-10 (13-51-21).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104801
Laufzeit: 6 Minute(n), 7 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\system32\Drivers\soccx.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
|
CCleaner wurde auch ausgeführt, konnte alles problemlos beheben. Nur der Fehler durch Antivir wird noch angezeigt.
Bei
RSIT hab ich allerdings ein Problem. Nach dem Start gibt es bei "Listing services and drivers" den selben Error:
Liegt es an irgendwelchen Programmen, die noch laufen?
Schonmal danke für die Hilfe
10.04.2010, 13:17
Baum-Darstellung