Forum
Tipps
News
Menu-Icon

Win XP: Trojaner an Bord

 morgen jungs,

hier der log von mal malware:
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3966

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.04.2010 09:03:15
mbam-log-2010-04-10 (09-03-15).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 101724
Laufzeit: 7 Stunde(n), 44 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Fund von Antivir:
TR/Crypt.Zpack.gen

Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 10. April 2010  09:02

Es wird nach 1987196 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : MANFRED

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 10:11:16
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 16:37:53
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 20:22:52
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 16:42:27
VBASE005.VDF   : 7.10.4.204      2048 Bytes  05.03.2010 16:42:27
VBASE006.VDF   : 7.10.4.205      2048 Bytes  05.03.2010 16:42:27
VBASE007.VDF   : 7.10.4.206      2048 Bytes  05.03.2010 16:42:27
VBASE008.VDF   : 7.10.4.207      2048 Bytes  05.03.2010 16:42:27
VBASE009.VDF   : 7.10.4.208      2048 Bytes  05.03.2010 16:42:27
VBASE010.VDF   : 7.10.4.209      2048 Bytes  05.03.2010 16:42:28
VBASE011.VDF   : 7.10.4.210      2048 Bytes  05.03.2010 16:42:28
VBASE012.VDF   : 7.10.4.211      2048 Bytes  05.03.2010 16:42:29
VBASE013.VDF   : 7.10.4.242    153088 Bytes  08.03.2010 16:13:31
VBASE014.VDF   : 7.10.5.17     99328 Bytes  10.03.2010 16:16:12
VBASE015.VDF   : 7.10.5.44    107008 Bytes  11.03.2010 16:16:15
VBASE016.VDF   : 7.10.5.69     92672 Bytes  12.03.2010 16:16:15
VBASE017.VDF   : 7.10.5.91    119808 Bytes  15.03.2010 16:16:17
VBASE018.VDF   : 7.10.5.121    112640 Bytes  18.03.2010 16:23:16
VBASE019.VDF   : 7.10.5.138    139776 Bytes  18.03.2010 16:16:25
VBASE020.VDF   : 7.10.5.164    113152 Bytes  22.03.2010 16:16:18
VBASE021.VDF   : 7.10.5.182    108032 Bytes  23.03.2010 16:16:19
VBASE022.VDF   : 7.10.5.199    123904 Bytes  24.03.2010 16:16:20
VBASE023.VDF   : 7.10.5.217    279552 Bytes  25.03.2010 16:16:36
VBASE024.VDF   : 7.10.5.234    202240 Bytes  26.03.2010 16:16:36
VBASE025.VDF   : 7.10.5.254    187904 Bytes  30.03.2010 16:16:42
VBASE026.VDF   : 7.10.6.18    130560 Bytes  01.04.2010 16:16:47
VBASE027.VDF   : 7.10.6.34    136192 Bytes  06.04.2010 16:39:09
VBASE028.VDF   : 7.10.6.44    232448 Bytes  07.04.2010 03:12:35
VBASE029.VDF   : 7.10.6.45      2048 Bytes  07.04.2010 03:12:35
VBASE030.VDF   : 7.10.6.46      2048 Bytes  07.04.2010 03:12:35
VBASE031.VDF   : 7.10.6.55    101376 Bytes  09.04.2010 16:39:42
Engineversion  : 8.2.1.210
AEVDF.DLL      : 8.1.1.3      106868 Bytes  23.01.2010 19:20:16
AESCRIPT.DLL   : 8.1.3.24    1282425 Bytes  01.04.2010 16:16:46
AESCN.DLL      : 8.1.5.0      127347 Bytes  26.02.2010 16:11:53
AESBX.DLL      : 8.1.2.1      254323 Bytes  17.03.2010 16:46:08
AERDL.DLL      : 8.1.4.3      541043 Bytes  17.03.2010 16:45:58
AEPACK.DLL     : 8.2.1.1      426358 Bytes  19.03.2010 16:16:28
AEOFFICE.DLL   : 8.1.0.41     201083 Bytes  17.03.2010 16:45:52
AEHEUR.DLL     : 8.1.1.16    2503031 Bytes  27.03.2010 16:16:37
AEHELP.DLL     : 8.1.11.3     242039 Bytes  01.04.2010 16:16:45
AEGEN.DLL      : 8.1.3.6      373108 Bytes  01.04.2010 16:16:45
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.13.1     188790 Bytes  01.04.2010 16:16:45
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 16:11:38
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PCK,+PFS,

Beginn des Suchlaufs: Samstag, 10. April 2010  09:02

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '39980' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bittorrent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsEPCMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsAcpiSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\izhe.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.dkre
Beginne mit der Suche in 'D:\' <Lokaler Datenträger>
D:\Download\mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG.tar
 

  • Archivtyp: TAR (tape archiver)

    --> mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG/f4cg.rar
      [1] Archivtyp: RAR
      --> keygen.exe
        [FUND]      Ist das Trojanische Pferd TR/Agent.159232.D
      --> patch.exe
        [FUND]      Enthält Erkennungsmuster des Wurmes WORM/IrcBot.193536.3

Beginne mit der Desinfektion:
C:\WINDOWS\system32\izhe.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.dkre
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c282b0b.qua' verschoben!
D:\Download\mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG.tar
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c122ada.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. April 2010  09:36
Benötigte Zeit: 33:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   5058 Verzeichnisse wurden überprüft
 213022 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 213018 Dateien ohne Befall
   6918 Archive wurden durchsucht
      1 Warnungen
      3 Hinweise
  39980 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden


Wär super, wenn jemand versteht, was mir antivir damit sagen will  ::)

mfg kaputte


Antworten zu Win XP: Trojaner an Bord:

 

Zitat
D:\Download\mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG.tar

Wer Crax und Keygens einsetzt muss sich über Befall nicht wundern. Der Einsatz ist illegal deswegen sollte sich der Support auf den Hinweis des Plattmachen und Neuinstallation von Windows beschränken.

Lass in Zukunft die Finger von diesem Dreck, das ist gefährlich und illegal! 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wer Crax und Keygens einsetzt muss sich über Befall nicht wundern. Der Einsatz ist illegal deswegen sollte sich der Support auf den Hinweis des Plattmachen und Neuinstallation von Windows beschränken.

Lass in Zukunft die Finger von diesem Dreck, das ist gefährlich und illegal! 

Dem ist nix zuzufügen! Stimmt zu 100%

naja, also ehrlich gesagt, is das ding schon ewig drauf. und erst vor kurzem kam die meldung. kann mir nich vorstellen das es daran liegt  ::)

komisch find ich allerdings auch, dass sich nur antivir meldet. malware findet nix und spyware terminator auch nich.

kann mir vllt jemand sagen, was dieser zpack.gen macht??

mIRC ist ein Internet Relay Chat-Client.
mIRC.v6.35.Incl.KeyGen.and.Server.Patch-F4CG ist ein Sicherheits-Release dafür.
Also nix Illegales.
Allerdings schlägt Antivir in einigen Versionen Alarm(AVG, Nod32, Kaspersky und Avast nicht).
Also keine Panik.
 

Gehts noch? Seit wann ist ein Keygen ein Sicherheitsrelease?
Und nur weil schon ewig drauf ist, wird das Teil dadurch nicht legal(er)! 

Ein Keygen selbst ist nicht unbedingt illegal, solltest Du eigentlich wissen.
 

Dann zeig mir bitte einen legalen Keygen.
Du weißt wofür die eingesetzt werden? Man schaltet damit kostenpflichtige Software frei, ohne zu bezahlen. Das ist definitiv illegal, da gibt es nix drüber zu diskutieren.

Sicher weiss ich, wofür man die auch benutzen kann.
Aber der Besitz selber ist nicht illegal.
Nicht mal das Programmieren der Dinger ist illegal, sondern befindet sich in einer Grauzone.
Ein Beispiel für legale Nutzung?
ssh-keygen Generieren/Erzeugen von ssh-Keys z.B so spontan.

