TR/Crypt.ZPACK.Gen2 -> Gelöscht und System zerschossen.Scans da.

KleineKieler · 17.12.2010, 13:06

Hallo
Ich habe any runtergeschmissen. War überfällig. Danke für den Tipp.

1. Ich habe den Scan mit Malware durchgeführt. Keine Funde, deswegen wurde mir auch die Option "Ergebnisse anzeigen" nicht angezeigt, nehme ich an.
Hier der Scan:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5342

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

17.12.2010 12:59:02
mbam-log-2010-12-17 (12-59-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 438346
Laufzeit: 1 Stunde(n), 2 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Allerdings befinden sich in der Maleware Quarantäne noch folgende Dinge:

Soll ich die löschen?

3. Bei 3. habe ich das Problem, dass Hijack This will, dass ich alle Windows Explorer Fenster schließe, was ich jedoch gemacht habe. Habe im Task Manager sogar einmal
den gesamten Windows Explorer beendet. Da komme ich nicht weiter. Habe ich etwas übersehen? Firefox schließe ich natürlich auch.
Anwendungen sind keine offen.

4. und 5. kann ich nicht durführen, da sich unter Start->Systemsteuerung, Java nicht befindet. Unter C/Programme86x befindet sich ein Java->Jre6->Java.exe. Diese exe lässt sich aber scheinbar nicht richtig ausführen. Es blinkt nur kurz ein kl. schwarzes Fenster auf.

Alle anderen Punkte bis zu 9. habe ich erfolgreich erledigt.

kira · 17.12.2010, 23:44

Zitat:

Zitat von KleineKieler

Allerdings befinden sich in der Maleware Quarantäne noch folgende Dinge...

kannst Du die Reportdatei hier posten?

KleineKieler · 18.12.2010, 10:47

Hallo
Ich hoffe, du meinst die alte Logdatei, in der die sich in der Quarantäne befindlichen Objekte gefunden wurden?!
Hier vom 10.2.09

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1743
Windows 6.0.6001 Service Pack 1

10.02.2009 15:42:35
mbam-log-2009-02-10 (15-42-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 113129
Laufzeit: 19 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 3
Infizierte Dateien: 47

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\winapp.winsafe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{16406580-14ce-4441-b904-ad56cc8064ca} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\winapp.winsafe.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XP Police Antivirus (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\policeav (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Program Files (x86)\XPPoliceAntivirus (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\sounds (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Windows\iehost.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\AVCoreFn.dll (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\bdconf.cfg (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Core.dll (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\xppolice.exe (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cevakrnl.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cevakrnl.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cevakrnl.rvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ceva_dll.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ceva_emu.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ceva_vfs.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ceva_vfs.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cookie.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cran.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\cran.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\emalware.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\e_spyw.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\e_spyw.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\gvmscripts.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\hpe.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\java.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mdx_97.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mdx_97.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mdx_w95.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mdx_x95.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mdx_xf.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\mobmalware.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\na.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\nelf.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\regarch.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\regscan.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\rup.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\sdx.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\sdx.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\unpack.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\unpack.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\vb0.dat (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\vb1.dat (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\vb2.dat (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ve.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\ve.ivd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\Plugins\vedata.cvd (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\sounds\alert.wav (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\sounds\click.wav (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Program Files (x86)\XPPoliceAntivirus\sounds\fire.wav (Rogue.XP-PoliceAntivirus) -> Quarantined and deleted successfully.
C:\Users\Claudia\Desktop\XP Police Antivirus.lnk (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.
C:\Users\Claudia\AppData\Roaming\Microsoft\Windows\Start Menu\XP Police Antivirus.lnk (Rogue.XP-Police-Antivirus) -> Quarantined and deleted successfully.

Und vom 15.12.2010

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5317

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

15.12.2010 14:30:40
mbam-log-2010-12-15 (14-30-40).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 161250
Laufzeit: 3 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\Users\Claudia\AppData\Local\Temp\ms0cfg32.exe (Spyware.Passwords.XGen) -> 3324 -> Unloaded process successfully.
c:\Users\Claudia\AppData\Roaming\dwm.exe (Trojan.FakeAV) -> 2512 -> Unloaded process successfully.
c:\Users\Claudia\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> 4640 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\Claudia\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Claudia\AppData\Local\Temp\ms0cfg32.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Claudia\AppData\Roaming\dwm.exe (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\Users\Claudia\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\Claudia\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.

kira · 18.12.2010, 20:26

heftig..Quarantäne leeren bzw die Funde löschen lassen!

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

NUR DOWNLOADEN, WENN GMER NICHT AUSGEFÜHRT WERDEN KANN:
2.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Lade und installiere das Tool RootRepeal herunter

setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
"Stealth Objects" -> "Scan"-> Save Report"...
"Hidden Services" -> "Scan"-> Save Report"...
speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread

3.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
Nach dem Prompt (>_) folgenden

aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
Code:
ATTFilter
```
mbr.exe -t > C:\mbr.log & C:\mbr.log
         
```
(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

TR/Crypt.ZPACK.Gen2 -> Gelöscht und System zerschossen.Scans da.

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen2 -> Gelöscht und System zerschossen.Scans da.