TR/Pakes.A.28
 

Hi zusammen,

Hab ein kleines Problem. Ich hab mittels AntiVir einen Trojaner gefunden den ich partout nicht mehr los werde und ich bin mir selbst nicht ganz sicher, wie gefährlich das Löschen der Datei überhaupt ist. [Sprich: Systemversagen!]

Es handelt sich um die Datei
c:\windows\inf\avfont.dll
Sie ist etwa 412 KB groß und läßt sich mit den AV Optionen
- Quarantäne
- Löschen
- Überschreiben und Löschen
- Umbenennen
- Zugriff verweigern
- Zugriff erlauben
in keinster Weise unter Kontrolle bringen. Auch ein Komplettscan mit dem Wunsch sie gleich beim Neustart zu löschen brachte kein Ergebnis.

AntiVir ==> TR/Pakes.A.28 gefunden
ArcaVir ==> Trojan.Pakes gefunden
Avast ==> Win32:Trojano-1165 gefunden
AVG Antivirus ==> Keine Viren gefunden
BitDefender ==> Keine Viren gefunden
ClamAV ==> Trojan.Pakes-3 gefunden
Dr.Web ==> Trojan.Virtumod gefunden
F-Prot Antivirus ==> Keine Viren gefunden
Fortinet ==> W32/PAKES.Q-tr gefunden
Kaspersky Anti-Virus ==> Trojan.Win32.Pakes gefunden
NOD32 ==> Keine Viren gefunden
Norman Virus Control ==> Keine Viren gefunden
UNA ==> Trojan.Win32.Pakes gefunden
VBA32 ==> Keine Viren gefunden

Hab das oben noch gepostet, da ich mich mit den ganzen Namen nicht so gut auskenne und es ggf. viel helfen kann. Ist das Ergebnis des Scans bei http://virusscan.jotti.org/de/ .

Bin über alle Vermutungen, Tipps und Ideen sehr dankbar.

Ciao

Jürgen

PS: Besonders lästig ist der Systemneustart, weil da entsprechende Fehlermeldungen etwa 20mal aufpoppen.. zudem von Windows dann, dass es keinen Zugriff hat.

Hallo islandius,

welche Datei ist dies und wo befindet sich diese (Pfad).

Poste bitte ein Hijackthis-Logfile.
Editiere bitte alle Links und ev. Persönliche Daten.

dartus

Hi Dartus,

Die Datei heißt avfont.dll. Vermute also, dass sie irgendwas mit den Schriftarten zu tun hat und Windows XP Home wohl ständig drauf zugreift.

Logfile of HijackThis v1.99.1
Scan saved at 00:57:39, on 02.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirus_Personal\AVGUARD.EXE
C:\Programme\AntiVirus_Personal\AVWUPSRV.EXE
C:\WINDOWS\System32\PLServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\AntiVirus_Personal\AVGNT.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\BÜRO\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\DOKUME~1\BÜRO\LOKALE~1\Temp\ssc.dll - {3437A7DC-2F2A-4A22-8441-F03ADA3CEADD} - C:\DOKUME~1\BÜRO\LOKALE~1\Temp\ssc.dll (file missing)
O2 - BHO: CATLEvents Object - {ED748391-D25B-4A9B-BBD5-9F27E03E4A60} - C:\WINDOWS\inf\avfont.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\axcn.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirus_Personal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1125420403772
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1125420886767
O20 - Winlogon Notify: avfont - C:\WINDOWS\inf\avfont.dll
O20 - Winlogon Notify: fontbin - C:\WINDOWS\java\fontbin.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: mcfax - C:\WINDOWS\java\classes\mcfax.dll (file missing)
O20 - Winlogon Notify: wmseula - C:\WINDOWS\Cursors\wmseula.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirus_Personal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirus_Personal\AVWUPSRV.EXE
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINDOWS\System32\PLServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hab die beiden Linien die mir verdächtig erscheinen in fett hervorgehoben. Kann aber auch gut sein, dass ich vollkommen daneben liege.

