|
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.12.2012, 22:27 | #46 |
| TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Adobe Flash Player 11 Plugin Adobe Systems Incorporated 05.11.2012 11.3.300.257 notwendig Adobe Reader X (10.1.4) - Deutsch Adobe Systems Incorporated 24.10.2012 181,00MB 10.1.4 notwendig ATI Display Driver 04.05.2010 notwendig Avance AC'97 Audio 07.11.2012 notwendig Avira Free Antivirus Avira 04.12.2012 12.1.9.1236 notwendig Biet-O-Matic v2.14.8 BOM Development Team 04.12.2012 2.14.8 notwendig Bluesoleil2.6.0.1 Release 070402 IVT Corporation 07.11.2012 11,05MB 2.6.0.1 Release 070402 UNNÖTIG CCleaner Piriform 25.11.2012 3.25 Driver Genius Professional Edition Driver-Soft Inc. 21.08.2012 hilfreich DriverGuide DriverScan 21.06.2010 0.0.41 unnötig DriverGuide Toolkit 07.11.2012 2.1.29 hilfreich DriverScan 2012 DriverGuide.com 05.11.2012 12.0 hilfreich DSL-Manager 21.11.2012 unnötig EVEREST Home Edition v2.20 Lavalys Inc 09.06.2010 2.20 UNNÖTIG Intel Application Accelerator 07.11.2012 hilfreich Intel Processor Diagnostic Tool Intel Corporation 19.02.2011 20,36MB 7.0.0 hilfreich Java 7 Update 9 Oracle 07.11.2012 128,00MB 7.0.90 notwendig K-Lite Codec Pack 3.6.5 Full 09.05.2010 3.6.5 weiß nicht Lexmark X1100 Series 31.10.2012 hilfreich Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 14.11.2012 185,00MB 2.2.30729 weiß nicht Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 20.06.2012 239,00MB 3.2.30729 weiß nicht Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 20.06.2012 weiß nicht Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 19.02.2011 1 weiß nicht Microsoft Office Professional Edition 2003 Microsoft Corporation 19.05.2010 207,00MB 11.0.5614.0 weiß nicht Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 19.02.2011 weiß nicht Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 19.02.2011 6,04MB 9.0.21022 weiß nicht Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 10.06.2010 10,19MB 9.0.30729.4148 weiß nicht Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 19.06.2012 11,13MB 10.0.40219 weiß nicht Mozilla Firefox 17.0.1 (x86 de) Mozilla 04.12.2012 17.0.1 notwendig Mozilla Maintenance Service Mozilla 04.12.2012 17.0.1 weiß nicht Opera 10.00 Opera Software ASA 19.05.2010 20,97MB 10.00 notwendig PowerDVD CyberLink Corporation 08.05.2010 weiß nicht REALTEK GbE & FE Ethernet PCI NIC Driver Realtek 06.03.2011 1.00.0000 notwendig SigmaTel AC97 Audio-Treiber 07.11.2012 notwendig SIW version 2010.03.10 Topala Software Solutions 30.12.2010 2010.03.10 hilfreich SoftK56 Data Fax CARP 07.11.2012 UNNÖTIG System Requirements Lab for Intel Husdawg, LLC 26.10.2012 1,03MB 4.5.11.0 hilfreich SystemDiagnostics Fujitsu Technology Solutions 21.01.2011 20,12MB 3.02.0010 hilfreich VLC media player 1.0.5 VideoLAN Team 05.11.2012 1.0.5 hilfreich Windows Internet Explorer 8 Microsoft Corporation 27.11.2010 20090308.140743 UNNÖTIG Windows Media Format 11 runtime 06.03.2011 weiß nicht Windows Media Player 11 06.03.2011 weiß nicht Windows XP Service Pack 3 Microsoft Corporation 09.06.2010 20080414.031514 notwendig Wise Registry Cleaner 7.52 WiseCleaner.com, Inc. 12.11.2012 hilfreich Hier der Adwcleaner (find ich auch echt super ...!!): # AdwCleaner v2.011 - Datei am 04/12/2012 um 22:37:46 erstellt # Aktualisiert am 02/12/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : 007 - 007-BU37W1ESI3I # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\007\Eigene Dateien\Downloads\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gefunden : C:\Dokumente und Einstellungen\007\Anwendungsdaten\OpenCandy Ordner Gefunden : C:\Programme\Conduit ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKCU\Software\Conduit Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A} Schlüssel Gefunden : HKCU\Software\Softonic Schlüssel Gefunden : HKCU\Toolbar Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\escort.DLL Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4D71-8CE1-09DEBB8CFB78} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\Toolbar.CT2431245 Schlüssel Gefunden : HKLM\Software\Conduit Schlüssel Gefunden : HKLM\SOFTWARE\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif Schlüssel Gefunden : HKLM\Software\Magical Jelly Bean\OpenCandy Schlüssel Gefunden : HKU\S-1-5-21-1202660629-839522115-1343024091-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A} ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.6001.18702 [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.facemoods.com/?a=stonicde -\\ Opera v10.0.1750.0 Datei : C:\Dokumente und Einstellungen\007\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [2107 octets] - [04/12/2012 22:37:46] ########## EOF - C:\AdwCleaner[R1].txt - [2167 octets] ########## |
