TR/Crypt.ZPACK.Gen2 - in Programme/Skype/Phone/Skype.exe
 

Hallo zusammen,

ich hoffe, dass ihr mir helfen könnt.

Nachdem ich soeben Skype staren wollte, brachte Antivir die Meldung, dass sich TR/Crypt.ZPACK.Gen2 in der Datei Programme/Skype/Phones/Skype.exe verstecken würde.

Nachdem ich nun einige Problembehandlungen hier und da gelesen habe, bin ich verunsichert, was zu tun ist. Deswegen hab ich erst mal nichts weiter gemacht, außer ein Vollscan mit Antivir zu starten.

Bevor ich etwas falsches mache, wende ich mich lieber gleich an Euch und ich hoffe, dass ihr mir helfen kann.

Dazu meine Frage:
Anscheinend ist das ein Trojaner, der PW ausspioniert und versendet. Stimmt das?
Falls ja, wie bekomm ich den weg?
Kann man eingrenzen/herausfinden, welche Passwörter er wo ausspinoert hat, oder sollte man alle ändern?

Liebe Grüße,
Pixie

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Ich vermute nun, dass es doch etwas größeres ist.
Was habe ich bisher getan?

Ich hatte ja Antivir drüber laufen lassen. Da kam die Meldung, über SPR/Tool.Srvman.B und SPR/Destart.A
Sodann hab ich Antivir runter geschmissen und ein anderes Antivirus-Programm draufgespielt und prüfen lassen --> Avast! Dieses erkannte nix, außer, bei G:/Programme/Sony/SoniceStage/Images/picture/026a.jpg der Fehler: Datenfehler (CRC-Prüfung) 23.
Eine infizierte Datei (die, die auch Antivir schon beanstandet hat) nämlich service.exe, die zuvor in c:/windows/System32 war, wurde in den "Virus Container" verschoben.

Beim Versuch, Malewarebytes als Vollscan drüber laufen lassen, hat sich das Programm nach ungefähr 5 Minuten von selbst geschlossen, ohne eine Logfile zu speichern. Vermutlich nach dem verschieben der service.exe in den Container ging nun zumindest der Quickscan. (Ich weiß nicht mehr ganz genau, ob das nachdem ging, nachdem Avast drüber gelaufen ist.)

Der Vollscan läuft gerade - den poste ich dann gleich hier.

Aber hier mal das Ergebnis des Quickscans:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.10.2011 17:42:08
mbam-log-2011-10-11 (17-42-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 163879
Laufzeit: 16 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

P.S. Danke Arne, für deine Anweisungen und dass du dich meines Problemes angenommen hast. :)

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

So, jetzt hab ich Malewarebytes vollständig durchlaufen lassen. Hier die Log:

Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7921

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.10.2011 20:16:29
mbam-log-2011-10-11 (20-16-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 294010
Laufzeit: 2 Stunde(n), 24 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ESET kommt auch noch? :)

Ja, ja... es läuft.

:pfeiff: :juul:

So... nun hier der Ertrag...

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=2bf9b6301b2fc34583e7f1d8724ec518
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-11 09:05:44
# local_time=2011-10-11 11:05:44 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8192 67108863 100 0 263 263 0 0
# scanned=141590
# found=15
# cleaned=0
# scan_time=5347
C:\Programme\Gemeinsame Dateien\Real\Toolbar\RealBar.dll probably a variant of Win32/Adware.Toolbar.Visicom.AB application (unable to clean) 00000000000000000000000000000000 I
C:\System Volume Information\_restore{CC11E2FD-0A11-4C40-BC97-3C1FD7F54DAD}\RP983\A0227972.EXE probably a variant of Win32/Agent.OCMJPE trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-1fe03039 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-215d1b01 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-28c66f9b probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-350e8baf probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-372a9ecb probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-426e123c probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-451ce94b probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-58b0beb3 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-729e4821 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7a331829 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7a438070 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58\fa8f07a-7aff9a73 probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I
G:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmaudio.jar-2e7e2cd5-52254257.zip probably a variant of Win32/Agent.DYXWUMY trojan (unable to clean) 00000000000000000000000000000000 I


:confused::confused::confused:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread