Sicherheitscenter streikt nach Virusfund

[DAB268]

Hallo.

Heute habe ich auf der Festplatte den Trojaner TR/Crypt.XPACK.Gen entdeckt. Eigentlich bin ich mir sicher, dass ich diesen nicht ausgeführt habe. Die Quelldatei war auch auf einem anderen PC infiziert und wurde niemals auf irgendeinem der Rechner ausgeführt. Somit wäre die Infektion der Datei ja ausgeschlossen. Ich habe diese daraufhin aus der Antivir-Quarantäne entfernt, den Ordner mit der Datei in ein Zip-File gepackt und den Ordner gelöscht (Waren Dateien von anderen Personen, daher das Zippen). Kann dabei der Trojaner aktiv geworden ein? Normal würde ich das bezweifeln, aber seltsamerweise funktioniert seitdem mein Sicherheitscenter nicht mehr. Ich bekomme die Meldung, dass keine Firewall und kein Antivirus aktiv sind. Jedoch laufen beide Programme im Systray.

Kann ich das Sicherheitscenter ohne Bedenken deaktivieren und auf eine Fehlfunktion des selbigen setzten?

MfG
DAB268

 

[ChristianSL]

Du weißt ja nicht, ob das System zufällig irgendwann mal auf die Datei zugegriffen hat, das macht es zb schon, wenn du nur die Datei im Ordner liegen siehst.
Lad dir am besten ne Trialversion eines kostenpflichtigen Virenkillers (ich habe gute Erfahrungen mit Kaspersky gemacht) ausm Netz, und lass den mal durchlaufen. Das sollte alle Reste des Trojaners beseitigen und dein System sollt wieder laufen.

Gruß
Christian

 

[Bueller]

Ein simpler Programmfehler wird das nicht sein.

Wenn möglich, scanne dein System autark von einem anderen. Etwa indem Du die Platte umbaust oder von einem anderen Windows aus. Die Linux CDs sind ganz nett, können aber mangels leistungsfähiger Virenscanner nicht alles entdecken.

Wenn Du den Verdacht hast, dass dein System kompromitiert ist, kommst Du auf lange Sicht um eine Neuinstallation nicht herum. Denn wer weiß, was sich im Zuge einer Infektion im System ausgebreitet hat. Mit Glück nur ein einzelner Schädling, mit Pech ein Rootkit. Weil man das nicht weiß, sehe ich bei einem Produktivsystem keine andere Möglichkeit als eine komplette Neuinstallation.

Dann würde ich im nächsten Schritt schauen, woher der Trojaner kam und warum er auf der Platte gelandet ist. Tauschbörse, dubiose Website, unbekannte Dateien aus Mailanhängen? Nur wenn Du weisst, woher das Ding kam, kannst Du eine erneute Infektion vermeiden.

 

[markus1234]

Ich würde sagen es kommt auf die Umstände drauf an.
Wo hast du die Datei gefunden. Und war sie gepackt?

mfg,
Markus

 

[DAB268]

@markus1234 Also ich fand die Datei in einem Ordner von einem Bekannten, welchen ich auf der Festplatte hatte. Dort war das Programm nicht gepackt. Dies habe ich im Nachhinein gemacht, um ein Ausführen der Datei zu verhindern.

@ChristianSL Im Normalfall sollte die Datei dann ja nie ausgeführt werden, sondern nur lesend zugegriffen werden. Würde dabei eine Infektion stattfinden, dann wären Virenscanner die Verbreitungsmethode Nummer 1. :-)

 

[markus1234]

Na dann ist es ja egal, ich denke mal das Eine hat nichts mit dem Anderen zu tun.
Windows führt keine Dateien direkt aus.

Die einzig mögliche Lücke ist im Suchindex, mit dem Windows die Dateiinfos registriert (wie z.B. Hersteller/Datum ect). Die sollte aber doch letzte Woche geschlossen werden.
Welche Sicherheitssoftware AV+FW verwendest du denn?

Und besteht dein Problem nur darin, dass das SC die Software nicht anzeigt?

mfg,
Markus

 

[DAB268]

Ich verwende die kostenlose Version von Avira Antivir und als Firewall nutze ich die Sunbelt Personal Firewall. Laut Tray Icon laufen beide Tools. Die Firewall hat sich sogar schonmal zu Wort gemeldet.

Im Moment lasse ich mal die Avira Rescue Disk durchlaufen. Mal sehen, ob das was bringt.