05.12.2012, 22:16 | #47 |
/// Malware-holic | TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? deinstaliere:
__________________Adobe Flash Player alle Adobe - Adobe Flash Player installieren neueste version laden adobe reader: Adobe - Adobe Reader herunterladen - Alle Versionen haken bei mcafee security scan raus nehmen bitte auch mal den adobe reader wie folgt konfigurieren: adobe reader öffnen, bearbeiten, voreinstellungen. allgemein: nur zertifizierte zusatz module verwenden, anhaken. internet: hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc. es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht. bei javascript den haken bei java script verwenden raus nehmen bei updater, automatisch instalieren wählen. übernehmen /ok deinstaliere: Bluesoleil2.6.0.1 DriverGuide DSL EVEREST K-Lite Opera : instaliere version 12 Opera Browser | Schnelleres und sicheres Internet | Gratis-Download deinstaliere: PowerDVD SoftK56 Wise Registry : finger weg, von solchem Unsinn. Er bringt keine geschwindigkeitsvorteile, und nur ein falsch gelöschter schlüssel, und der PC bootet nicht mehr. Öffne CCleaner, analysieren, starten, PC neustarten.
__________________ |
07.12.2012, 12:42 | #48 |
| TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hi. Hab ganz brav das meiste deinstalliert, die Adobes deinstalliert u. erneuert usw.
__________________Haken bei Java rausgenommen, aber was passiert, wenn ichs abgestellt hab - ich dachte, dann funktioniert manches nicht mehr (z.B. über intel.com meine Treiber von den Uralt-Notebooks -sehr solide ...- updaten lassen ...) -???-. Hier das log: # AdwCleaner v2.011 - Datei am 07/12/2012 um 12:24:01 erstellt # Aktualisiert am 02/12/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : 007 - 007-BU37W1ESI3I # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\007\Eigene Dateien\Downloads\adwcleaner.exe # Option [Löschen] **** [Dienste] **** ***** [Dateien / Ordner] ***** Ordner Gelöscht : C:\Dokumente und Einstellungen\007\Anwendungsdaten\OpenCandy Ordner Gelöscht : C:\Programme\Conduit ***** [Registrierungsdatenbank] ***** Schlüssel Gelöscht : HKCU\Software\Conduit Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416D-A838-AB665251703A} Schlüssel Gelöscht : HKCU\Software\Softonic Schlüssel Gelöscht : HKCU\Toolbar Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46DF-B041-1E593282C7D0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DDE2C74F-58CC-4D71-8CE1-09DEBB8CFB78} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2} Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2431245 Schlüssel Gelöscht : HKLM\Software\Conduit Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif Schlüssel Gelöscht : HKLM\Software\Magical Jelly Bean\OpenCandy ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.6001.18702 Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.facemoods.com/?a=stonicde --> hxxp://www.google.com -\\ Opera v12.11.1661.0 Datei : C:\Dokumente und Einstellungen\007\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [2236 octets] - [04/12/2012 22:37:46] AdwCleaner[R2].txt - [2297 octets] - [07/12/2012 12:19:30] AdwCleaner[R3].txt - [2357 octets] - [07/12/2012 12:20:53] AdwCleaner[S1].txt - [2165 octets] - [07/12/2012 12:24:01] ########## EOF - C:\AdwCleaner[S1].txt - [2225 octets] ########## Sag bitte, das sieht ja jetzt alles super aus, dem log nach, soweit ichs verstehe, nur wenn ich Firefox starte, fängt es immer an mit 'Babylon-Suche' - wo das herkommt, ist mir immer noch schleierhaft - kann ich das noch irgendwie wieder wegbringen? Grüße und vielen Dank für alle Mühe schonmal PS: Wise registry hatte ich draufgemacht, weil manche der notebooks so langsam wurden - aber nachdem ich gesehen hab, was die Programme da finden an PUPs oder wie die alle heißen mögen, nähere ich mich dem Gedanken, es könnte ja ganz vielleicht auch daran liegen ... |
13.12.2012, 19:27 | #49 |