 

Zitat
ssh-keygen Generieren/Erzeugen von ssh-Keys z.B so spontan. 

Du vergleichst hier Äpfel mit Birnen. Natürlich braucht man eine Art Generator um einen Schlüssel für SSH zu erzeugen. Das brauchst Du auch für zB GnuPG/Mailverschlüsselung. Aber erklär mir mal bitte was diese Schlüsselerzeugung mit einem Keygen zu tun hat, den man benutzt, um (illegal) an einen Freischaltcode für kommerzielle Software zu kommen.

Nix, aber Du hast nach 'nem legalen Keygen gefragt und 'ne korrekte Antwort bekommen.
Dennoch bleibt die Tatsache, dass auch der sich hier auf dem PC  befindliche Keygen nicht illegal an sich ist. Auch dass dieser sich jemals in illegaler Weise im Einsatz befunden hat, ist durch nichts bewiesen. Der Verdacht( wenn es auch sehr gut möglich ist ;D) alleine reicht mir nicht aus, zu sagen, ich helfe Dir nicht.

 

Zitat
dass auch der sich hier auf dem PC  befindliche Keygen nicht illegal an sich ist.

Doch, dieser Keygen ist illegal. Zumindest die Verwendung von Programmen, wenn man diese mit Hilfe eines Keygens (illegal) freigeschaltet hat.

 
Zitat
Auch dass dieser sich jemals in illegaler Weise im Einsatz befunden hat, ist durch nichts bewiesen.

Einen Keygen hat man idR nicht nur aus Spaß so aufm Rechner. Es ist ziemlich unglaubwürdig, dass man diesen geladen und hinterher nicht genutzt hat.

Zitat
Der Verdacht( wenn es auch sehr gut möglich ist Grin) alleine reicht mir nicht aus, zu sagen, ich helfe Dir nicht.

Das Log beweist eindeutig das Vorhandensein eines Keygens. Wer diesen Dreck auf seinen Rechner lässt, verspielt imho jedes Recht auf Bereinigung und darf seinen PC formatieren (hallo? Bei CH wird ja sonst auch bei jedem Shice formatiert!  ;D )
Natürlich kann ich nicht beweisen, dass er ausgeführt wurde, aber was hat das Teil überhaupt auf dem Rechner zu suchen? Von alleine kommt der da nicht hin. Wenn ich so einen Dreck in den Logs finde kommt von mir nur noch der dezente Hinweis auf FORMAT C:  ::)

Richtig, nur die Verwendung damit freigeschalteter Programme -> gibt's keine Hinweise drauf.
Das Vorhandensein des Keygens bestreitet ja keiner.

Zitat
Es ist ziemlich unglaubwürdig, dass man diesen geladen und hinterher nicht genutzt hat.
Man kann da durchaus unterschiedlicher Meinung sein,

Zitat
(hallo? Bei CH wird ja sonst auch bei jedem Shice formatiert
nu scher mal nicht alle über einen Kamm! ;)

letztendlich aber kein Grund zum Zanken.  

nur noch mal ne kurze zwischenfrage  ::)


ihr hattet noch nicht erörtert was dieser crypt.zpack.gen eigentlich macht. was mich ja brennend interessiert  ???

übrigens soweit ich mich erinnere, war dieser besagte keygen mit in der download-datei, die ich  von der herstellerseite runtergeladen habe. aber jetzt wo  ihrs ansprecht, klingt das alles bisl komisch  ::)

 


« Trojaner droht mit GerichtsverfahrenWindows Vista: Wie formatiert man einen Laptop »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Datenbank
Eine Datenbank (DBS), im englischen database, ist eine strukturierte Datensammlung und fungiert wie ein "digitales Archiv". Datenbanken dienen der effizienten Aufbewahrun...

Beta Version
Unter einer Beta Version versteht man ein Programm, das sich in einer Testphase, also noch vor der finalen Version, die veröffentlicht wird, befindet. Allgemein wird...

Bulk Version
Eine Bulk-Version ist nicht für den Einzelverkauf gedacht, sondern für Händler, die daraus ein Komplettangebot zusammenstellen. Oft erhält man nur die...