 

[markus1234]

Glaube ich weniger.
Moderne Rootkits o.a. wirst du nicht finden, egal wie du vorgehst.
Es werden hierbei eher "unwichtige" Systemdateien überschrieben, die unentdeckt mitstarten (praktisch als Mit-Datei der Explorer.exe/svchost). Diese Module greifen dann auf z.B. das Rootkit zu, welches du nicht sehen kannst.

Poste doch hier mal ein HiJackThis-Logfile. Download auf HiJackThis.de

mfg,
Markus

 

[DAB268]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\Explorer.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1614895754-688789844-1343024091-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1207011469826
O17 - HKLM\System\CCS\Services\Tcpip\..\{D29971AB-97E2-4F7F-AA4C-7BE20C3D61B7}: NameServer = 192.168.15.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 4939 bytes

Die Avira RescueDisc hat nicht mal den Virus in der Zip-Datei entdeckt. Hoffe nur der Kaspersky lohnt sich. Wehe das Teil hat mir umsonst einfach meine Programme deinstalliert.
Zum LogFile:
Die automatische Auswertung hat O20 als Schädlich beurteilt. Bin leider absoluter Noob in HijackThis. Brauche daher eure Hilfe. Thx!

------------------

Ach ja: Kaspersky findet in der Zip-Datei auch nichts. Auch in allen anderen Dateien, welche ich kurz vorher ausgeführt habe wurde nichts gefunden...

 

[DAB268]

Habe jetzt mal einfach O20 von HijackThis fixen lassen. Hier das neue Protokoll:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:58:14, on 27.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Programme\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Secunia\PSI (RC3)\psi.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1614895754-688789844-1343024091-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1207011469826
O17 - HKLM\System\CCS\Services\Tcpip\..\{D29971AB-97E2-4F7F-AA4C-7BE20C3D61B7}: NameServer = 192.168.15.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Programme\Sunbelt Software\Personal Firewall\SbPFSvc.exe

--
End of file - 5089 bytes

 

[Crabman]

Ganz sicher, dass dein Sicherheitscenter vorher Firewall und Scanner erkannt hat? Denn meins kann mit Avira auch nichts anfangen.

 

[DAB268]

Ja, bin ich. Auf meinem Laptop is ja auch noch alles beim alten.

 

[Boogeyman]

O20 - AppInit_DLLs:

Das ist eine Autostart Eintrag, der in der Registrierung steht. Die Logfile Auswertung basiert zu 100% auf Userdaten.
Du kannst deine angeblich befallenen Dateien auf www.virustotal.com überprüfen lassen.

 

[markus1234]

Ja, auf die automatische AUswertung verlassen sich leider viel zuviele.
Ich bin dagegen, Dafür gibts es Boards wie protectus.

Achja, dsa Problem mit dem Sicherheitscenter habe ich schonmal wo gelesen.
Es liegt also am SC. Avast z.B. erkennt es auch nicht.

mfg,
Markus

 

[DAB268]

Ok, danke für die vielen Antworten. Denke mal ich werde die Dateien noch mit Virustotal prüfen und dann die Systemwiederherstellung von Windows nutzen.

Ok, die Systemwiederherstellung mag mich nicht. Keine Wiederherstellungspunkte :-(
Ich hab jetzt einfach das SC deaktiviert. Virustotal erlaubt leider keine großen Dateien zu scannen.

 

[Andy4]

Dann mach doch ein Onlineviren Scan, beim Hersteller deiner Wahl. Du kannst dir ja mal meinen Thread zu Herzen nehmen. Da sind auch die Hersteller verlinkt. Das Sicherheitscenter ist sowieso der letze Müll Dazu gibts auch noch was.

Gruß Andy

 

[Boogeyman]

Virustotal erlaubt leider keine großen Dateien zu scannen.

Klar, eine 100MB Datei kannst du dort nicht scannen, ist aber überhaupt nicht nötig!
Dein Virenscanner sagt genau, wo sich die angeblich befallene Datei befindet, diese lädst du bei Virustotal hoch.

 

[DAB268]

überflüssiges Zitat entfernt *klick*

Nur dumm, wenn die Datei schon das Maximum überschreitet.

 

[Andy4]

hm.. Was heißt das jetzt, dass sich der Virus an fast jede Datei, die du bei dir drauf hast drann gehängt hat, oder wie?
Da wirst du dann nicht mehr viel machen können. Wie heißt die Datei?

Gruß Andy

 

[DAB268]

Nein, die Datei ist einfach nur größer als 30 MB und das ist schon zu viel.