/// Malware-holic | TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Den haken sollst du ja auch im Adob Reader entfernen, nicht im Internet explorer :-) Das die Geräte durch ne große Registry langsam werden, ist Unfug. Liegt häufig eher am vollen Autostart, irgendwelchen nutzlosen Tuning aktionen etc. lösche mal deine Version von adwcleaner und lad ihn neu runter, gab nen update, was auch deine Toolbar version betreffen sollte Downloade Dir bitte AdwCleaner auf deinen Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
14.12.2012, 02:49 | #50 |
| TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hi - gut zurück? Hier das file, aber ich glaub, meins war auch schon upgedatet, ich find das Dingens mit der Laus sehr schick: # AdwCleaner v2.100 - Datei am 14/12/2012 um 02:42:03 erstellt # Aktualisiert am 09/12/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : 007 - 007-BU37W1ESI3I # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\007\Eigene Dateien\Downloads\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** ***** [Internet Browser] ***** -\\ Internet Explorer v8.0.6001.18702 [OK] Die Registrierungsdatenbank ist sauber. -\\ Opera v12.11.1661.0 Datei : C:\Dokumente und Einstellungen\007\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R10].txt - [750 octets] - [14/12/2012 02:42:03] AdwCleaner[R1].txt - [2236 octets] - [04/12/2012 22:37:46] AdwCleaner[R2].txt - [2297 octets] - [07/12/2012 12:19:30] AdwCleaner[R3].txt - [2357 octets] - [07/12/2012 12:20:53] AdwCleaner[R4].txt - [1118 octets] - [08/12/2012 05:14:24] AdwCleaner[R5].txt - [1298 octets] - [08/12/2012 05:29:56] AdwCleaner[R7].txt - [1523 octets] - [11/12/2012 14:17:09] AdwCleaner[R8].txt - [1480 octets] - [11/12/2012 23:20:41] AdwCleaner[R9].txt - [1599 octets] - [14/12/2012 02:35:36] AdwCleaner[S1].txt - [2294 octets] - [07/12/2012 12:24:01] AdwCleaner[S2].txt - [1181 octets] - [08/12/2012 05:14:59] AdwCleaner[S3].txt - [1241 octets] - [08/12/2012 05:21:24] AdwCleaner[S4].txt - [1361 octets] - [08/12/2012 05:30:20] AdwCleaner[S5].txt - [1542 octets] - [11/12/2012 23:21:01] ########## EOF - C:\AdwCleaner[R10].txt - [1590 octets] ########## Mal sehen, was beim nächsten Systemstart im Firefox kommt. Bisher kam die BabylonSearch noch nicht - aber ich muß noch ins andere nb schauen, nicht daß ich die Dinger wieder verwexel! |
14.12.2012, 14:47 | #51 |
/// Malware-holic | TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hi, ja war alles schick :-) Na, dann schau mal bütte :-)
__________________ --> TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? |
17.12.2012, 21:59 | #52 |
| TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hi. So, also oben das 007 sieht ja gut aus. Bin jetzt in 'Ticki', dem andern, mit dem wir ja angefangen hatten. Das hat ein 'wuaudt' schon wieder im Task-Manager ... Und hier das 'Laus'-Protokoll (Adware-Cleaner, neueste Fassung) = nicht ganz sauber! Kann ich das einfach löschen, oder muß da nochwas anderes durchlaufen? # AdwCleaner v2.101 - Datei am 17/12/2012 um 21:53:35 erstellt # Aktualisiert am 16/12/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : Adminkonto - TICKI # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\Adminkonto\Eigene Dateien\Downloads\adwcleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** Schlüssel Gefunden : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440} Schlüssel Gefunden : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} Schlüssel Gefunden : HKLM\SOFTWARE\Classes\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} Schlüssel Gefunden : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} Schlüssel Gefunden : HKU\S-1-5-21-436374069-1606980848-854245398-1005\Software\Microsoft\Internet Explorer\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} Wert Gefunden : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}] ***** [Internet Browser] ***** -\\ Internet Explorer v6.0.2900.5512 [OK] Die Registrierungsdatenbank ist sauber. -\\ Opera v11.51.1087.0 Datei : C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [5677 octets] - [22/11/2012 00:16:01] AdwCleaner[R2].txt - [4177 octets] - [25/11/2012 04:00:00] AdwCleaner[R3].txt - [2440 octets] - [17/12/2012 21:53:35] AdwCleaner[S1].txt - [4079 octets] - [25/11/2012 04:01:46] ########## EOF - C:\AdwCleaner[R3].txt - [2560 octets] ########## Nochmal - ich war ungeduldig, hab schon 'Löschen' gedrückt (sorry ...). System ist aber immer noch langsam. Und wo ich den Bildschirm 'Finden Sie die perfekte Autoversicherung' inzwischen hergekriegt hab, ist mir echt schleierhaft!!!!!!!!!!! Ich benutze jetzt wieder das 007, das i.O. ist. Habe oben im 'Ticki' mein altes Hintergrundsbild wieder installiert. Aber wie kann das sein, daß auf einmal (nach ca 1 Woche Herumstehen ...) ein anderes Hintergrundbild da ist ('autoversicherung.de, Finden Sie die perfekte Autoversicherung') - das ist aber die absolute Frechheit!!!!!! Dazwischen eigentlich nur den AdwCleaner neu installiert, und das dort aufgeführte 'Hosts Anti-Adware'. Natürlich hatte ich den Avira-Scanner dazwischen mal abgestellt, damit es sich nicht beißt. Oder müllt einen der InternetExplorer (den ich nicht benutze, der aber drauf ist auf nb) jetzt schon von selber zu???? Grüße und vielen Dank für alle Hilfe, dougine |