Vielen Dank schonmal.

Jürgen

hallo islandius

der hier
ist der hier
http://www.sophos.com/virusinfo/anal...jteadoora.html
und damit hast Du möglicherweise ein wirkliches Problem!
Lass die Datei bei Jotti prüfen. Wenn sich meine Vermutung bestätigt hilft
nur noch nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=12154 neu aufsetzen!
Bis denn stupormundi

Hi stupormundi,

Das klingt ja wirklich nicht sehr berauschend, besonders weil's nicht mein Computer ist und ich davon ausgehe, dass die entsprechende Recovery CD natürlich nicht da ist wo ich bin. [Wäre sonst ja auch viel zu trivial.]

Kann es sein, dass ich diesen File gar nicht sehe?
Ich würd den gern von Jotti überprüfen, ist nur so, dass ich ihn im Verzeichnis nicht finde. [Also auch nicht, wenn ich die versteckten Dateien anzeigen lasse.] Ist das Ding möglicherweise so raffiniert, dass es sich quasi tarnt und ganz woanders auf der Festplatte ausharrt und es etwas tricky ist das Ding zu finden?

Dankeschön. Auch wenn das Lesen nicht wirklich so'n Vergnügen war... aber immerhin weiß ich jetzt Bescheid.

Jürgen

dann schreibe einfach das hier ins feld bei virusscan.jotti.org C:\WINDOWS\System32\axcn.exe und klick auf OK

vielleicht ist es im ads-stream..
HijackThis öffnen -> Misc -> Open ADS Spy -> Scan
Poste, ob da die datei mit vorkommt.

Hi,

Er sagt mir, dass ADS nur bei NTFS Systemen möglich sei... dachte bisher, dass XP dazu gehört. Seltsam.

Könnte ich die Datei einfach eliminiert mit eine der beiden folgenden Varianten?
1. "Delete a File on Reboot" und dabei einfach die Datei angeben... bei Neustart sollte die dann gelöscht werden und damit basta? Oder ist das zu einfach gedacht?
2. Im normalen Scan Fenster kann man davor ein Haken machen. Wenn ich die entsprechende Zeile O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\axcn.exe mit Häkchen versehe und dann auf "fix checked" klicke... Besteht da die Möglichkeit, dass dann alles verloren ist? Oder ist's ein Versuch wert?

Danke

Ach ja, bei jotti sagt er mir bei deinem Vorschlag, dass ich 0 Bytes hochgeladen habe.... kurzum, irgendwie werd ich den Eindruck nicht los, dass die Datei irgendwie nicht existiert oder eben superraffiniert ist.

überhaupt nicht schlimm , denn in windows/inf haben .scr .dll .pif .com .bat .exe-Dateien nichts zu suchen.

Irgendeine gute Idee wie ich die Datei dann loswerde?

Würde sie gerne dann einfach löschen. Nur sagt mir das System, dass zur Zeit drauf zugegriffen wird. Schön. Also kann man's ja mit den nächsten neubooten löschen... ich weiß nicht ob er das auch so durchführt, aber auf jeden Fall geht die Datei mit an AV nicht weg, wider dessen Versprechungen.

Gibt's ein gutes Programm dafür? Kann HiJackThis das?

Danke

ausprobiern.

oder
es gibt ein Programm namens unlocker : http://ccollomb.free.fr/unlocker/index.htm

damit den Schutz entfernen und dann versuchen zu löschen.

Ich glaub der Trick mit dem unlocker hat geklappt. Der Virenscanner hat in dem Moment vom Unlocken einige male angeschlagen und dann war ich ruck-zuck beim Blue Screen und ich dacht schon "Mist, schon wieder nix"... aber jetzt ist die Datei weg.
Lasse gerade den Scanner nochmal drüberlaufen, aber es sieht gut aus.

Meld mich danach nochmal, wenn's wirklich geklappt hat.

Ganz vielen lieben Dank!!!