Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden (https://www.trojaner-board.de/79900-worm-koobface-csa-tr-crypt-xpack-gen-gefunden.html)

chrisse2 30.11.2009 20:27
WORM/Koobface.csa und TR/Crypt.XPACK.Gen gefunden
 
Hallo,

bin durch einen Facebook-Link auf eine Seite gekommen - daraufhin öffnete sich Antivir und verkündete mit den Fund von Koobface.
Ich habe als Option "löschen" ausgewählt und auf der Website keinerlei weitere Eingaben getätigt.

Vor einigen Wochen habe ich mir auch noch TR/Crypt.XPACK.Gen eingefangen und ebenfalls mit Antivir gelöscht.

Die Antivir Meldungen

1. In der Datei 'C:\Windows\Temp\TMP0000000B0F5B3DC3E0BF17F5'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


2.In der Datei 'C:\Users\meinUser\AppData\Local\Mozilla\Firefox\Profiles\d6r4nmu3.default\Cache\FAFBD738d01'
wurde ein Virus oder unerwünschtes Programm 'WORM/Koobface.csa' [worm] gefunden.
Ausgeführte Aktion: Datei löschen

Mein System:
Win 7, Antivir, Firefox -> alles up2date

CCleaner wurde ausgeführt, Antimalware hat keinen Befund gebracht,
nachfolgend noch der HijackThis Log.

Wäre nett, wenn da nochmal jemand rüber schauen könnte.

Vielen Dank für die Hilfe !

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:51, on 30.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [Remote Control Editor] "C:\Program Files\Common Files\TerraTec\Remote\TTTvRc.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: CCC.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

--
End of file - 4401 bytes

kira 07.12.2009 15:43
Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:
**Vista und Win7 User: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

2.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

3.
Ich würde gerne noch all deine installierten Programme sehen:
Ccleaner starten→ klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
gruß
Coverflow

chrisse2 07.12.2009 21:34
Hallo,
vielen Dank für die Antwort!

1. nichts gefunden, Log:

Code:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Monday, December 7, 2009
 Operating system: Microsoft Home Edition (build 7600)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Monday, December 07, 2009 16:55:42
 Records in database: 3340390
--------------------------------------------------------------------------------

Scan settings:
        scan using the following database: extended
        Scan archives: yes
        Scan e-mail databases: yes

Scan area - My Computer:
        C:\
        D:\
        E:\

Scan statistics:
        Objects scanned: 87274
        Threats found: 0
        Infected objects found: 0
        Suspicious objects found: 0
        Scan duration: 01:52:48

No threats found. Scanned area is clean.

Selected area has been scanned.

2. ebenfalls ohne Befund, habe leider nach dem Scan keine Möglichkeit gefunden, einen Log zu erstellen?!


3.

Code:
7-Zip 4.65                23.11.2009               
Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        21.11.2009                10.0.32.18
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        22.11.2009                10.0.32.18
Adobe Reader 9.2 - Deutsch        Adobe Systems Incorporated        23.11.2009        238,9MB        9.2.0
AMP WinOFF                22.11.2009               
Areca                24.11.2009               
ATI Catalyst Install Manager        ATI Technologies, Inc.        22.11.2009        13,4MB        3.0.604.0
Avira AntiVir Personal - Free Antivirus        Avira GmbH        22.11.2009               
CCleaner        Piriform        25.11.2009               
CDBurnerXP        CDBurnerXP        05.12.2009                4.2.7.1801
Cinergy T USB XXS V2.03.03.29                24.11.2009                2.03.03.29
HijackThis 2.0.2        TrendMicro        29.11.2009                2.0.2
ICQ6.5        ICQ        22.11.2009                6.5
Java(TM) 6 Update 17        Sun Microsystems, Inc.        24.11.2009        97,7MB        6.0.170
JDownloader        AppWork UG (haftungsbeschränkt)        23.11.2009                0.89
Malwarebytes' Anti-Malware        Malwarebytes Corporation        29.11.2009               
Messenger Plus! Live        Patchou        22.11.2009                4.83.0.372
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        23.11.2009        0,25MB        8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        24.11.2009        0,34MB        8.0.59193
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148        Microsoft Corporation        23.11.2009        0,20MB        9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        21.11.2009        0,58MB        9.0.30729
Mozilla Firefox (3.5.5)        Mozilla        22.11.2009                3.5.5 (de)
Mozilla Thunderbird (2.0.0.23)        Mozilla        22.11.2009                2.0.0.23 (de)
MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        24.11.2009        35,00KB        4.20.9870.0
MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        24.11.2009        1,33MB        4.20.9876.0
Nokia Connectivity Cable Driver                02.12.2009                6.80.5.1
OpenOffice.org 3.1        OpenOffice.org        23.11.2009        364,8MB        3.1.9420
Panda ActiveScan 2.0        Panda Security        29.11.2009        3,91MB        01.03.04.0001
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        24.11.2009                6.0.1.5983
Siedler3                25.11.2009               
SpeedFan (remove only)                27.11.2009               
Synaptics Pointing Device Driver        Synaptics Incorporated        21.11.2009                14.0.3.0
TerraTec Home Cinema                24.11.2009                6.11.5
TV-Browser 2.7.4                25.11.2009                2.7.4
ViceVersa Free 1.0.4        TGRMN Software        24.11.2009                1
VLC media player 1.0.3        VideoLAN Team        22.11.2009                1.0.3
Winamp        Nullsoft, Inc        02.12.2009                5.56
Windows Live Anmelde-Assistent        Microsoft Corporation        22.11.2009        1,94MB        5.000.818.5
Windows Live Essentials        Microsoft Corporation        22.11.2009                14.0.8089.0726
Windows Live-Uploadtool        Microsoft Corporation        22.11.2009        0,22MB        14.0.8014.1029

Also nochmals danke! :)

Gruß

kira 08.12.2009 10:25
hi

es sieht gut aus:)

1.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
c:\windows\temp
- anschließend den Papierkorb leeren

2.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

3.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

** Hast du jetzt noch irgendwelche Probleme?


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131