Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Kaspersky dauernder Alarm Packed.Win32.Krap.ag (https://www.trojaner-board.de/82346-kaspersky-dauernder-alarm-packed-win32-krap-ag.html)

Axel 29.01.2010 20:15
Kaspersky dauernder Alarm Packed.Win32.Krap.ag
 
Guten Abend

Ich hatte vor einiger Zeit eine Malware namens msa.exe, a.exe, b.exe und c.exe auf dem PC. Da sich nur a.exe löschen ließ wurden die anderen unter Quarantäne von Kaspersky gestellt.
Jetzt meldet das Schutzcenter von Kaspersky aber jeden Tag, dass es die Dateien msa.exe, b.exe und c.exe gefunden habe. Kurz darauf kommt, dass der Schutz von Kaspersky nicht funktioniere.
Ich habe bereits einen Logfile mit HijackThis erstellt und die msa.exe damit gefixed dann habe ich noch einen vollständigen Scan mit DrWeb CureIt gemacht der hat aber nichts gefunden. Dann habe ich noch einen Scan mit Malwarebytes gemacht der hat dann schon wieder mehr gefunden. Die Sachen hab ich alle gelöscht. Unter anderem waren das Registrierungseinträge, welchen einen Fake Alarm hervorrufen sollten.

Hier mal nur die Ereignisse von Kasperskys Schutz-Center heute:
Code:
Schutz-Center  (Ereignisse: 18)       
29.01.2010 07:05:59        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 07:05:59        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 07:05:59        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\b.exe                       
29.01.2010 07:06:00        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\c.exe                       
29.01.2010 07:12:27        Der Schutz funktioniert nicht        Kaspersky Internet Security                                       
29.01.2010 14:34:44        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 14:34:44        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 14:34:44        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\b.exe                       
29.01.2010 14:34:44        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\c.exe                       
29.01.2010 15:13:43        Der Schutz funktioniert nicht        Kaspersky Internet Security                                       
29.01.2010 17:36:34        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 17:36:35        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 17:36:35        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\b.exe                       
29.01.2010 17:36:35        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\c.exe                       
29.01.2010 19:50:47        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 19:50:47        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Windows\msa.exe                       
29.01.2010 19:50:47        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\b.exe                       
29.01.2010 19:50:47        Gefunden: Packed.Win32.Krap.ag        Kaspersky Internet Security                C:\Users\***\AppData\Local\Temp\c.exe
MfG Axel

cosinus 30.01.2010 15:23
Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Axel 30.01.2010 21:49
Danke für die schnelle Antwort.

Also als ich das System gescannt hatte habe ich auch immer die externe Festplatte mit eingebunden. Die ganzen Logfiles hatte ich bis zum 13. Januar erstellt. Ich denke das das aber ziemlich egal ist da sich seitdem eigentlich nichts an den Warnmeldungen getan hat. Der einzige neue Logfile ist von RSIT.

Erkannte Bedrohungen von Kaspersky
Ereignisse in Kaspersky (seit der Erstellung von diesem Logfile gab es wie im letzten Beitrag beschrieben jeden Tag die gleichen Meldungen)
HijackThis Logfile
Malwarebytes Logfile (die dabei gefundenen Sachen habe ich jetzt alle gelöscht)
RSIT Log
RSIT Info
Alles in 1

Das waren glaube ich alle.

MfG Axel

cosinus 01.02.2010 12:27
Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Axel 01.02.2010 19:20
Habe ich gemacht allerdings kommt am Ende "Parameterformat falsch - 850".
Hier der Logfile von Lop S&D.

MfG Axel

cosinus 01.02.2010 19:28
Zitat:
Zitat von Axel (Beitrag 500549)
Habe ich gemacht allerdings kommt am Ende "Parameterformat falsch - 850".
Kein Wunder, Du hast ein 64-Bit-Windows, das hab ich irgendwie übersehen ist aber kein Problem :D

Allerdings muss ich immer diesen Hinweis posten: Du nutzt ein 64-Bit-Windows. Viele Tools, die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64-Bit-Windows nicht kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Sagmal, ist das zufällig ein Firmenrechner? Die Kiste ist randvoll mit sündhaft teurer Adobe CS3/4 Suites :rolleyes: was für Privatleute doch eher das Budget sprengen dürfte

Zitat:
Infizierte Dateien:
C:\Users\***\AppData\Local\Temp\keygen.exe (Malware.Tool) -> No action taken.
keygen.exe macht die ganze Sache auch nicht besser :teufel2: :aufsmaul:

Axel 01.02.2010 20:09
Ich hab ein paar Sachen von meinem Vater aus der Firma bekommen weiß gar nicht ob er das überhaupt durfte^^
Den Keygen hab ich auch schonmal mit einem Scanprogramm gefunden hab eigentlich gedacht der wäre gelöscht.

MfG Axel

cosinus 01.02.2010 20:18
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Axel 01.02.2010 21:30
Guten Abend nommel

Hier die 2 OTL Files.

Nen guten Abend noch Axel

@cosinus: und Herzlichen Glückwunsch zu deinem 5000ten Beitrag :alc:

cosinus 01.02.2010 22:02
Zitat:
Zitat von Axel (Beitrag 500612)
@cosinus: und Herzlichen Glückwunsch zu deinem 5000ten Beitrag :alc:
Danke :D
Eigentlich müsste ich schon bei ca. 13500 Beiträgen hier sein, warum will ich jetzt aber nicht näher erläutern :killpc:

cosinus 01.02.2010 22:15
Zitat:
C:\Windows\SysNative\drivers\tap0901t.sys
C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
Bitte diese beiden Dateien bei virustotal.com auswerten lassen und Ergebnislinks posten.

Axel 01.02.2010 22:49
www.VirusTotal.com:
tap0901t.sys
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
Gab keine Ergbenisse!

MfG Axel

cosinus 01.02.2010 22:53
Trotzdem sehr merkwürdige Dateien. Lad die bitte bei uns mal hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Axel 01.02.2010 23:17
Also ich hab mal nachgeschaut und Windows zeigt an, dass tap0901t.sys von Tunngle.net ausgeht.
Was die andere Datei angeht sieht etwas komisch aus was dadrin steht.
Ich werde beide morgen mal hochladen.

MfG Axel

Axel 04.02.2010 22:33
Guten Abend nochmal

Also irgendiwie habe ich das Gefühl, dass ich den nicht mehr wegbekomm.
Ich habe mir jetzt überlegt Windows 7 zu installieren und bei der Installation die Formatierung drüberlaufen zu lassen. Wäre der Trojaner danach sicher weg?

MfG Axel

cosinus 04.02.2010 22:48
Formatieren ist immer sicher :)
Wieso hast Du das "Gefühl", dass er nicht weg geht? Immer noch Meldungen und/oder Auffälligkeiten?


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131