18.12.2012, 15:36 | #53 |
/// Malware-holic | TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Dann machen wir das Gerät einfach neu, soll ja nicht zur unendlichen Geschichte werden. 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
26.12.2012, 02:28 | #54 |
| TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hallo - hier bin ich wieder. Hab mir die Neu-Aufsetz-Anleitung ausgedruckt, aber das hat erstmal zu spontanen Ermattungserscheinungen bei mir geführt - und hab mit dem andern weiterge...naja, -gesurft (gearbeitet ist nicht ganz das Passende). Dann dachte, was einmal klappt, klappt vielleicht auch nochmal. a) unsystematisch: mit einem Sophos-Antivirentool was gefunden und gelöscht (inzwischen vergessen wie das war - tschuldigung ...) b) jetzt weiter dran 'gearbeitet': Hitman Pro fand folgendes: Code:
ATTFilter HitmanPro 3.7.0.185 www.hitmanpro.com Computer name . . . . : TICKI Windows . . . . . . . : 5.1.3.2600.X86/1 User name . . . . . . : TICKI\Adminkonto License . . . . . . . : Trial (Expired) Scan date . . . . . . : 2012-12-26 00:53:40 Scan mode . . . . . . : Normal Scan duration . . . . : 7m 6s Disk access mode . . : Direct disk access (SRB) Cloud . . . . . . . . : Internet Reboot . . . . . . . : No Threats . . . . . . . : 1 Traces . . . . . . . : 69 Objects scanned . . . : 337.781 Files scanned . . . . : 13.860 Remnants scanned . . : 66.374 files / 257.547 keys Malware _____________________________________________________________________ C:\Dokumente und Einstellungen\Adminkonto\Eigene Dateien\Downloads\Install_HOSTS_Anti-Adware.exe Size . . . . . . . : 285.455 bytes Age . . . . . . . : 8.1 days (2012-12-17 21:47:46) Entropy . . . . . : 7.9 SHA-256 . . . . . : 0AF85E2D8DFCF12622E077033038F374CAB36778B221A1E2CECE0FB92EC5D1E8 Description . . . : HOSTS Anti-PUPs/Adwares Version . . . . . : 0.3.0.0 > a-Squared . . . . : Trojan.Downloader.Win32.AMN!A2 Fuzzy . . . . . . : 112.0 Suspicious files ____________________________________________________________ C:\Programme\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe Size . . . . . . . : 285.795 bytes Age . . . . . . . : 8.1 days (2012-12-17 22:01:20) Entropy . . . . . : 7.9 SHA-256 . . . . . : A9265115B70FD00EA9516B67545B9E5633AFF757312572FB8D304FD372D67650 Description . . . : HOSTS Anti-PUPs/Adwares Version . . . . . : 0.3.0.0 Source URL . . . . : hxxp://www.malekal.com/HOSTS_filtre/package/HOSTS_Anti-Adware.exe Service . . . . . : HOSTS Anti-PUPs Fuzzy . . . . . . : 26.0 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs. File belongs to an identified security risk. The file is downloaded from the Internet to this computer. Starts automatically as a service during system bootup. Authors name is missing in version info. This is not common to most programs. Program starts automatically without user intervention. Time indicates that the file appeared recently on this computer. Startup HKLM\SYSTEM\CurrentControlSet\Services\HOSTS Anti-PUPs\ References C:\Dokumente und Einstellungen\Adminkonto\Desktop\Desinstaller_HOSTS_Anti-PUPs.lnk C:\Programme\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe Size . . . . . . . : 302.961 bytes Age . . . . . . . : 8.1 days (2012-12-17 22:01:22) Entropy . . . . . : 7.9 SHA-256 . . . . . : 7C31AA52942FC9A2774077D6A06419B9AEB495A1ED0EB9C6E147145B42B43880 Description . . . : HOSTS Anti-PUPs/Adwares Version . . . . . : 0.3.0.0 Source URL . . . . : hxxp://www.malekal.com/HOSTS_filtre/package/HOSTS_Anti-Adware_main.exe Gossip . . . . . . : Hosts_Anti_Adwares_PUPs Running processes : 548 Fuzzy . . . . . . : 35.0 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs. File belongs to an identified security risk. The file is downloaded from the Internet to this computer. Program is running but currently exposes no human-computer