TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI
 

Hallo und schon mal im Vorab vielen Dank für eure Hilfe.
Die genannten Viren wurden heute beim Suchlauf von Antivir gemeldet.

TR/Crypt.XPACK.Gen2, TR/Spyeye.H.36 und JAVA/OpenConnect.AI

Es handelt sich um den Rechner meiner Frau. Der Rechner hätte sich nach der Erkennung neu gestartet und der Sysemlautsprecher gepiepst.

Ich habe malwarebytes laufen lassen und folgendes Log erhalten:
GMER:
Ist der Gute noch zu retten? Ich wäre auch über Tips zur Datensicherung von diesem Rechner glücklich um möglichst viel zu retten (Setups, e-mails Daten, etc.)

Danke für die Mühen.

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

** Betreibt ihr Online-Banking?
Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

3.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

4.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

5.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ "Download"→ " Download from FileHippo.com"
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Danke schon mal. Werde mal den betreffenden Rechner hochfahren und loslegen.
Dauert noch ca. ne Stunde bis ich loslegen kann.

HiJackthis Logfile:
--- --- ---

CCleaner:

MBAM läuft noch.

MBAM ist auch durch.
Ich hoffe da ist noch was zu machen.
Die Statistik- Software ist für die Arbeit, die meine Frau manchmal mit nach Hause bringt.
Nochmals Danke für die Hilfe und den Rat.

Reihenfolge bitte immer einhalten!
Hast Du das Log mit HijackThis früher erstellt:
als MBAM mit den vollständigen Systemscan gestartet?!
daher bitte die folgenden Schritte wiederholen:
Punkt 2. und 4. (nur starten-> frisches Logfiles erstellen lassen und sie dann hier posten!):-> http://www.trojaner-board.de/94977-t...tml#post612268

Sorry, hab mir schon gedacht, dass es so sein muss. Mein Fehler.
Schon irgendwelche ersten Hinweise und Tips, wie es aussieht.
Bis später und weiterhin vielen Dank.

[code]
HiJackthis Logfile:
--- --- ---

- Punkt 4. - nicht vollständig gepostet hast:-> http://www.trojaner-board.de/94977-tr-crypt-xpack-gen2-tr-spyeye-h-36-und-java-openconnect-ai.html#post612268

- bin ich mir nicht sicher, ob Du absichtlich installiert hast, da oft mit andere Programm wird mitinstalliert bzw angeboten:
obwohl selbst die Programmierer/hersteller ein sehr gute Ruf hat, durch dieses "Helferprinzip" wird dein PC nicht noch mehr geschützt, aber beeinträchtigt die Systemleistung

Nun sollten wir es aber haben. Bei Ultredit wird nur der aktuelle Seiteninhalt markiert. Tut mir leid.

Ist deinstalliert. Wie gesagt, handelt es sich um den Rechner meiner Frau. Daher hab ich hier nur weniger Hoheitsrechte.

noch etwas, sehr wichtig:

Das Programm HijackThis muss in einem eigenen Ordner laufen, um Backups erstellen zu können.
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)
also lösche HijackThis und lade Dir erneut von hier TrendMicro™ HijackThis™/Version 2.0.4 herunter (Dateiändung: eventuell wird automatisch umbenannt),poste das Logfile
nach installation so soll aussehen: C:\Programme\Trend Micro\HijackThis\HijackThis.exe

1.
starte HijackThis--> wähle Open the Misc Tools section --> dann Delete a file on reboot... --> wähle die zu löschende Datei (sehe der Inhalt dieser Code-Box), die Frage zum Neustart mit NEIN beantworten, wieder Delete a file on reboot wählen, nächste Datei auswählen usw., bis Du die letzte Datei ausgewählt hast, nun antwortest du auf die Frage zum Neustart mit JA
>> Text kopieren und einfügen (oder "Durchsuchen")::
2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 23 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

• `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
• `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

** Systemzustand stabil? noch Probleme?

Java war komplett gelöscht. Cache und tmp geleert. Das System läuft wieder absolut stabil, aber trotzdem verwunderlich, dass der noch da war, oder?
Ist das System jetzt wieder clean? Über ein bisschen feedback würde auch ich mich freuen.

Der Rechner ist insoweit `Stand der Technik` ist virenfrei

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen (SWH wieder "aktivieren")

3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

4.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Dann doch schon mal ein ganz herzliches Dankeschön. War also wohl eher was kleineres? Gibt es noch irgendwelche Details, die ich wisseb sollte?
Herkunft, Löcher?
Kein Backdoor oder Rootkit gefunden?
Haben die Helfenden auch was davon, wenn man dem Board spendet?

War also wohl eher was kleineres?
ja...