interface (GUI). Uses the Windows Registry to run each time the user logs on. Authors name is missing in version info. This is not common to most programs. Program starts automatically without user intervention. The file is in use by one or more active processes. Time indicates that the file appeared recently on this computer. Startup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HOSTS Anti-Adware_PUPs Potential Unwanted Programs _________________________________________________ C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\chrome.manifest (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\funmoods.css (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\funmoods.xul (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\images\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\images\pref.jpg (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\arwDwn.gif (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ae.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\bg.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ch.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\cn.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\cz.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\de.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\eg.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\en.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\es.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\fr.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\gr.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\he.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\il.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\it.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ja.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\jp.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\nl.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\no.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\pl.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\pt.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ro.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ru.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\sa.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\se.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\sv.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\tr.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\ua.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\flgs\us.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\help_16.gif (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\home.gif (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\logo.png (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\privecy_16_hot.gif (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\imgs\tellafriend.gif (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\loader.xul (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\mtstart.js (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\preferences.xul (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\content\tmplt.js (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\install.rdf (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\META-INF\ (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\META-INF\le_c6a58f26_4d2d_4341_b387_c4f2289b6170.rsa (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\META-INF\le_c6a58f26_4d2d_4341_b387_c4f2289b6170.sf (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\extensions\ffxtlbr@funmoods.com\META-INF\manifest.mf (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\searchplugins\Funmoods.xml (Funmoods) C:\Dokumente und Einstellungen\Adminkonto\Lokale Einstellungen\Anwendungsdaten\funmoods.crx (Funmoods) Cookies _____________________________________________________________________ C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\6wbwgd2t.default\cookies.sqlite:track.webtrekk.de C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAQVKPM3.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAVZT5DH.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAWLAB4X.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAY381YB.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAY7SXKD.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAYBOLA7.txt C:\Dokumente und Einstellungen\Adminkonto\Cookies\CAYBQBM9.txt McAfee(r) Labs Stinger(tm) Version 10.2.0.928 built on Dec 24 2012 Copyright (c) 2012 McAfee, Inc. All Rights Reserved. Virus data file v1000.0000 created on Dec 24 2012. Ready to scan for 6078 viruses, trojans and variants. Scan initiated on Wed Dec 26 01:09:26 2012 Rootkit scan result : Not Scanned Master Boot Record(s):....1 Possibly Infected:.............0 Boot Sector(s):.................1 Possibly Infected: ............0 C:\Programme\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe Found the Artemis!59538D76EA7D trojan !!! C:\Programme\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe is infected with the Artemis!59538D76EA7D virus !!! C:\Programme\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe has been deleted. Number of clean files: 12525 Number of infected files: 1 Number of files cleaned: 1 Der Stinger macht das offensichtlich selbständig, ohne extra-Auftrag, also, weg isses. Und mir ist jetzt klar, wo was herkam - ich war von der Adware-Laus (AdwCleaner) so begeistert und hatte den Begriff PUP noch nie gehört, sodaß ich von der Xplode-Seite bzw. von dort weitergeleitet so ein Anti-PUP-Bewachungsprogramm (kleines Auge unten in der AddOn-Leiste)draufgeladen hab. Und das hat offensichtlich diesen Artemis-Trojaner mitgebracht, ohne daß der Avira-Scanner was gemerkt hat ... Bin gespannt, ob das komische 'wuaudt' jetzt endgültig aus dem Task-Manager verschwunden ist ... Hab die Installationsdatei (vom Anti-Pup-Programm, s.vorher) aus dem Downloadordner gelöscht - muß ich nochwas löschen? (Später): Inzwischen hab ich folgendes festgestellt: 1) wuaudt ist ein Windowssystemprozess, der allerdings sehr viel Speicherplatz beansprucht und von dem behauptet (behauptet ...) wird, er sei notwendig. (Meine kleinen notebooks behindert er jedenfalls erheblich, gebraucht oder nicht gebraucht). Ob der wuaudt sich so dick macht, wieder, weil ich die Wahnsinnstat inzwischen begangen hatte, die angezeigten WindowXP-Updates runterzuladen und installieren zu lassen (ich mag es dabei nicht automatisch ...). 2) 'Artemis!' ist ein Prinzip der Virensuche von McAfee, anscheinend, und dabei sollen auch falsche Positive zustandekommen ... Hat es mir jetzt einen echten Trojaner entfernt? Und was ist mit dem Zeugs, das HitmanPro gefunden hatte - ist das immer noch drauf? (Stöhn!!!!!) 3) Die Autoversicherungsseite ist bisher nicht mehr gekommen, ich hatte ja mein Hintergrundbild wieder ausgewählt. Trotzdem find ich das höchst unheimlich. Können die normalen Windows-Updates einem solche Mitbringsel machen? (Noch später Und hier ein aktuelles AdwCleanerProtokoll, danach ist nichts nachteiliges zu finden: # AdwCleaner v2.103 - Datei am 26/12/2012 um 03:28:32 erstellt # Aktualisiert am 25/12/2012 von Xplode # Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits) # Benutzer : Adminkonto - TICKI # Bootmodus : Normal # Ausgeführt unter : C:\Dokumente und Einstellungen\Adminkonto\Eigene Dateien\Downloads\AdwCleaner.exe # Option [Suche] **** [Dienste] **** ***** [Dateien / Ordner] ***** ***** [Registrierungsdatenbank] ***** ***** [Internet Browser] ***** -\\ Internet Explorer v6.0.2900.5512 [OK] Die Registrierungsdatenbank ist sauber. -\\ Opera v11.51.1087.0 Datei : C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. Datei : C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Opera\Opera\operaprefs.ini [OK] Die Datei ist sauber. ************************* AdwCleaner[R1].txt - [5677 octets] - [22/11/2012 00:16:01] AdwCleaner[R2].txt - [4177 octets] - [25/11/2012 04:00:00] AdwCleaner[R3].txt - [2629 octets] - [17/12/2012 21:53:35] AdwCleaner[R4].txt - [1068 octets] - [26/12/2012 03:28:32] AdwCleaner[S1].txt - [4079 octets] - [25/11/2012 04:01:46] AdwCleaner[S2].txt - [2531 octets] - [17/12/2012 22:09:01] ########## EOF - C:\AdwCleaner[R4].txt - [1248 octets] ########## (Und noch später) Funmoods entfernt - das war ein einfaches AddOn in Firefox!!!!! (Manchmal fühl ich mich schon bißchen doof, echt) |
27.12.2012, 15:16 | #55 |
/// Malware-holic | TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? Hi welche Probleme gibts aktuell noch? mit hitman kannst du die Potential unwantet software löschen
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu TR/Crypt.ZPACK.Gen wurde von avira Zugriff verweigert - muß ich nochwas tun? |
antwort, antworten, avira, frage, großer, irgendetwas, poste, posten, reich, schonmal, tr/crypt.zpack.gen, unternehmen, versuche, verweigert, worte, zugriff, zugriff verweigert |