Kein Backdoor oder Rootkit gefunden?
Zeichen auf Backdoor ähnliches Verhalten ja, aber zum Glück, Du hast noch sozusagen mit einem blauen Auge davon gekommen:daumenhoc

Haben die Helfenden auch was davon, wenn man dem Board spendet?
ja..aber nicht in finanzieller Hinsicht, sondern im Rahmen dieses Forums! Damit weiterhin alle kommen können, die Kostenlose und unabhängige Beratung und Hilfe benötigen.
Als Teamarbeiter euch zu helfen, ein sehr abwechslungsreiche Aufgabenspektrum bietet, "Käfer-Sammeln" ist ein schönes Hobby:aufsmaul:
Ausserdem die bestehende Sammlungsdatenbank für Antivirenhersteller wird ständig erweitert, damit euer Rechner besser geschützt. Da die Virus-Programmierer immer einen Schritt voraus sind, die Entdeckungs- und Entfernungsmöglichkeiten immer noch sehr begrenzt, aber wir geben auch nicht auf;)

Lesestoff:

• Wie erstelle ich ein eingeschränktes Benutzerkonto?
• Ein sicherer Browser als IE z.B. *Ein Wechsel des Standardbrowsers zu...von SETI@home* [/url] - Firefox - FirefoxWiki/Einstellungen - Erweiterungen für Firefox - Standardbrowser
• Sichere eMail Clients z.B. Thunderbird-->Erweiterungen für Mozilla Thunderbird
• sichere Paswort - Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
  auch noch hier unter: Sicheres Kennwort (Password)
• "Never accept software from strangers" - Installiere grundsätzlich immer nur Programme, die Du auch wirklich benötigst und von denen Du überzeugt bist, dass sie seriös sind.
  -> Bei der Installation immer mitlesen, Sponsoren und Partnerprogramme, Toolbars etc möglichst abwählen!
• NICHT irgendwelche Programme aus dem Netz laden, wenn nicht zu 100% fest steht, dass es sich dabei um saubere Software handelt. Nette Versprechen der Hersteller garantieren noch lange keine einwandfreie Funktionsweise, also vorher blättere die Seiten bei GOOGLE, da kannst Du Dir wertvolle Informationen holen!!!
• Vorsicht bei der Nutzung fremder Computer und anschliessbare Externe Speichermedien wie Festplatte, USB Sticks, Speicherkarten usw![/color][/b] - IT-Betrüger machen keinen Urlaub!/bsi-fuer-buerger.de - auch zeitweise anschließen und scannen lassen (sehe unter `kostenlose Online-Viren-Scanner`)
• Virenscanner
• BSI für Bürger
• SETI@home - [Sicherheit] Sicherheitskonzept
• Entwicklung schädlicher Websites/viruslist.com

wünsch Dir alles Gute:)

Scheint doch noch nicht so wirklich gut zu sein. Ich hab nen neuen Thread aufgemacht, weil ich dachte "neuer Virus-neues Thema".
http://www.trojaner-board.de/95283-e...tml#post615722
War wohl nicht der richtige Weg. Sorry. Über weiter Hilfe freue ich mich trotzdem.

Wenn irgend etwas mit deinem PC nicht in Ordnung ist, bitte eine möglichst kurz und genaue Problembeschreibung! Hast Du eine unsichere Seite besucht?

ausserdem:
Was ist *Exploit *
Das heißt nicht unbedingt dass dein System infiziert ist, zumindest die Versuch wurde v Avira abgewährt

Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum
- Punkt 1.: Einstellung
- Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits)
- Logs speichern/posten
** Bemerkung:
"Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar

kein problem mit dem rechner, abher eben mit neuen meldungen bei avira

Gibts irgendwo tips zur virenfreien Datensicherung? Es soll sowieso ein neuer Rechner her, dann würde ich den hier halt doch neu formatieren, bevor er seiner neuen Bestimmung als kleiner Arbeiter an meinem Etikettendrucker überantwortet wird.
Rootkit scan kommt.

Tipps kann ich Dir geben:

Datensicherung:
Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
** Empfehle ich Dir NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Bevor du mit deinem PC direkt ins Netz gehst:
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern ( am besten von einem anderen, nicht-infizierten Rechner aus! )
- Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

auch eventuell vorher eine Live-CD laufen lassen:

• Knoppicillin - bootfähige Live-CD zur Desinfektion von Rechnersystemen nach einem Virenbefall-->Bebilderte Anleitung
• Knoppix--> Datei:Knoppix-logo.svg
• Ubuntu--> Download/ubuntu.com
• kannst Du auch auf einem USB Stick `installieren`-->* Installation* FromUSBStick--> Anleitung 1.-->Anleitung 2. - (Aktuell halten, das Update umgehend einspielen, dies geht etwa über die eingebaute Update-Funktion)
• Ubuntu-CD Problembehebung
• Avira AntiVir Rescue System
• Viren jagen mit Knoppix
• WinPE/BartPE
• Dr.Web® LiveCD
• Kaspersky

gruß
Cf

Danke. Sind die nächste Woche im Urlaub. Werd mich danach weiter bemühen.